Citrix ADC

Configuration de l’authentification SSO Citrix ADC

Vous pouvez configurer Citrix ADC SSO pour qu’il fonctionne de deux manières : par emprunt d’identité ou par délégation. La connexion SSO par emprunt d’identité est une configuration plus simple que l’SSO par délégation, et est donc généralement préférable lorsque votre configuration le permet. Pour configurer l’authentification unique Citrix ADC par emprunt d’identité, vous devez disposer du nom d’utilisateur et du mot de passe de l’utilisateur.

Pour configurer l’authentification unique Citrix ADC par délégation, vous devez disposer des informations d’identification de l’utilisateur délégué dans l’un des formats suivants : le nom d’utilisateur et le mot de passe de l’utilisateur, la configuration de l’onglet clé qui inclut le nom d’utilisateur et un mot de passe chiffré, ou le certificat d’utilisateur délégué et le certificat d’autorité de certification correspondant.

Conditions préalables à la configuration de Citrix ADC SSO

Avant de configurer l’authentification unique Citrix ADC, votre appliance Citrix ADC doit être entièrement configurée pour gérer le trafic vers vos serveurs d’applications Web et l’authentification de ces serveurs. Par conséquent, vous devez configurer l’équilibrage de charge ou la commutation de contenu, puis l’authentification, l’autorisation et l’audit pour ces serveurs d’applications Web. Vous devez également vérifier le routage entre l’appliance, votre serveur LDAP et votre serveur Kerberos.

Si votre réseau n’est pas déjà configuré de cette manière, effectuez les tâches de configuration suivantes :

  • Configurez un serveur et un service pour chaque serveur d’applications Web.
  • Configurez un serveur virtuel de gestion du trafic pour gérer le trafic vers et depuis votre serveur d’applications Web.

Voici de brèves instructions et exemples pour effectuer chacune de ces tâches à partir de la ligne de commande Citrix ADC. Pour obtenir de l’aide supplémentaire, voir Configuration d’un serveur virtuel d’authentification.

Remarque

À partir de la version 13.1 de Citrix ADC, la traversée entre le domaine racine et le domaine d’arborescence est prise en charge pendant l’authentification SSO Kerberos pour le serveur principal à partir de l’appliance Citrix ADC.

Pour créer un serveur et un service à l’aide de l’interface de ligne de commande

Pour que Citrix ADC SSO obtienne un TGS (ticket de service) pour un service, soit le nom de domaine complet attribué à l’entité de serveur sur l’appliance Citrix ADC doit correspondre au nom de domaine complet du serveur d’applications Web, soit le nom de l’entité de serveur doit correspondre au nom NetBIOS du serveur d’applications Web. Vous pouvez adopter l’une des approches suivantes :

  • Configurez l’entité de serveur Citrix ADC en spécifiant le nom de domaine complet du serveur d’applications Web.
  • Configurez l’entité de serveur Citrix ADC en spécifiant l’adresse IP du serveur d’applications Web et attribuez à l’entité de serveur le même nom que le nom NetBIOS du serveur d’applications Web.

À l’invite de commandes, tapez les commandes suivantes :

-  add server name <serverFQDN>

-  add service name serverName serviceType port
<!--NeedCopy-->

Pour les variables, remplacez les valeurs suivantes :

  • ServerName. Nom de l’appliance Citrix ADC à utiliser pour faire référence à ce serveur.
  • Nomde domaine complet du serveur. Le nom de domaine complet du serveur. Si aucun domaine n’est attribué au serveur, utilisez l’adresse IP du serveur et assurez-vous que le nom de l’entité du serveur correspond au nom NetBIOS du serveur d’applications Web.
  • ServiceName. Nom de l’appliance Citrix ADC à utiliser pour faire référence à ce service.
  • type. Protocole utilisé par le service, HTTP ou MSSQLSVC.
  • port. Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.

Exemple :

Les exemples suivants ajoutent des entrées de serveur et de service sur l’appliance Citrix ADC pour le serveur d’applications Web was1.example.com. Le premier exemple utilise le nom de domaine complet du serveur d’applications Web ; le second utilise l’adresse IP.

Pour ajouter le serveur et le service à l’aide du nom de domaine complet du serveur d’applications Web, was1.example.com, vous devez taper les commandes suivantes :

add server was1 was1.example.com
add service was1service was1 HTTP 80
<!--NeedCopy-->

Pour ajouter le serveur et le service à l’aide de l’adresse IP du serveur d’applications Web et du nom NetBIOS, où l’adresse IP du serveur d’applications Web est 10.237.64.87 et son nom NetBIOS est WAS1, vous devez taper les commandes suivantes :

add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 8
<!--NeedCopy-->

Pour créer un serveur virtuel de gestion du trafic à l’aide de l’interface de ligne de commande

Le serveur virtuel de gestion du trafic gère le trafic entre le client et le serveur d’applications Web. Vous pouvez utiliser un serveur virtuel d’équilibrage de charge ou de commutation de contenu comme serveur de gestion du trafic. La configuration SSO est la même pour les deux types.

Pour créer un serveur virtuel d’équilibrage de charge, à l’invite de commandes, tapez la commande suivante :

add lb vserver <vserverName> <type> <IP> <port>
<!--NeedCopy-->

Pour les variables, remplacez les valeurs suivantes :

  • VServerName : nom de l’appliance Citrix ADC à utiliser pour faire référence à ce serveur virtuel.
  • type : protocole utilisé par le service, HTTP ou MSSQLSVC.
  • IP : adresse IP attribuée au serveur virtuel. Il s’agit normalement d’une adresse IP non publique réservée par l’IANA sur votre réseau local.
  • port—Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.

Exemple :

Pour ajouter un serveur virtuel d’équilibrage de charge appelé tmvserver1 à une configuration qui gère le trafic HTTP sur le port 80, en lui attribuant une adresse IP LAN 10.217.28.20, puis en liant le serveur virtuel d’équilibrage de charge au service wasservice1, vous devez taper les commandes suivantes :

add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
<!--NeedCopy-->

Pour créer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande

Le serveur virtuel d’authentification gère le trafic d’authentification entre le client et le serveur d’authentification (LDAP). Pour créer un serveur virtuel d’authentification, à l’invite de commandes, tapez les commandes suivantes :

add authentication vserver <authvserverName> SSL <IP> 443
<!--NeedCopy-->

Pour les variables, remplacez les valeurs suivantes :

  • AuthvServerName  : nom de l’appliance Citrix ADC à utiliser pour faire référence à ce serveur virtuel d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), le point (.), la livre (#), l’espace (), à (@), égal à (=), deux-points (:) et les caractères de soulignement. Peut être modifié après l’ajout du serveur virtuel d’authentification à l’aide de la commande rename authentication vserver.
  • IP : adresse IP attribuée au serveur virtuel d’authentification. Comme pour le serveur virtuel de gestion du trafic, cette adresse est normalement une adresse IP non publique réservée par l’IANA sur votre réseau local.
  • domain : domaine attribué au serveur virtuel. Il s’agit généralement du domaine de votre réseau. Il est habituel, bien que non obligatoire, d’entrer le domaine dans toutes les capitales lors de la configuration du serveur virtuel d’authentification.

Exemple :

Pour ajouter un serveur virtuel d’authentification appelé authverver1 à votre configuration et lui attribuer l’adresse IP LAN 10.217.28.21 et le domaine EXAMPLE.COM, vous devez taper les commandes suivantes :

add authentication vserver authvserver1 SSL 10.217.28.21 443
<!--NeedCopy-->

Pour configurer un serveur virtuel de gestion du trafic afin qu’il utilise un profil d’authentification

Le serveur virtuel d’authentification peut être configuré pour gérer l’authentification pour un seul domaine ou pour plusieurs domaines. S’il est configuré pour prendre en charge l’authentification pour plusieurs domaines, vous devez également spécifier le domaine pour Citrix ADC SSO en créant un profil d’authentification, puis en configurant le serveur virtuel de gestion du trafic pour utiliser ce profil d’authentification.

Remarque

Le serveur virtuel de gestion du trafic peut être un serveur virtuel d’équilibrage de charge (lb) ou de commutation de contenu (cs). Les instructions suivantes supposent que vous utilisez un serveur virtuel d’équilibrage de charge. Pour configurer un serveur virtuel de commutation de contenu, il suffit de remplacer set cs vserver par set lb vserver. Sinon, la procédure est la même.

Pour créer le profil d’authentification, puis le configurer sur un serveur virtuel de gestion du trafic, tapez les commandes suivantes :

-  add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
-  set lb vserver <vserverName> -authnProfile <authnprofileName>
<!--NeedCopy-->

Pour les variables, remplacez les valeurs suivantes :

  • AuthnProfileName : nom du profil d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et doit comprendre de un à trente et un caractères alphanumériques ou un trait d’union (-), un point (.) livre (#), espace (), à (@), égal à (=), deux-points (:) et caractères de soulignement.
  • AuthvServerName : nom du serveur virtuel d’authentification utilisé par ce profil pour l’authentification.
  • AuthenticationHost : nom d’hôte du serveur virtuel d’authentification.
  • AuthenticationDomain : domaine pour lequel Citrix ADC SSO gère l’authentification. Requis si le serveur virtuel d’authentification effectue l’authentification pour plusieurs domaines, de sorte que le domaine approprié soit inclus lorsque l’appliance Citrix ADC définit le cookie de serveur virtuel de gestion du trafic.

Exemple :

Pour créer un profil d’authentification nommé AuthnProfile1 pour l’authentification du domaine example.com et pour configurer le serveur virtuel d’équilibrage de charge vserver1 pour utiliser le profil d’authentification AuthnProfile1, tapez les commandes suivantes :

add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
     -authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
<!--NeedCopy-->
Configuration de l’authentification SSO Citrix ADC