Citrix ADC

Fonctionnement de l’authentification, de l’autorisation et de l’audit

L’authentification, l’autorisation et l’audit assurent la sécurité d’un environnement Internet distribué en permettant à tout client disposant des informations d’identification appropriées de se connecter en toute sécurité aux serveurs d’applications protégés depuis n’importe où sur Internet. Cette fonctionnalité intègre les trois fonctionnalités de sécurité que sont l’authentification, l’autorisation et l’audit. L’authentification permet au Citrix ADC de vérifier les informations d’identification du client, localement ou avec un serveur d’authentification tiers, et d’autoriser uniquement les utilisateurs approuvés à accéder aux serveurs protégés. L’autorisation permet à ADC de vérifier le contenu d’un serveur protégé auquel il permet à chaque utilisateur d’accéder. L’audit permet à l’ADC de conserver un enregistrement de l’activité de chaque utilisateur sur un serveur protégé.

Pour comprendre le fonctionnement de l’authentification, de l’autorisation et de l’audit dans un environnement distribué, envisagez une organisation dotée d’un intranet accessible à ses employés au bureau, à la maison et lors de leurs déplacements. Le contenu de l’intranet est confidentiel et nécessite un accès sécurisé. Tout utilisateur qui souhaite accéder à l’intranet doit avoir un nom d’utilisateur et un mot de passe valides. Pour répondre à ces exigences, l’ADC effectue les opérations suivantes :

  • Redirige l’utilisateur vers la page de connexion si l’utilisateur accède à l’intranet sans s’être connecté.
  • Collecte les informations d’identification de l’utilisateur, les transmet au serveur d’authentification et les met en cache dans un répertoire accessible via LDAP. Pour plus d’informations, reportez-vous à la section Détermination des attributs dans votre annuaire LDAP.

  • Vérifie que l’utilisateur est autorisé à accéder au contenu intranet spécifique avant de remettre la demande de l’utilisateur au serveur d’applications.
  • Maintient un délai d’expiration de session après lequel les utilisateurs doivent s’authentifier à nouveau pour retrouver l’accès à l’intranet. (Vous pouvez configurer le délai d’expiration.)
  • Consigne l’accès de l’utilisateur, y compris les tentatives de connexion non valides, dans un journal d’audit.

Configurer les stratégies d’autorisation d’authentification et d’audit

Après avoir configuré vos utilisateurs et groupes, vous configurez ensuite les stratégies d’authentification, les stratégies d’autorisation et les stratégies d’audit pour définir les utilisateurs autorisés à accéder à votre intranet, les ressources auxquelles chaque utilisateur ou groupe est autorisé à accéder et le niveau d’authentification, d’autorisation et d’audit de détail conservera dans les journaux d’audit. Une stratégie d’authentification définit le type d’authentification à appliquer lorsqu’un utilisateur tente de se connecter. Si l’authentification externe est utilisée, la stratégie spécifie également le serveur d’authentification externe. Les stratégies d’autorisation spécifient les ressources réseau auxquelles les utilisateurs et les groupes peuvent accéder après leur ouverture de session. Les stratégies d’audit définissent le type et l’emplacement du journal d’audit.

Vous devez lier chaque stratégie pour la mettre en œuvre. Vous liez des stratégies d’authentification à des serveurs virtuels d’authentification, des stratégies d’autorisation à un ou plusieurs comptes d’utilisateurs ou groupes, et des stratégies d’audit à la fois globalement et à un ou plusieurs comptes ou groupes d’utilisateurs.

Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel entier positif. Dans le système d’exploitation Citrix ADC, les priorités de stratégie fonctionnent dans l’ordre inverse : plus le nombre est élevé, plus la priorité est faible. Par exemple, si vous avez trois stratégies avec des priorités de 10, 100 et 1000, la stratégie affectée d’une priorité de 10 est exécutée en premier, puis la stratégie affectée d’une priorité de 100 et enfin la stratégie affectée d’un ordre de 1000. La fonctionnalité d’authentification, d’autorisation et d’audit implémente uniquement le premier de chaque type de stratégie auquel une demande correspond, et non les stratégies supplémentaires de ce type qu’une demande peut également correspondre. Par conséquent, la priorité de stratégie est importante pour obtenir les résultats que vous souhaitez obtenir.

Vous pouvez vous laisser beaucoup de place pour ajouter d’autres stratégies dans n’importe quel ordre, tout en les définissant pour qu’elles soient évaluées dans l’ordre souhaité, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez les stratégies. Vous pouvez ensuite ajouter des stratégies supplémentaires à tout moment sans avoir à réaffecter la priorité d’une stratégie existante.

Pour plus d’informations sur les stratégies de liaison sur l’appliance Citrix ADC, reportez-vous au Documentation produit Citrix ADC.

Configurer la stratégie No_Auth pour contourner certains trafic

Vous pouvez maintenant configurer la stratégie No_Auth pour contourner certains trafic de l’authentification lorsque l’authentification basée sur 401 est activée sur le serveur virtuel de gestion du trafic. Pour un tel trafic, vous devez lier une stratégie « No_Auth ».

Pour configurer la stratégie No_Auth pour contourner certains trafic à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication policy <name> -rule <expression> -action <string>

Exemple :

add authentication policy ldap -rule ldapAct1 -action No_Auth
Fonctionnement de l’authentification, de l’autorisation et de l’audit