Configurer SSO Citrix ADC
Vous pouvez configurer l’authentification unique Citrix ADC pour qu’elle fonctionne de deux manières : par emprunt d’identité ou par délégation. L’authentification SSO par emprunt d’identité est une configuration plus simple que l’authentification SSO par délégation, et est donc généralement préférable lorsque votre configuration le permet. Pour configurer l’authentification unique Citrix ADC par emprunt d’identité, vous devez disposer du nom d’utilisateur et du mot de passe de l’utilisateur.
Pour configurer l’authentification unique Citrix ADC par délégation, vous devez disposer des informations d’identification de l’utilisateur délégué dans l’un des formats suivants : le nom d’utilisateur et le mot de passe de l’utilisateur, la configuration de l’onglet clé qui inclut le nom d’utilisateur et un mot de passe chiffré, ou le certificat d’utilisateur délégué et le certificat d’autorité de certification correspondant.
Conditions préalables à la configuration de l’authentification SSO Citrix ADC
Avant de configurer l’authentification unique Citrix ADC, votre appliance Citrix ADC doit être entièrement configurée pour gérer le trafic et l’authentification de vos serveurs d’applications Web. Par conséquent, vous devez configurer l’équilibrage de charge ou la commutation de contenu, puis l’authentification, l’autorisation et l’audit, pour ces serveurs d’applications Web. Vous devez également vérifier le routage entre l’appliance, votre serveur LDAP et votre serveur Kerberos.
Si votre réseau n’est pas déjà configuré de cette manière, effectuez les tâches de configuration suivantes :
- Configurez un serveur et un service pour chaque serveur d’applications Web.
- Configurez un serveur virtuel de gestion du trafic pour gérer le trafic à destination et en provenance de votre serveur d’applications Web.
Voici de brèves instructions et exemples pour effectuer chacune de ces tâches à partir de la ligne de commande Citrix ADC. Pour de plus amples informations, voirConfiguration d’un serveur virtuel d’authentification.
Pour créer un serveur et un service à l’aide de l’interface de ligne de commande
Pour que l’authentification unique Citrix ADC puisse obtenir un TGS (ticket de service) pour un service, soit le nom de domaine complet attribué à l’entité serveur sur l’appliance Citrix ADC doit correspondre au nom de domaine complet du serveur d’applications Web, soit le nom de l’entité serveur doit correspondre au nom NetBIOS du serveur d’applications Web. Vous pouvez adopter l’une des approches suivantes :
- Configurez l’entité serveur Citrix ADC en spécifiant le nom de domaine complet du serveur d’applications Web.
- Configurez l’entité serveur Citrix ADC en spécifiant l’adresse IP du serveur d’applications Web et affectez à l’entité serveur le même nom que le nom NetBIOS du serveur d’applications Web.
À l’invite de commandes, tapez les commandes suivantes :
- add server name <serverFQDN>
- add service name serverName serviceType port
Pour les variables, remplacez les valeurs suivantes :
- Nom du serveur. Nom du dispositif Citrix ADC à utiliser pour faire référence à ce serveur.
- Nom dedomaine complet du serveur. Le nom de domaine complet du serveur. Si aucun domaine ne lui est attribué au serveur, utilisez l’adresse IP du serveur et assurez-vous que le nom de l’entité du serveur correspond au nom NetBIOS du serveur d’applications Web.
- Nom du service. Nom du dispositif Citrix ADC à utiliser pour faire référence à ce service.
- type. Protocole utilisé par le service, HTTP ou MSSQLSVC.
- port. Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.
Exemple :
Les exemples suivants ajoutent des entrées serveur et service sur l’appliance Citrix ADC pour le serveur d’applications Web was1.example.com. Le premier exemple utilise le nom de domaine complet du serveur d’applications Web ; le second utilise l’adresse IP.
Pour ajouter le serveur et le service à l’aide du nom de domaine complet du serveur d’applications Web, was1.example.com, tapez les commandes suivantes :
add server was1 was1.example.com
add service was1service was1 HTTP 80
Pour ajouter le serveur et le service à l’aide de l’adresse IP du serveur d’applications Web et du nom NetBIOS, où l’adresse IP du serveur d’applications Web est 10.237.64.87 et son nom NetBIOS est WAS1, tapez les commandes suivantes :
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 8
Pour créer un serveur virtuel de gestion du trafic à l’aide de l’interface de ligne de commande
Le serveur virtuel de gestion du trafic gère le trafic entre le client et le serveur d’applications Web. Vous pouvez utiliser un serveur virtuel d’équilibrage de charge ou de commutation de contenu comme serveur de gestion du trafic. La configuration SSO est la même pour l’un ou l’autre type.
Pour créer un serveur virtuel d’équilibrage de charge, à l’invite de commandes, tapez la commande suivante :
add lb vserver <vserverName> <type> <IP> <port>
Pour les variables, remplacez les valeurs suivantes :
- vServerName—Nom du dispositif Citrix ADC à utiliser pour faire référence à ce serveur virtuel.
- type : protocole utilisé par le service, HTTP ou MSSQLSVC.
- IP—Adresse IP attribuée au serveur virtuel. Il s’agit normalement d’une adresse IP non publique réservée à l’IANA sur votre réseau local.
- port—Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.
Exemple :
Pour ajouter un serveur virtuel d’équilibrage de charge appelé tmvserver1 à une configuration qui gère le trafic HTTP sur le port 80, en lui attribuant une adresse IP LAN 10.217.28.20 puis en liant le serveur virtuel d’équilibrage de charge au service wasservice1, tapez les commandes suivantes :
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
Pour créer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande
Le serveur virtuel d’authentification gère le trafic d’authentification entre le client et le serveur d’authentification (LDAP). Pour créer un serveur virtuel d’authentification, à l’invite de commandes, tapez les commandes suivantes :
add authentication vserver <authvserverName> SSL <IP> 443
Pour les variables, remplacez les valeurs suivantes :
- AuthVServerName : nom que l’appliance Citrix ADC doit utiliser pour faire référence à ce serveur virtuel d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Peut être modifié après l’ajout du serveur virtuel d’authentification à l’aide de la commande renommer authentication vserver.
- IP—Adresse IP attribuée au serveur virtuel d’authentification. Comme pour le serveur virtuel de gestion du trafic, cette adresse serait normalement une adresse IP non publique réservée à l’IANA sur votre réseau local.
- domain : domaine attribué au serveur virtuel. Ce serait généralement le domaine de votre réseau. Il est habituel, bien que non obligatoire, d’entrer le domaine dans toutes les capitales lors de la configuration du serveur virtuel d’authentification.
Exemple :
Pour ajouter un serveur virtuel d’authentification appelé authverver1 à votre configuration et lui attribuer l’IP LAN 10.217.28.21 et le domaine EXAMPLE.COM, tapez les commandes suivantes :
add authentication vserver authvserver1 SSL 10.217.28.21 443
Pour configurer un serveur virtuel de gestion du trafic pour utiliser un profil d’authentification
Le serveur virtuel d’authentification peut être configuré pour gérer l’authentification pour un seul domaine ou pour plusieurs domaines. S’il est configuré pour prendre en charge l’authentification pour plusieurs domaines, vous devez également spécifier le domaine pour Citrix ADC SSO en créant un profil d’authentification, puis en configurant le serveur virtuel de gestion du trafic pour utiliser ce profil d’authentification.
Remarque
Le serveur virtuel de gestion du trafic peut être soit un serveur virtuel d’équilibrage de charge (lb), soit un serveur virtuel de commutation de contenu (cs). Les instructions suivantes supposent que vous utilisez un serveur virtuel d’équilibrage de charge. Pour configurer un serveur virtuel de commutation de contenu, remplacez simplement set cs vserver par set lb vserver. La procédure est autrement la même.
Pour créer le profil d’authentification, puis configurer le profil d’authentification sur un serveur virtuel de gestion du trafic, tapez les commandes suivantes :
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver <vserverName> -authnProfile <authnprofileName>
Pour les variables, remplacez les valeurs suivantes :
- AuthnProfileName—Nom du profil d’authentification. Doit commencer par une lettre, un nombre ou le caractère de soulignement (_), et doit être composé de un à trente et un alphanumérique ou tiret (-), point (.) livre (#), espace (), à (@), égal à (=), deux-points ( :) et caractères de soulignement.
- AuthVServerName—Nom du serveur virtuel d’authentification utilisé par ce profil pour l’authentification.
- AuthenticationHost—Nom d’hôte du serveur virtuel d’authentification.
- AuthenticationDomain—Domaine pour lequel Citrix ADC SSO gère l’authentification. Obligatoire si le serveur virtuel d’authentification effectue l’authentification pour plusieurs domaines, de sorte que le domaine correct soit inclus lorsque l’appliance Citrix ADC définit le cookie du serveur virtuel de gestion du trafic.
Exemple :
Pour créer un profil d’authentification nommé AuthnProfile1 pour l’authentification du domaine example.com et pour configurer le serveur virtuel d’équilibrage de charge vserver1 pour utiliser le profil d’authentification AuthnProfile1, tapez les commandes suivantes :
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1