Citrix ADC

Activer l’authentification SSO pour l’authentification Basic, Digest et NTLM

À partir de la fonctionnalité Citrix ADC version 13.0 build 64.35 et supérieure, les types SSO suivants sont désactivés globalement.

  • L’authentification de base
  • Authentification Digest Access
  • NTLM sans Négocier la clé NTLM2 ou le signe de négociation

La configuration SSO (Single Sign-On) dans Citrix ADC et Citrix Gateway peut être activée au niveau global et également par niveau de trafic. Par défaut, la configuration SSO est OFF et un administrateur peut activer l’interface SSO par trafic ou globalement. Du point de vue de la sécurité, Citrix recommande aux administrateurs de désactiver l’option SSO globalement et d’activer l’option par trafic. Cette amélioration vise à rendre la configuration SSO plus sécurisée en désactivant certains types de méthodes SSO globalement.

La configuration SSO StoreFront est affectée (désactivée) uniquement pour la version 13.0 64.35. La configuration ne sera pas affectée dans les futures versions 13.0.

Types SSO non affectés

Les types SSO suivants ne sont pas affectés par cette amélioration.

  • Authentification Kerberos
  • Authentification SAML
  • Authentification basée sur un formulaire
  • Authentification au porteur OAuth
  • NTLM avec une clé de négociation NTLM2 ou un signe de négociation

Configurations SSO affectées

Voici les configurations SSO impactées (désactivées).

Configurations globales

set tmsessionparam -SSO ON
set vpnparameter -SSO ON
add tmsessionaction tm_act -SSO ON
add vpn sessionaction tm_act -SSO ON

Vous pouvez activer/désactiver l’option SSO dans son ensemble et ne pouvez pas modifier les types d’SSO individuels.

Mesures de sécurité à appliquer

Dans le cadre des mesures de sécurité, les types SSO sensibles à la sécurité sont désactivés dans la configuration globale, mais sont autorisés uniquement via une configuration d’action de trafic. Par conséquent, si un serveur back-end attend Basic, Digest ou NTLM sans la clé Negotiate NTLM2 ou Negotiate Sign, l’administrateur peut autoriser SSO uniquement via la configuration suivante.

Action sur le trafic

add vpn trafficaction tf_act  http -SSO ON
add tm trafficaction tf_act -SSO ON

Politique de trafic

add tm trafficpolicy <name> <rule> tf_act
add vpn trafficpolicy <name> <rule> tf-act

L’administrateur doit disposer d’une règle appropriée configurée pour la stratégie de trafic pour s’assurer que l’authentification unique est activée uniquement pour le serveur principal approuvé.

AAA-TM

Scénarios basés sur la configuration globale :

set tmsessionparam -SSO ON

Solution :

add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol true tf_act

Liez la stratégie de trafic suivante à tous les serveurs virtuels LB où SSO est attendu :

bind lb vserver <LB VS Name> -policy tf_pol -priority 65345

Scénarios basés sur la configuration de stratégie de session :

add tmsessionaction tm_act -SSO ON
add tmsession policy <name> <rule> tm_act
add tm trafficaction tf_act -SSO ON
add tm trafficpolicy tf_pol <same rule as session Policy> tf_act

Points à noter :

  • L’utilisateur/groupe Citrix ADC AAA pour la stratégie de session précédente doit être remplacé par la stratégie de trafic.
  • Liez la stratégie suivante aux serveurs virtuels d’équilibrage de charge pour la stratégie de session précédente, bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
  • Si une stratégie de trafic avec une autre priorité est configurée, la commande précédente ne sert pas correctement.

La section suivante traite des scénarios basés sur des conflits avec plusieurs stratégies de trafic associées à un trafic :

Pour un trafic TM particulier, une seule stratégie de trafic TM est appliquée. En raison du paramètre global des modifications de fonctionnalité SSO, l’application d’une stratégie de trafic TM supplémentaire avec une faible priorité peut ne pas être applicable dans le cas où une stratégie de trafic TM avec une priorité élevée (qui n’a pas de configuration SSO requise) est déjà appliquée. La section suivante décrit la méthode permettant de s’assurer que de tels cas sont traités.

Considérez que les trois stratégies de trafic suivantes avec une priorité plus élevée sont appliquées au serveur virtuel d’équilibrage de charge (LB) :

add tm trafficaction tf_act1 <Addition config>
add tm trafficaction tf_act2 <Addition config>
add tm trafficaction tf_act3 <Addition config>

add tm trafficpolicy tf_pol1 <rule1> tf_act1
add tm trafficpolicy tf_pol2 <rule2> tf_act2
add tm trafficpolicy tf_pol3 <rule3> tf_act3

bind lb vserver <LB VS Name> -policy tf_pol1 -priority 100
bind lb vserver <LB VS Name> -policy tf_pol2 -priority 200
bind lb vserver <LB VS Name> -policy tf_pol3 -priority 300

Méthode sujette aux erreurs - Pour résoudre la configuration SSO globale, vous ajoutez la configuration suivante :

add tm trafficaction tf_act_default -SSO ON
add tm trafficpolicy tf_pol_default true tf_act_default

bind lb vserver <LB VS Name> -policy tf_pol_default -priority 65345

Remarque : La modification précédente peut rompre l’authentification unique pour le trafic qui touche <tf_pol1/tf_pol2/tf_pol3> comme pour ce trafic, stratégie de trafic <tf_pol_default> n’est pas appliqué.

Méthode correcte - Pour atténuer ce problème, la propriété SSO doit être appliquée individuellement pour chacune des actions de trafic correspondantes :

Par exemple, dans le scénario précédent, pour que l’authentification unique se produise pour le trafic touchant tf_pol1/tf_pol3, la configuration suivante doit être appliquée avec <tf_pol_default>.

add tm trafficaction tf_act1 <Addition config> -SSO ON
add tm trafficaction tf_act3 <Addition config> -SSO ON

Cas Citrix Gateway

Scénarios basés sur la configuration globale :

set vpnparameter -SSO ON

Solution :

add vpn trafficaction vpn_tf_act http  -SSO ON
add vpn trafficpolicy vpn_tf_pol  true vpn_tf_act

Liez la stratégie de trafic suivante à tous les serveurs virtuels VPN où SSO est attendu :

bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345

Scénarios basés sur la configuration de stratégie de session :

add vpn sessionaction vpn_sess_act -SSO ON
add vpnsession policy <name> <rule> vpn_sess_act

Points à noter :

  • L’utilisateur/groupe Citrix ADC AAA pour la stratégie de session précédente doit être remplacé par la stratégie de trafic.

  • Liez la stratégie suivante aux serveurs virtuels LB pour la stratégie de session précédente, bind lb virtual server [LB VS Name] -policy tf_pol -priority 65345.

  • Si une stratégie de trafic avec une autre priorité est configurée, la commande précédente ne sert pas correctement. La section suivante traite des scénarios basés sur des conflits avec plusieurs stratégies de trafic associées au trafic.

Scénarios fonctionnels basés sur des conflits avec plusieurs stratégies de trafic associées à un trafic :

Pour un trafic Citrix Gateway particulier, une seule stratégie de trafic VPN est appliquée. En raison de la définition globale des modifications de fonctionnalité SSO, l’application d’une stratégie de trafic VPN supplémentaire avec une faible priorité peut ne pas être applicable s’il existe d’autres stratégies de trafic VPN avec une priorité élevée qui n’ont pas de configuration SSO requise.

La section suivante décrit la méthode pour s’assurer que de tels cas sont traités :

Considérez qu’il existe trois stratégies de trafic avec une priorité plus élevée appliquées à un serveur virtuel VPN :

add vpn trafficaction tf_act1 <Addition config>
add vpn trafficaction tf_act2 <Addition config>
add vpn trafficaction tf_act3 <Addition config>

add vpn trafficpolicy tf_pol1 <rule1> tf_act1
add vpn trafficpolicy tf_pol2 <rule2> tf_act2
add vpn trafficpolicy tf_pol3 <rule3> tf_act3

bind vpn vserver <VPN VS Name> -policy tf_pol1 -priority 100
bind vpn vserver <VPN VS Name> -policy tf_pol2 -priority 200
bind vpn vserver <VPN VS Name> -policy tf_pol3 -priority 300

Méthode sujette aux erreurs : Pour résoudre la configuration SSO globale, vous ajoutez la configuration suivante :

add vpn trafficaction tf_act_default -SSO ON
add vpn trafficpolicy tf_pol_default true tf_act_default

bind vpn vserver <VPN VS Name> -policy tf_pol_default -priority 65345

Remarque : La modification précédente peut rompre l’authentification unique pour le trafic qui atteint, <tf_pol1/tf_pol2/tf_pol3> comme pour ce trafic, stratégie de trafic <tf_pol_default> n’est pas appliqué.

Méthode correcte : pour atténuer ce problème, la propriété SSO doit être appliquée individuellement pour chacune des actions de trafic correspondantes.

Par exemple, dans le scénario précédent, pour que l’authentification unique se produise pour le trafic touchant tf_pol1/tf_pol3, la configuration suivante doit être appliquée avec <tf_pol_default>.

add vpn trafficaction tf_act1 [Additional config] -SSO ON

add vpn trafficaction tf_act3 [Additional config] -SSO ON

Configurer SSO à l’aide de l’interface graphique

  1. Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Session, sélectionnez l’onglet Profils de session, puis cliquez sur Ajouter.

    action de session tm

  2. Entrez un nom pour le profil de session, cliquez sur la case à cocher Remplacer globalement en regard du champ Connexion unique aux applications Web, puis cliquez sur Créer.

    action de session tm

  3. Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Session, sélectionnez l’onglet Stratégies de session, puis cliquez sur Ajouter.

    action de session tm

  4. Entrez un nom pour la stratégie de session, entrez « True » dans le champ Expression et cliquez sur Créer.

    action de session tm

  5. Accédez à Sécurité > AAA — Trafic des applications > Stratégies > Trafic, sélectionnez l’onglet Profils de trafic, puis cliquez sur Ajouter.

    action de session tm

  6. Entrez un nom pour le profil de trafic, sélectionnez ON dans le menu déroulant Single Sign-On, puis cliquez sur Créer.

    action de session tm

  7. Accédez à Sécurité > AAA — Trafic des applications > Stratégies> Trafic, sélectionnez l’onglet Stratégies de trafic, puis cliquez sur Ajouter.

    action de session tm

  8. Entrez un nom pour la stratégie de trafic, entrez « True » dans le champ Expression et cliquez sur Créer.

    action de session tm

  9. Accédez à Citrix Gateway > Paramètres globaux, puis cliquez sur Modifier les paramètres globaux.

    action de session tm

  10. dans la page Paramètres globaux Citrix Gateway, sélectionnez l’onglet Expérience client et cochez le champ Connexion unique aux applications Web.

    action de session tm

  11. Accédez à Citrix Gateway > Stratégies> Session, sélectionnez l’onglet Profils de session, puis cliquez sur Ajouter.

    action de session tm

  12. Sur la page Créer un profil de session Citrix Gateway, sélectionnez l’onglet Expérience client et cochez le champ Connexion unique aux applications Web.

    action de session tm

  13. Accédez à Citrix Gateway > Stratégies > Trafic, sélectionnez l’onglet Profils de trafic, puis cliquez sur Ajouter.

    action de session tm

  14. Entrez un nom pour le profil de trafic, sélectionnez ON dans le menu déroulant Single Sign-On, puis cliquez sur Créer.

    action de session tm

  15. Accédez à Citrix Gateway > Stratégies> Trafic, sélectionnez l’onglet Stratégies de trafic, puis cliquez sur Ajouter.

    action de session tm

  16. Sur la page Créer une stratégie de trafic Citrix Gateway, entrez le nom de la stratégie de trafic, entrez « True » dans le champ Expression et cliquez sur Créer.

    action de session tm

Activer l’authentification SSO pour l’authentification Basic, Digest et NTLM