Citrix ADC

Authentification utilisateur externe

Le service d’authentification dans une appliance Citrix ADC peut être local ou externe. Dans le cadre de l’authentification utilisateur externe, l’appliance utilise un serveur externe tel que LDAP, RADIUS ou TACACS+ pour authentifier l’utilisateur. Pour authentifier un utilisateur externe et lui accorder l’accès à l’appliance, vous devez appliquer une stratégie d’authentification. L’authentification du système Citrix ADC utilise des stratégies d’authentification avancées avec des expressions de stratégie avancées. Les stratégies d’authentification avancées sont également utilisées pour la gestion des utilisateurs système dans un dispositif Citrix ADC partitionné.

Remarque :

Si votre appliance utilise toujours des stratégies classiques et ses expressions, vous devez cesser de l’utiliser et migrer votre utilisation de stratégie classique vers l’infrastructure de stratégie avancée.

Une fois que vous avez créé une stratégie d’authentification, vous devez la lier à l’entité globale du système. Vous pouvez configurer un serveur d’authentification externe (par exemple, TACACS) en liant une seule stratégie d’authentification à l’entité globale du système. Vous pouvez également configurer une cascade de serveurs d’authentification en liant plusieurs stratégies à l’entité globale du système.

Remarque :

Lorsqu’un utilisateur externe se connecte à l’appliance, le système génère un message d’erreur « Utilisateur n’existe pas » dans le ns.log fichier. L’occurrence est due au fait que le système exécute la commande systemuser_systemcmdpolicy_binding pour initialiser l’interface graphique de l’utilisateur.

Authentification LDAP (à l’aide de serveurs LDAP externes)

Vous pouvez configurer l’appliance Citrix ADC pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP. L’autorisation LDAP nécessite des noms de groupe identiques dans Active Directory, sur le serveur LDAP et sur l’appliance. Les caractères et la casse doivent également être les mêmes.

Pour plus d’informations sur les stratégies d’authentification LDAP, consultez la Stratégies d’authentification LDAP rubrique.

Par défaut, l’authentification LDAP est sécurisée à l’aide du protocole SSL/TLS. Il existe deux types de connexions LDAP sécurisées. Dans le premier type, le serveur LDAP accepte la connexion SSL/TLS sur un port distinct du port utilisé pour accepter les connexions LDAP effacées. Une fois que les utilisateurs ont établi la connexion SSL/TLS, le trafic LDAP peut être envoyé via la connexion. Le second type permet à la fois des connexions LDAP non sécurisées et sécurisées et le port unique les gère sur le serveur. Dans ce scénario, pour créer une connexion sécurisée, le client établit d’abord une connexion LDAP claire. Ensuite, la commande LDAP StartTLS est envoyée au serveur via la connexion. Si le serveur LDAP prend en charge StartTLS, la connexion est convertie en connexion LDAP sécurisée à l’aide de TLS.

Les numéros de port pour les connexions LDAP sont les suivants :

  • 389 pour les connexions LDAP non sécurisées
  • 636 pour des connexions LDAP sécurisées
  • 3268 pour les connexions LDAP non sécurisées Microsoft
  • 3269 pour les connexions LDAP sécurisées Microsoft

Les connexions LDAP qui utilisent la commande StartTLS utilisent le numéro de port 389. Si les numéros de port 389 ou 3268 sont configurés sur l’appliance, elle tente d’utiliser StartTL pour établir la connexion. Si un autre numéro de port est utilisé, les tentatives de connexion utilisent SSL/TLS. Si StartTLS ou SSL/TLS ne peuvent pas être utilisés, la connexion échoue.

Lors de la configuration du serveur LDAP, la casse des caractères alphabétiques doit correspondre à celle du serveur et de l’appliance. Si le répertoire racine du serveur LDAP est spécifié, tous les sous-répertoires sont également recherchés pour trouver l’attribut utilisateur. Dans les répertoires volumineux, cela peut affecter les performances. Pour cette raison, Citrix vous recommande d’utiliser une unité d’organisation spécifique.

Le tableau suivant répertorie des exemples de nom unique de base (DN).

Serveur LDAP DN de base
Microsoft Active Directory DC = Citrix, DC = local
Novell eDirectory DC=Citrix, dc=net
IBM Directory Server cn=users
Lotus Domino OU=ville, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) OU=People, DC = Citrix, dc=com

Le tableau suivant répertorie des exemples de nom unique de liaison (DN).

Serveur LDAP Relier le nom distinctif
Microsoft Active Directory cn=Administrateur, CN=Utilisateurs, DC = Citrix, DC = local
Novell eDirectory cn=admin, DC=Citrix, dc=net
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) uid=admin, OU=Administrateurs, OU=Gestion topologique, O=NetscapeRoot
Serveur LDAP Relier le nom distinctif
Microsoft Active Directory cn=Administrateur, CN=Utilisateurs, DC = Citrix, DC = local
Novell eDirectory cn=admin, DC=Citrix, dc=net
IBM Directory Server LDAP_dn
Lotus Domino CN=Notes Administrator, O=Citrix, C=US
Sun ONE Directory (anciennement iPlanet) uid=admin, OU=Administrateurs, OU=Gestion topologique, O=NetscapeRoot

Configurer l’authentification utilisateur LDAP à l’aide de l’interface de ligne de commande

Procédez comme suit pour configurer l’authentification LDAP pour les utilisateurs externes

Configurer la stratégie LDAP

À l’invite de commandes, procédez comme suit :

Étape 1 : Créer une action LDAP.

add authentication ldapAction <name> {-serverIP <ip_addr|ipv6_addr|*> | {-serverName <string>}} >] [-authTimeout <positive_integer>] [-ldapBase <string>] [-ldapBindDn <string>] {-ldapBindDnPassword } [-ldapLoginName <string>] [-groupAttrName <string>] [-subAttributeName <string>]

Exemple :

add authentication ldapAction ldap_act -serverIP <IP> -authTimeout 30 -ldapBase "CN=xxxxx,DC=xxxx,DC=xxx" -ldapBindDn "CN=xxxxx,CN=xxxxx,DC=xxxx,DC=xxx" -ldapBindDnPassword abcd -ldapLoginName sAMAccountName -groupattrName memberOf -subAttributeName CN

Pour la description des paramètres, reportez-vous à la rubrique Référence des commandes d’authentification et d’autorisation.

Étape 2 : Créez une stratégie LDAP classique.

add authentication ldapPolicy <name> <rule> [<reqAction>]

Exemple :

add authentication ldappolicy ldap_pol_classic ns_true ldap_act

Remarque :

Vous pouvez configurer à l’aide d’une stratégie LDAP classique ou avancée, mais Citrix vous recommande d’utiliser une stratégie d’authentification avancée car les stratégies classiques sont obsolètes à partir de la version Citrix ADC 13.0.

Étape 3 : Créer une stratégie LDAP avancée

add authentication Policy <name> <rule> [<reqAction>]

Exemple :

add authentication policy ldap_pol_advance -rule true -action ldap_act

Étape 4 : Liez la politique LDAP au système global

À l’invite de ligne de commande, procédez comme suit :

bind system global <policyName> [-priority <positive_integer]

Exemple :

bind system global ldap_pol_advanced -priority 10

Configurer l’authentification utilisateur LDAP à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Cliquez sur Ajouter pour créer une stratégie d’authentification de type LDAP.
  3. Cliquez sur Créer et Fermer.

Configurer l'authentification utilisateur LDAP

Lier une stratégie d’authentification au système global pour l’authentification LDAP à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégies d’authentificationPolitique.
  2. Dans le volet d’informations, cliquez sur Liaisons globales pour créer une liaison de stratégie d’authentification globale système.
  3. Cliquez sur Liaisons globales.

    Lier la stratégie d'authentification au système global pour l'authentification LDAP

  4. Sélectionnez un profil d’authentification.

    Sélectionner un profil d'authentification

  5. Sélectionnez la stratégie LDAP.
  6. Dans la page Liaison de stratégie d’authentification globale système, définissez les paramètres suivants :

    1. Sélectionnez Stratégie.
    2. Détails de liaison

    Sélectionner une stratégie LDAP

  7. Cliquez sur Lier et Terminé.
  8. Cliquez sur Liaisons globales pour confirmer la stratégie délimitée au système global.

    Liaison globale LDAP

Détermination des attributs dans le répertoire LDAP

Si vous avez besoin d’aide pour déterminer vos attributs d’annuaire LDAP, vous pouvez facilement les rechercher avec le navigateur LDAP gratuit de Softerra.

Vous pouvez télécharger le navigateur LDAP à partir du site Web Softerra LDAP Administrator à l’adresse <http://www.ldapbrowser.com>. Une fois le navigateur installé, définissez les attributs suivants :

  • Nom d’hôte ou adresse IP de votre serveur LDAP.
  • Port de votre serveur LDAP. La valeur par défaut est 389.
  • Le champ DN de base peut être laissé vide.
  • Les informations fournies par le navigateur LDAP peuvent vous aider à déterminer le DN de base requis pour l’onglet Authentification.
  • La vérification de liaison anonyme détermine si le serveur LDAP requiert des informations d’identification de l’utilisateur pour que le navigateur se connecte à lui. Si le serveur LDAP requiert des informations d’identification, laissez la case désactivée.

Après avoir terminé les paramètres, le navigateur LDAP affiche le nom du profil dans le volet gauche et se connecte au serveur LDAP.

Pour plus d’informations, reportez-vous à la rubrique LDAP.

Authentification RADIUS (à l’aide de serveurs RADIUS externes)

Vous pouvez configurer l’appliance Citrix ADC pour authentifier l’accès utilisateur avec un ou plusieurs serveurs RADIUS. Si vous utilisez des produits RSA SecurID, SafeWord ou Gemalto Protiva, utilisez un serveur RADIUS.

Pour plus d’informations sur les stratégies d’authentification RADIUS, consultez la Stratégies d’authentification RADIUS rubrique.

Votre configuration peut nécessiter l’utilisation d’une adresse IP du serveur d’accès réseau (IP NAS) ou d’un identifiant de serveur d’accès réseau (ID NAS). Lorsque vous configurez l’appliance pour qu’elle utilise un serveur d’authentification RADIUS, suivez les instructions suivantes :

  • Si vous activez l’utilisation de l’IP NAS, l’appliance envoie son adresse IP configurée au serveur RADIUS, plutôt que l’adresse IP source utilisée pour établir la connexion RADIUS.
  • Si vous configurez l’ID NAS, l’appliance envoie l’identificateur au serveur RADIUS. Si vous ne configurez pas l’ID NAS, l’appliance envoie son nom d’hôte au serveur RADIUS.
  • Lorsque l’adresse IP du NAS est activée, l’appliance ignore tout ID NAS utilisé pour communiquer avec le serveur RADIUS.

Configurer l’authentification utilisateur RADIUS à l’aide de l’interface de ligne de commande

À l’invite de commandes, procédez comme suit :

Étape 1 : Créer une action RADIUS

add authentication radiusaction <name> -serverip <ip> -radkey <key> -radVendorID <id> -radattributetype <value>

Où, attribut d’ID fournisseur radVendorID RADIUS, utilisé pour l’extraction du groupe RADIUS. radAttributeType Type d’attribut RADIUS, utilisé pour l’extraction du groupe RADIUS.

Exemple :

add authentication radiusaction RADserver531 rad_action -serverip 1.1.1.1 -radkey key123 -radVendorID 66 -radattributetype 6

Étape 2 : Créez une stratégie RADIUS classique.

add authentication radiusPolicy <name> <rule> [<reqAction>]

Exemple :

add authentication radiuspolicy radius_pol_classic ns_true radius_act

Remarque :

Vous pouvez configurer une stratégie RADIUS classique ou avancée, mais Citrix vous recommande d’utiliser la stratégie d’authentification avancée car les stratégies classiques sont obsolètes à partir de la version Citrix ADC 13.0.

Étape 3 : Créer une stratégie RADIUS avancée

add authentication policy <policyname> -rule true -action <radius action name>

Exemple :

add authentication policy rad_pol_advanced -rule true -action radserver531rad_action

Étape 4 : Liez la stratégie RADIUS au système global.

bind system global <policyName> -priority <positive_integer

Exemple :

bind system global radius_pol_advanced -priority 10

Configurer l’authentification utilisateur RADIUS à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Cliquez sur Ajouter pour créer une stratégie d’authentification de type RADIUS.
  3. Cliquez sur Créer et Fermer.

Configurer la stratégie RADIUS

Liez la stratégie d’authentification au système global pour l’authentification RADIUS à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Dans le volet d’informations, cliquez sur Liaisons globales pour créer une liaison de stratégie d’authentification globale système.
  3. Cliquez sur Liaisons globales.

    Lier la stratégie d'authentification au système global pour RADIUS

  4. Sélectionnez RADIUS.
  5. Dans la page Liaison de stratégie d’authentification globale système, définissez les paramètres suivants :

    1. Sélectionnez Stratégie.
    2. Détails de liaison.

    Liaison de stratégie d'authentification globale du système

  6. Cliquez sur Lier et Fermer.
  7. Cliquez sur Liaisons globales pour confirmer la stratégie délimitée au système global.

    Liaisons globales de stratégie d'authentification RADIUS

Choisir les protocoles d’authentification utilisateur RADIUS

L’appliance Citrix ADC prend en charge les implémentations de RADIUS configurées pour utiliser l’un de plusieurs protocoles pour l’authentification utilisateur, notamment :

  • Protocole d’authentification par mot de passe
  • Protocole d’authentification CHAP (Challenge-Handshake Authentication Protocol)
  • Protocole d’authentification Microsoft Challenge-Handshake (MS-CHAP version 1 et version 2)

Si votre déploiement est configuré pour utiliser l’authentification RADIUS et que votre serveur RADIUS est configuré avec un protocole d’authentification par mot de passe, vous pouvez renforcer l’authentification utilisateur en attribuant un secret partagé fort au serveur RADIUS. Les secrets partagés RADIUS forts se composent de séquences aléatoires de lettres majuscules et minuscules, de chiffres et de ponctuation, et ont une longueur minimale de 22 caractères. Si possible, utilisez un programme de génération aléatoire de caractères pour déterminer les secrets partagés RADIUS.

Pour protéger davantage le trafic RADIUS, attribuez un secret partagé différent à chaque appliance ou serveur virtuel. Lorsque vous définissez des clients sur le serveur RADIUS, vous pouvez également attribuer un secret partagé distinct à chaque client. En outre, vous devez configurer séparément chaque stratégie qui utilise l’authentification RADIUS.

Configurer l’extraction d’adresses IP

Vous pouvez configurer l’appliance pour extraire l’adresse IP d’un serveur RADIUS. Lorsqu’un utilisateur s’authentifie auprès du serveur RADIUS, le serveur renvoie une adresse IP encadrée qui est attribuée à l’utilisateur. Voici les attributs pour l’extraction d’adresses IP :

  • Permet à un serveur RADIUS distant de fournir une adresse IP à partir du réseau interne pour un utilisateur connecté à l’appliance.
  • Permet la configuration de n’importe quel attribut RADIUS à l’aide du type ip-address, y compris ceux qui sont codés par le fournisseur.

Lors de la configuration du serveur RADIUS pour l’extraction d’adresses IP, vous configurez l’identificateur fournisseur et le type d’attribut.

L’identifiant du fournisseur permet au serveur RADIUS d’attribuer une adresse IP au client à partir d’un pool d’adresses IP configurées sur le serveur RADIUS. L’ID fournisseur et les attributs sont utilisés pour établir l’association entre le client RADIUS et le serveur RADIUS. L’ID fournisseur est l’attribut de la réponse RADIUS qui fournit l’adresse IP du réseau interne. La valeur zéro indique que l’attribut n’est pas codé par le fournisseur. Le type d’attribut est l’attribut d’adresse IP distante dans une réponse RADIUS. La valeur minimale est un et la valeur maximale est 255.

Une configuration courante consiste à extraire l’ adresse IP encadrée de l’attribut RADIUS. L’ID fournisseur est défini sur zéro ou n’est pas spécifié. Le type d’attribut est défini sur huit.

Groupe d’extraction pour RADIUS à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Stratégies avancées > Rayon, puis sélectionnez une stratégie.
  2. Sélectionnez ou créez une stratégie RADIUS.
  3. Dans la page Configurer le serveur RADIUS d’authentification, définissez les paramètres suivants.

    1. Identificateur de fournisseur de groupe
    2. Type d’attribut de groupe
  4. Cliquez sur OK et Fermer.

    Groupe d'extraction pour RADIUS

Authentification TACACS+ (à l’aide de serveurs TACACS+ externes)

Important

  • Citrix vous recommande de ne pas modifier les configurations associées TACACS lorsque vous exécutez une commande « clear ns config ».

  • La configuration associée à TACACS liée aux stratégies avancées est effacée et réappliquée lorsque le paramètre « RBAConfig » est défini sur NO dans la commande « clear ns config » pour la stratégie avancée.

Vous pouvez configurer un serveur TACACS+ pour l’authentification. Comme pour l’authentification RADIUS, TACACS+ utilise une clé secrète, une adresse IP et le numéro de port. Le numéro de port par défaut est 49. Pour configurer l’appliance pour qu’elle utilise un serveur TACACS+, indiquez l’adresse IP du serveur et le secret TACACS+. Vous devez spécifier le port uniquement lorsque le numéro de port du serveur utilisé est autre que le numéro de port par défaut 49.

Pour plus d’informations, reportez-vous à la section authentification TACACS.

Configurer l’authentification TACACS+ à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégie.
  2. Cliquez sur Ajouter pour créer une stratégie d’authentification de type TACACS.
  3. Cliquez sur Créer et Fermer.

Configurer la stratégie TACACS

Une fois les paramètres du serveur TACACS+ configurés sur l’appliance, liez la stratégie à l’entité globale du système.

Lier les stratégies d’authentification à l’entité globale du système à l’aide de l’interface de ligne de commande

Lorsque les stratégies d’authentification sont configurées, liez les stratégies à l’entité globale du système.

À l’invite de ligne de commande, procédez comme suit :

bind system global <policyName> [-priority <positive_integer>]

Exemple :

bind system global pol_classic -priority 10

Lisez également l’article Citrix, CTX113820 pour en savoir plus sur l’authentification externe à l’aide de TACACS.

Lier les stratégies d’authentification à l’entité globale du système à l’aide de l’interface graphique

  1. Accédez à Système > Authentification > Stratégies avancées > Stratégies d’authentification > Stratégie.
  2. Dans le volet d’informations, cliquez sur Liaisons globales pour créer une liaison de stratégie d’authentification globale système.
  3. Cliquez sur Liaisons globales.

    Lier la stratégie d'authentification au système global pour l'authentification TACACS

  4. Sélectionnez la stratégie TACACS.
  5. Dans la page Liaison de stratégie d’authentification globale système, définissez les paramètres suivants :

    1. Sélectionnez Stratégie.
    2. Détails de liaison

    Système global pour l'authentification TACACS

  6. Cliquez sur Lier et Fermer.
  7. Cliquez sur Liaisons globales pour confirmer la stratégie délimitée au système global.

    Confirmation de liaison globale du système pour TACACS

Pour plus d’informations sur l’extraction de groupe TACACS, consultez l’article Citrix CTX220024.

Afficher le nombre de tentatives d’ouverture de session infructueuses pour les utilisateurs externes

L’appliance Citrix ADC affiche le nombre de tentatives de connexion non valides à l’utilisateur externe lorsque vous tentez au moins une connexion infructueuse avant de vous connecter à la console de gestion Citrix ADC.

Remarque :

Actuellement, Citrix prend en charge uniquement l’authentification interactive au clavier pour les utilisateurs externes avec le paramètre « PersistentLoginEssentals » activé dans le paramètre système.

À l’invite de commandes, tapez : set aaa parameter -maxloginAttempts <value> -failedLoginTimeout <value> -persistentLoginAttempts (ENABLED | DISABLED )]

Exemple : set aaa parameter –maxloginAttempts 5 -failedLoginTimeout 4 –persistentLoginAttempts ENABLED

Following msg will be seen to external user when he tries 1 invalid login attempt before successfully login to the ADC management access.

Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
###############################################################################
#                                                                             #
#        WARNING: Access to this system is for authorized users only          #
#         Disconnect IMMEDIATELY if you are not an authorized user!           #
#                                                                             #
###############################################################################


WARNING! The remote SSH server rejected X11 forwarding request.
Last login: Mon Aug 24 17:09:00 2020 from 10.10.10.10

The number of unsuccessful login attempts since the last successful login : 1
Done
>
The number of unsuccessful login attempts since the last successful login : 1
Done
>