Citrix Application Delivery Management

Authentification

24 mai 2018

Les utilisateurs peuvent être authentifiés en interne par Citrix Application Delivery Management (ADM), en externe par un serveur d’authentification, ou les deux. Si l’authentification locale est utilisée, l’utilisateur doit se trouver dans la base de données de sécurité Citrix ADM. Si l’utilisateur est authentifié en externe, son « nom externe » doit correspondre à l’identité utilisateur externe enregistrée auprès du serveur d’authentification, selon le protocole d’authentification sélectionné.

Citrix ADM prend en charge l’authentification externe au moyen des protocoles RADIUS, LDAP et TACACS. Cette prise en charge unifiée fournit une interface commune pour authentifier et autoriser tous les utilisateurs du serveur d’authentification, d’autorisation et de comptabilité (AAA) locaux et externes qui accèdent au système. Citrix ADM peut authentifier les utilisateurs quels que soient les protocoles qu’ils utilisent pour communiquer avec le système. Lorsqu’un utilisateur tente d’accéder à une implémentation Citrix ADM configurée pour l’authentification externe, le serveur d’applications demandé envoie le nom d’utilisateur et le mot de passe au serveur RADIUS, LDAP ou TACACS pour authentification. Si l’authentification réussit, le protocole correspondant est utilisé pour identifier l’utilisateur dans Citrix ADM.

Vous pouvez authentifier vos utilisateurs dans Citrix ADM de deux manières :

  • À l’aide des serveurs locaux Citrix ADM
  • À l’aide de serveurs d’authentification externes

L’organigramme suivant présente le flux de travail à suivre lorsque vous authentifiez des utilisateurs locaux ou externes :

image localisée

Configurer des serveurs d’authentification externes

Citrix ADM prend en charge divers protocoles pour fournir des services externes d’authentification, d’autorisation et de comptabilité (AAA).

Citrix ADM envoie toutes les demandes de service d’authentification, d’autorisation et de comptabilité (AAA) au serveur RADIUS, LDAP ou TACACS+ distant. Le serveur AAA distant reçoit la demande, valide la demande et renvoie une réponse à Citrix ADM. Lorsqu’il est configuré pour utiliser un serveur RADIUS, TACACS+ ou LDAP distant pour l’authentification, Citrix ADM devient un client RADIUS, TACACS+ ou LDAP. Dans l’une de ces configurations, les enregistrements d’authentification sont stockés dans la base de données du serveur hôte distant. Le nom du compte de connexion et de déconnexion, les autorisations attribuées et les enregistrements de comptabilisation temporelle sont également stockés sur le serveur AAA pour chaque utilisateur.

En outre, vous pouvez utiliser la base de données interne de Citrix ADM pour authentifier les utilisateurs localement. Vous créez des entrées dans la base de données pour les utilisateurs, leurs mots de passe et leurs rôles par défaut. Vous pouvez également créer des groupes de serveurs pour des types d’authentification spécifiques. La liste des serveurs d’un groupe de serveurs est une liste ordonnée. Le premier serveur de la liste est toujours utilisé à moins qu’il ne soit indisponible, auquel cas le serveur suivant de la liste est utilisé. Vous pouvez configurer des serveurs de différents types dans un groupe, et vous pouvez également inclure la base de données interne en tant que sauvegarde d’authentification de secours dans la liste configurée des serveurs AAA.

Configurer un serveur d’authentification RADIUS

Vous pouvez configurer Citrix ADM pour authentifier l’accès utilisateur avec un ou plusieurs serveurs RADIUS. Votre configuration peut nécessiter l’utilisation d’une adresse IP du serveur d’accès réseau (NAS) ou d’un identificateur de serveur d’accès réseau (ID NAS). Lors de la configuration de Citrix ADM pour utiliser un serveur d’authentification RADIUS, utilisez les lignes directrices suivantes:Si vous activez l’utilisation de l’adresse IP du NAS, la solution matérielle-logicielle envoie son adresse IP configurée au serveur RADIUS, plutôt que d’envoyer l’adresse IP source utilisée pour établir la connexion RADIUS.

  • Si vous configurez l’ID NAS, l’appliance envoie l’identificateur au serveur RADIUS. Si vous ne configurez pas l’ID NAS, l’appliance envoie son nom d’hôte au serveur RADIUS.
  • Si vous activez l’adresse IP du NAS, la solution matérielle-logicielle ignore tout ID NAS configuré et utilise l’IP du NAS pour communiquer avec le serveur RADIUS.

Pour configurer un serveur d’authentification RADIUS :

  1. Dans Citrix ADM, accédez à Système > Authentification > RADIUS.

  2. Sur la page RADIUS, cliquez sur Ajouter.

  3. Dans la page Créer un serveur RADIUS, définissez les paramètres et cliquez sur Créer pour ajouter le serveur à la liste des serveurs d’authentification RADIUS. Les paramètres suivants sont obligatoires :

    1. Nom. Nom du serveur RADIUS.

    2. Nom du serveur/adresse IP. Nom du serveur ou adresse IP du serveur RADIUS.

    3. Port. Par défaut, le port 1812 est utilisé pour l’authentification RADIUS. Vous pouvez spécifier un numéro de port différent si nécessaire.

    4. Délai d’expiration (secondes). Temps, en secondes, pendant lequel le système Citrix ADM attend une réponse du serveur RADIUS.

    5. Clé secrète. Toute expression alphanumérique. Il s’agit de la clé partagée entre Citrix ADM et le serveur RADIUS pour activer la communication.

  4. Cliquez sur Détails pour développer la section et définir les paramètres supplémentaires, puis cliquez sur Créer.

Pour plus d’informations sur l’ajout de serveurs RADIUS, consultez Comment ajouter des serveurs d’authentification RADIUS.

Configurer un serveur d’authentification LDAP

Vous pouvez configurer Citrix ADM pour authentifier l’accès utilisateur avec un ou plusieurs serveurs LDAP. L’autorisation LDAP nécessite des noms de groupe identiques dans Active Directory, sur le serveur LDAP et sur Citrix ADM. Les caractères et la casse doivent également correspondre.

Pour configurer un serveur d’authentification LDAP :

  1. Dans Citrix ADM, accédez à Système > Authentification > LDAP.

  2. Sur la page LDAP, cliquez sur Ajouter.

  3. Dans la page Créer un serveur LDAP, définissez les paramètres et cliquez sur Créer pour ajouter le serveur à la liste des serveurs d’authentification LDAP. Les paramètres suivants sont obligatoires :

    1. Nom. Nom du serveur LDAP.

    2. Nom du serveur/adresse IP. Nom du serveur ou adresse IP du serveur LDAP.

    3. Type de sécurité. Type de communication requis entre le système et le serveur LDAP. Sélectionnez dans la liste déroulante. Si la communication en texte brut est inadéquate, vous pouvez choisir la communication chiffrée en sélectionnant Transport Layer Security (TLS) ou SSL.

    4. Port. Par défaut, le port 389 est utilisé pour l’authentification LDAP. Vous pouvez spécifier un numéro de port différent si nécessaire.

    5. Type de serveur. Sélectionnez Active Directory (AD) ou Novell Directory Service (NDS) comme type de serveur LDAP.

    6. Délai d’expiration (secondes). Durée, en secondes pendant laquelle le système Citrix ADM attend une réponse du serveur LDAP.

Vous pouvez fournir des détails supplémentaires. Vous pouvez également valider le certificat LDAP en cochant la case Valider le certificat LDAP et en spécifiant le nom d’hôte à saisir sur le certificat. Certains des paramètres supplémentaires que vous pouvez ajouter sont les détails du serveur de noms de domaine (DN) pour les requêtes concernant un service d’annuaire, un groupe d’authentification par défaut, des attributs de groupe et d’autres attributs.

Le DN de base est généralement dérivé du DN de liaison en supprimant le nom d’utilisateur et en spécifiant le groupe auquel appartiennent les utilisateurs. Dans la zone de texte Administrateur Bind DN, tapez le DN de liaison administrateur pour les requêtes dans le répertoire LDAP.

Voici des exemples de syntaxe pour le DN de base :

  • ou=utilisateurs, dc=ace, dc=com

  • cn=Utilisateurs, dc=ace, dc=com

Voici des exemples de syntaxe pour le DN de liaison :

  • nom de domaine/utilisateur

  • ou=administrateur, dc=ace, dc=com

  • user@domain.name (pour Active Directory)

  • cn=Administrateur, CN=Utilisateurs, dc=ace, dc=com

Le nom du groupe et le nom des utilisateurs que vous définissez dans Citrix ADM doivent être similaires à ceux configurés sur le serveur LDAP.

Remarque

Lors de la configuration d’un serveur RADIUS ou LDAP, dans la section Détails, vous pouvez entrer le nom d’un groupe d’authentification par défaut. Ce groupe par défaut est choisi pour autoriser l’utilisateur lorsque l’authentification réussit, indépendamment du fait qu’il soit lié à un groupe ou non. L’utilisateur reçoit ensuite une combinaison d’autorisations configurées sur ce groupe par défaut et les autres groupes, qu’il soit affecté au groupe ou non.

Pour plus d’informations sur l’ajout de serveurs LDAP, consultez Comment ajouter des serveurs d’authentification LDAP.

Pour plus d’informations sur la façon de mettre en cascade des serveurs d’authentification externes, consultez Comment faire pour cascade des serveurs d’authentification externes.

Configurer un serveur d’authentification TACACS

TACACS, comme RADIUS et LDAP, gère les services d’authentification à distance pour l’accès au réseau.

Configurer un serveur d’authentification TACACS :

  1. Dans Citrix ADM, accédez à Système > Authentification > TACACS.

  2. Sur la page TACACS, cliquez sur Ajouter.

  3. Dans la page Créer un serveur TACACS, entrez les informations suivantes :

    1. Nom du serveur TACACS

    2. Adresse IP du serveur TACACS

    3. Port et délai d’attente (en secondes)

    4. Clé partagée par le système et le serveur TACACS pour la communication.

    5. Sélectionnez Comptabilité si vous souhaitez que l’appliance consigne les informations d’audit avec le serveur TACACS.

  4. Cliquez sur Créer.

Pour plus d’informations sur l’ajout de serveurs TACACS, consultez Comment ajouter des serveurs d’authentification TACACS.

Remarque

Pour rechercher des serveurs d’authentification ajoutés dans Citrix ADM, cliquez dans la barre de recherche et sélectionnez les critères de recherche requis.

image localisée

Configurer une authentification locale des utilisateurs dans Citrix ADM

Si vous utilisez l’authentification locale, créez des utilisateurs, puis ajoutez-les aux groupes que vous créez sur Citrix ADM. Après avoir configuré des utilisateurs et des groupes, vous pouvez appliquer des stratégies d’autorisation et de session, créer des signets, spécifier des applications et spécifier l’adresse IP des partages de fichiers et des serveurs auxquels les utilisateurs ont accès.

Pour configurer une authentification locale dans Citrix ADM :

  1. Dans Citrix ADM, accédez à Système > Authentification, puis cliquez sur Configuration de l’authentification.

  2. Dans la page Configuration de l’authentification, sélectionnez LOCAL dans la liste déroulante Type de serveur, puis cliquez sur OK.

Configurer une authentification externe dans Citrix ADM

Lorsque vous configurez des serveurs d’authentification externes dans Citrix ADM, les groupes d’utilisateurs authentifiés sur ces serveurs externes sont importés dans Citrix ADM. Vous n’avez pas besoin de créer des utilisateurs sur Citrix ADM. Les utilisateurs sont gérés sur les serveurs externes à partir de Citrix ADM. Toutefois, vous devez vous assurer que les niveaux d’autorisation des groupes d’utilisateurs sur les serveurs d’authentification externes sont conservés dans Citrix ADM. Citrix ADM effectue l’autorisation des utilisateurs en attribuant des autorisations de groupe pour l’accès à des serveurs virtuels d’équilibrage de charge spécifiques et à des applications spécifiques sur le système. Si un serveur d’authentification est supprimé ultérieurement du système, les groupes et les utilisateurs seront automatiquement supprimés du système.

Pour configurer une authentification externe dans Citrix ADM :

  1. Dans Citrix ADM, accédez à Système > Authentification, puis cliquez sur Configuration de l’authentification.

  2. Dans la page Configuration de l’authentification, sélectionnez EXTERNE dans la liste déroulante Type de serveur.

  3. Cliquez sur Insérer.

  4. Sur la page Serveurs externes, sélectionnez un serveur d’authentification. Le cas échéant, vous pouvez sélectionner plusieurs serveurs d’authentification en cascade.

    Remarque

    Seuls les serveurs externes peuvent être montés en cascade.

  5. Sélectionnez Activer l’authentification locale de secours si vous souhaitez que l’authentification locale prenne en charge si l’authentification externe échoue.

  6. Cliquez sur OK pour fermer la page.

    Les serveurs sélectionnés sont affichés sur la page Serveurs d’authentification.

    Vous pouvez également spécifier l’ordre d’authentification à l’aide de l’icône située en regard des noms de serveur pour déplacer les serveurs vers le haut ou vers le bas de la liste.

Configurer des groupes dans Citrix ADM

Citrix ADM vous permet d’authentifier et d’autoriser vos utilisateurs en créant des groupes et en ajoutant les utilisateurs aux groupes. Un groupe peut avoir des autorisations « admin » ou « lecture seule » et tous les utilisateurs de ce groupe recevront les mêmes autorisations.

Dans Citrix ADM, un groupe est défini comme un ensemble d’utilisateurs disposant d’autorisations similaires. Un groupe peut avoir un ou plusieurs rôles. Un utilisateur est défini comme une entité pouvant avoir accès en fonction des autorisations attribuées. Un utilisateur peut appartenir à un ou plusieurs groupes.

Vous pouvez créer des groupes locaux dans Citrix ADM et utiliser l’authentification locale pour les utilisateurs des groupes. Si vous utilisez des serveurs externes pour l’authentification, configurez les groupes sur Citrix ADM pour qu’ils correspondent aux groupes configurés sur les serveurs d’authentification du réseau interne. Lorsqu’un utilisateur ouvre une session et est authentifié, si un nom de groupe correspond à un groupe sur un serveur d’authentification, l’utilisateur hérite des paramètres du groupe sur Citrix ADM.

Après avoir configuré des groupes, vous pouvez appliquer des stratégies d’autorisation et de session, créer des signets, spécifier des applications et spécifier les adresses IP des partages de fichiers et des serveurs auxquels l’utilisateur a accès.

Si vous utilisez l’authentification locale, créez des utilisateurs et ajoutez-les aux groupes configurés sur Citrix ADM. Les utilisateurs héritent ensuite des paramètres de ces groupes.

Remarque

Si les utilisateurs sont membres d’un groupe Active Directory, le nom du groupe et les noms des utilisateurs sur Citrix ADM doivent être identiques à ceux du groupe Active Directory.

Pour configurer des groupes d’utilisateurs dans Citrix ADM :

  1. Dans Citrix ADM, accédez à Système > Administration des utilisateurs > Groupes.

  2. Dans la page Groupes, cliquez sur Ajouter pour créer un groupe. Par défaut, deux groupes sont créés dans Citrix ADM, avec des autorisations définies sur admin et lecture seule. Vous pouvez ajouter vos utilisateurs à ces groupes ou créer d’autres groupes pour vos utilisateurs.

  3. Dans l’onglet Paramètres de groupe de la page Créer un groupe système, tapez le nom du groupe et définissez Rôles en tant qu’administrateur ou en lecture seule. Vous pouvez sélectionner Configurer le délai d’expiration de la session utilisateur pour définir une limite de délai pour les sessions utilisateur connectée pour ce groupe.

    Remarque

    Assurez-vous que le nom du groupe d’utilisateurs créé sur Citrix ADM est le même que sur les serveurs d’authentification externes. Sinon, le système ne reconnaîtra pas le groupe et les membres du groupe ne seront pas extraits dans le système.

  4. Dans l’onglet Paramètres d’autorisation, sélectionnez les groupes requis. Cliquez sur Créer un groupe.

  5. Dans l’onglet Affecter des utilisateurs, sélectionnez les utilisateurs que vous souhaitez ajouter au groupe. Les utilisateurs sont ajoutés à ce tableau lorsque vous configurez les utilisateurs dans Configurer les utilisateurs dans Citrix ADM.

  6. Cliquez sur Terminer.

Lorsque vous avez terminé de créer un groupe dans le système, tous les utilisateurs du serveur d’authentification externe sont extraits dans le système. Si le nom du groupe correspond au nom du groupe sur le serveur d’authentification externe, l’utilisateur hérite de toutes les définitions d’autorisation lorsqu’il est connecté au système.

Configurer des utilisateurs dans Citrix ADM

Vous pouvez créer des comptes d’utilisateurs localement sur Citrix ADM pour compléter les utilisateurs sur les serveurs d’authentification. Par exemple, vous pouvez créer des comptes d’utilisateurs locaux pour des utilisateurs temporaires, tels que des consultants ou des visiteurs, sans créer d’entrée pour ces utilisateurs sur le serveur d’authentification. Si vous authentifiez localement des utilisateurs présents sur des serveurs d’authentification externes, assurez-vous que les mêmes utilisateurs sont présents sur les serveurs d’authentification et sur Citrix ADM.

Pour configurer des utilisateurs dans Citrix ADM :

  1. Dans Citrix ADM, accédez à Système > Administration des utilisateurs > Utilisateurs.

  2. Sur la page Utilisateurs, cliquez sur Ajouter pour ajouter des utilisateurs à Citrix ADM.

  3. Dans la page Créer un utilisateur système, définissez les paramètres suivants :

    1. Nom d’utilisateur. Nom de l’utilisateur

    2. Mot de passe. Mot de passe que l’utilisateur utilisera pour se connecter à Citrix ADM

    3. Activer l’authentification externe. Si cette option n’est pas activée, l’utilisateur sera authentifié en tant qu’utilisateur local.

    4. Configurer le délai d’expiration de la session utilisateur. Temps pendant lequel un utilisateur peut rester actif. Cette période de temps peut être définie en minutes ou en heures.

  4. Dans le tableau Groupes, sélectionnez le groupe auquel ajouter l’utilisateur. Les membres du groupe sont ajoutés à ce tableau lorsque vous configurez des groupes dans Configuration des groupes d’utilisateurs dans Citrix ADM.

  5. Cliquez sur Créer.

Remarque

Si les utilisateurs sont sur Active Directory, assurez-vous que le nom du groupe dans Citrix ADM est identique à celui du groupe Active Directory sur le serveur externe.