Vue d’ensemble de Citrix ADC kerberos SSO
Pour utiliser la fonctionnalité d’authentification unique Citrix ADC Kerberos, les utilisateurs s’authentifient d’abord auprès de Kerberos ou d’un serveur d’authentification tiers pris en charge. Une fois authentifié, l’utilisateur demande l’accès à une application Web protégée. Le serveur Web répond par une demande de preuve que l’utilisateur est autorisé à accéder à cette application Web. Le navigateur de l’utilisateur contacte le serveur Kerberos, qui vérifie que l’utilisateur est autorisé à accéder à cette ressource, puis fournit au navigateur de l’utilisateur un ticket de service qui fournit une preuve. Le navigateur envoie la demande de l’utilisateur au serveur d’applications Web avec le ticket de service joint. Le serveur d’applications Web vérifie le ticket de service, puis permet à l’utilisateur d’accéder à l’application.
La gestion du trafic d’authentification, d’autorisation et d’audit implémente ce processus comme illustré dans le diagramme suivant. Le diagramme illustre le flux d’informations via l’appliance Citrix ADC et la gestion de l’authentification, de l’autorisation et de l’audit du trafic, sur un réseau sécurisé avec authentification LDAP et autorisation Kerberos. Les environnements de gestion du trafic d’authentification, d’autorisation et d’audit qui utilisent d’autres types d’authentification ont essentiellement le même flux d’informations, bien qu’ils puissent différer dans certains détails.
Figure 1. Un réseau sécurisé avec LDAP et Kerberos
L’authentification, l’autorisation et l’audit de la gestion du trafic avec l’authentification et l’autorisation dans un environnement Kerberos nécessitent que les actions suivantes soient effectuées.
- Le client envoie une demande de ressource au serveur virtuel de gestion du trafic sur l’appliance Citrix ADC.
- Le serveur virtuel de gestion du trafic transmet la demande au serveur virtuel d’authentification, qui authentifie le client, puis transmet la demande au serveur virtuel de gestion du trafic.
- Le serveur virtuel de gestion du trafic envoie la demande du client au serveur d’applications Web.
- Le serveur d’applications Web répond au serveur virtuel de gestion du trafic avec un message 401 non autorisé qui demande l’authentification Kerberos, avec secours à l’authentification NTLM si le client ne prend pas en charge Kerberos.
- Le serveur virtuel de gestion du trafic contacte le démon SSO Kerberos.
- Le démon SSO Kerberos contacte le serveur Kerberos et obtient un ticket d’octroi de tickets (TGT) lui permettant de demander des tickets de service autorisant l’accès aux applications protégées.
- Le démon Kerberos SSO obtient un ticket de service pour l’utilisateur et envoie ce ticket au serveur virtuel de gestion du trafic.
- Le serveur virtuel de gestion du trafic attache le ticket à la demande initiale de l’utilisateur et renvoie la demande modifiée au serveur d’applications Web.
- Le serveur d’applications Web répond avec un message 200 OK.
Ces étapes sont transparentes pour le client, qui envoie simplement une demande et reçoit la ressource demandée.
Intégration de Citrix ADC Kerberos SSO avec des méthodes d’authentification
Tous les mécanismes d’authentification, d’autorisation et d’audit de gestion du trafic prennent en charge Citrix ADC Kerberos SSO. La gestion du trafic d’authentification, d’autorisation et d’audit prend en charge le mécanisme d’authentification unique Kerberos avec les mécanismes d’authentification Kerberos, CAC (Smart Card) et SAML avec n’importe quelle forme d’authentification client vers l’appliance Citrix ADC. Il prend également en charge les mécanismes SSO HTTP-Basic, HTTP-Digest, Forms et NTLM (versions 1 et 2) si le client utilise l’authentification HTTP-Basic ou Forms pour se connecter à l’appliance Citrix ADC.
Le tableau suivant présente chaque méthode d’authentification côté client prise en charge et la méthode d’authentification côté serveur prise en charge pour cette méthode côté client.
Tableau 1. Méthodes d’authentification prises en charge
| Basique/Digest/NTLM | Délégation Kerberos contrainte | Emprunt d’identité d’un utilisateur | |
|---|---|---|---|
| CAC (Smart Card) : à la couche LS SSL/T | X | X | |
| À base de formulaires (LDAP/RADIUS/TACACS) | X | X | X |
| HTTP Basic (LDAP/RADIUS/TACACS) | X | X | X |
| Kerberos | X | ||
| NT LM v1/v2 | X | X | |
| SAML | X | ||
| SAML à deux facteurs | X | X | X |
| Certificat à deux facteurs | X | X | X |