Citrix ADC

Gestion des identités utilisateur

Le nombre croissant de failles de sécurité et la popularité croissante des appareils mobiles ont mis en évidence la nécessité de s’assurer que l’utilisation de l’Internet externe est conforme aux politiques de l’entreprise. Seuls les utilisateurs autorisés doivent être autorisés à accéder aux ressources externes mises en service par le personnel de l’entreprise. La gestion des identités permet de vérifier l’identité d’une personne ou d’un appareil. Il ne détermine pas les tâches que l’individu peut effectuer ni les fichiers qu’il peut voir.

Un déploiement de proxy de transfert SSL identifie l’utilisateur avant d’autoriser l’accès à Internet. Toutes les demandes et réponses de l’utilisateur sont examinées. L’activité des utilisateurs est consignée et les enregistrements sont exportés vers Citrix Application Delivery Management (ADM) à des fins de création de rapports. Dans Citrix ADM, vous pouvez afficher les statistiques sur les activités utilisateur, les transactions et la consommation de bande passante.

Par défaut, seule l’adresse IP de l’utilisateur est enregistrée, mais vous pouvez configurer la fonctionnalité pour enregistrer plus de détails sur l’utilisateur. Vous pouvez utiliser ces informations d’identité pour créer des stratégies d’utilisation Internet plus riches pour des utilisateurs spécifiques.

L’appliance Citrix ADC prend en charge les modes d’authentification suivants pour une configuration de proxy explicite.

  • Protocole LDAP (Lightweight Directory Access Protocol). Authentifie l’utilisateur via un serveur d’authentification LDAP externe. Pour plus d’informations, voir Stratégies d’authentification LDAP.
  • RADIUS. Authentifie l’utilisateur via un serveur RADIUS externe. Pour plus d’informations, consultez Stratégies d’authentification RADIUS.
  • TACACS+. Authentifie l’utilisateur via un serveur d’authentification TACACS (Terminal Access Controller Access-Control System) externe. Pour plus d’informations, voir Stratégies d’authentification.
  • Negotiate. Authentifie l’utilisateur via un serveur d’authentification Kerberos. S’il y a une erreur dans l’authentification Kerberos, l’appliance utilise l’authentification NTLM. Pour plus d’informations, voir Négocier des stratégies d’authentification.

Pour le proxy transparent, seule l’authentification LDAP basée sur IP est prise en charge. Lorsqu’une demande client est reçue, le proxy authentifie l’utilisateur en vérifiant une entrée pour l’adresse IP du client dans Active Directory. Il crée ensuite une session en fonction de l’adresse IP de l’utilisateur. Toutefois, si vous configurez le SSonameAttribute dans une action LDAP, une session est créée en utilisant le nom d’utilisateur au lieu de l’adresse IP. Les stratégies classiques ne sont pas prises en charge pour l’authentification dans une configuration de proxy transparente.

Remarque

Pour un proxy explicite, vous devez définir le nom de connexion LDAP sur SAMAccountName. Pour un proxy transparent, vous devez définir le nom de connexion LDAP sur NetworkAddress et attribute1 sur SAMAccountName.

Exemple de proxy explicite :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

Exemple de proxy transparent :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

Configuration de l’authentification des utilisateurs à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

Arguments :

Nom du serveur virtuel :

Nom du serveur virtuel d’authentification auquel lier la stratégie.

Longueur maximale : 127

Type de service :

Type de protocole du serveur virtuel d’authentification. Toujours SSL.

Valeurs possibles : SSL

Valeur par défaut : SSL

Nom de l’action :

Nom de la nouvelle action LDAP. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), le point (.), la livre (#), l’espace (), à (@), égal à (=), deux-points (:) et les caractères de soulignement. Impossible de modifier une fois l’action LDAP ajoutée. L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, inscrivez-le entre guillemets doubles ou simples (par exemple, « mon action d’authentification » ou « mon action d’authentification »).

Longueur maximale : 127

IP du serveur :

Adresse IP attribuée au serveur LDAP.

Base LDAP :

Base (nœud) à partir de laquelle lancer les recherches LDAP. Si le serveur LDAP s’exécute localement, la valeur par défaut de base est dc=netscaler, dc=com. Longueur maximale : 127

LDAPBindDN :

Nom unique complet (DN) utilisé pour la liaison au serveur LDAP.

Par défaut : CN=Manager, dc=netscaler, dc=com

Longueur maximale : 127

Mot depasse LDAPBindDN :

Mot de passe utilisé pour la liaison au serveur LDAP.

Longueur maximale : 127

Nom du plugin LDA :

Attribut de nom de connexion LDAP. L’appliance Citrix ADC utilise le nom de connexion LDAP pour interroger les serveurs LDAP externes ou Active Directories. Longueur maximale : 127

Nom de la stratégie :

Nom de la stratégie d’AUTHENTIFICATION avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), le point (.), la livre (#), l’espace (), à (@), égal à (=), deux-points (:) et les caractères de soulignement. Impossible de modifier une fois qu’une stratégie d’AUTHENTIFICATION a été créée. L’exigence suivante s’applique uniquement à l’interface de ligne de commande :

Si le nom comprend un ou plusieurs espaces, inscrivez le nom entre guillemets doubles ou simples (par exemple, « ma stratégie d’authentification » ou « ma stratégie d’authentification »).

Longueur maximale : 127

règle :

Nom de la règle, ou expression de stratégie avancée, utilisée par la stratégie pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur d’AUTHENTIFICATION.

Longueur maximale : 1499

action :

Nom de l’action d’authentification à effectuer si la stratégie correspond.

Longueur maximale : 127

Priorité :

Entier positif spécifiant la priorité de la stratégie. Un nombre inférieur indique une priorité plus élevée. Les stratégies sont évaluées dans l’ordre de leurs priorités, et la première stratégie correspondant à la demande est appliquée. Doit être unique dans la liste des stratégies liées au serveur virtuel d’authentification.

Valeur minimale : 0

Valeur maximale : 4294967295

Exemple :

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

Activer la journalisation des noms d’utilisateur à l’aide de la CLI

À l’invite de commandes, tapez :

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Arguments :

Nom d’utilisateur AAA

Activez l’authentification AppFlow, l’autorisation et l’audit de la journalisation des noms d’utilisateur.

Valeurs possibles : ENABLED, DISABLED

Valeur par défaut : DISABLED

Exemple :

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Gestion des identités utilisateur