Gestion des identités utilisateur

Un nombre croissant de violations de la sécurité et la popularité croissante des appareils mobiles ont souligné la nécessité de veiller à ce que l’utilisation de l’Internet externe soit conforme aux politiques de l’entreprise et que seuls les utilisateurs autorisés accèdent aux ressources externes fournies par le personnel de l’entreprise. La gestion des identités permet de vérifier l’identité d’une personne ou d’un appareil. Elle ne détermine pas quelles tâches la personne peut effectuer ni quels fichiers elle peut voir.

Un déploiement de Secure Web Gateway (SWG) identifie l’utilisateur avant d’autoriser l’accès à Internet. Toutes les demandes et réponses de l’utilisateur sont inspectées. L’activité de l’utilisateur est consignée et les enregistrements sont exportés vers Citrix Application Delivery Management (ADM) à des fins de création de rapports. Dans Citrix ADM, vous pouvez afficher les statistiques sur les activités utilisateur, les transactions et la consommation de bande passante.

Par défaut, seule l’adresse IP de l’utilisateur est enregistrée, mais vous pouvez configurer l’appliance Citrix SWG pour enregistrer plus de détails sur l’utilisateur et utiliser ces informations d’identité pour créer des stratégies d’utilisation Internet plus riches pour des utilisateurs spécifiques.

L’appliance Citrix ADC prend en charge les modes d’authentification suivants pour une configuration de proxy explicite.

  • Protocole LDAP (Lightweight Directory Access Protocol). Authentifie l’utilisateur via un serveur d’authentification LDAP externe. Pour plus d’informations, reportez-vous à la section Stratégies d’authentification LDAP.
  • RADIUS. Authentifie l’utilisateur via un serveur RADIUS externe. Pour plus d’informations, reportez-vous à la section Stratégies d’authentification RADIUS.
  • TACACS +. Authentifie l’utilisateur via un serveur d’authentification TACACS (Terminal Access Controller Access-Control System) externe. Pour plus d’informations, reportez-vous à la section Stratégies d’authentification.
  • Négocier. Authentifie l’utilisateur via un serveur d’authentification Kerberos. En cas d’erreur dans l’authentification Kerberos, l’appliance utilise l’authentification NTLM. Pour plus d’informations, reportez-vous à la section Négocier des stratégies d’authentification.

Pour le proxy transparent, seule l’authentification LDAP basée sur IP est actuellement prise en charge. Lorsqu’une demande client est reçue, le proxy authentifie l’utilisateur en vérifiant une entrée pour l’adresse IP du client dans l’annuaire actif et crée une session basée sur l’adresse IP de l’utilisateur. Toutefois, si vous configurez l’attribut SsonameAttribute dans une action LDAP, une session est créée à l’aide du nom d’utilisateur au lieu de l’adresse IP. Les stratégies classiques ne sont pas prises en charge pour l’authentification dans une configuration de proxy transparente.

Remarque

Pour le proxy explicite, vous devez définir le nom de connexion LDAP sursAMAccountName. Pour le proxy transparent, vous devez définir le nom de connexion LDAP surnetworkAddress etattribute1 sursAMAccountName.

Exemple de proxy explicite :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName

Exemple de proxy transparent :

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

Configurer l’authentification utilisateur à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>

Arguments :

Nom du serveur virtuel :

          Nom du serveur virtuel d'authentification auquel lier la stratégie.

          Longueur maximale : 127

Type de service :

          Type de protocole du serveur virtuel d'authentification. Toujours SSL.

          Valeurs possibles : SSL

          Valeur par défaut : SSL

Nom de l’action :

          Nom de la nouvelle action LDAP. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d'union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois l'action LDAP ajoutée. L'exigence suivante s'applique uniquement à l'interface de ligne de commande :

Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon action d’authentification » ou « mon action d’authentification »).

Longueur maximale : 127

ServerIP :

          Adresse IP attribuée au serveur LDAP.

LDAPBase :

          Base (nœud) à partir de laquelle démarrer les recherches LDAP. Si le serveur LDAP s'exécute localement, la valeur par défaut de base est dc = netscaler, dc = com. Longueur maximale : 127

ldapBindDn :

          Nom unique complet (DN) utilisé pour lier au serveur LDAP.

          Par défaut : cn = Manager, dc = netscaler, dc = com

Longueur maximale : 127

ldapBindDnPassword :

          Mot de passe utilisé pour se lier au serveur LDAP.

Longueur maximale : 127

ldapLoginName :

          Attribut de nom de connexion LDAP. L'appliance Citrix ADC utilise le nom de connexion LDAP pour interroger des serveurs LDAP externes ou Active Directory. Longueur maximale : 127

Nom de la stratégie :

          Nom de la stratégie d'authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d'union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTIFICATION créée. L'exigence suivante s'applique uniquement à l'interface de ligne de commande :

          Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « ma stratégie d'authentification » ou « ma stratégie d'authentification »).

Longueur maximale : 127

règle :

          Nom de la  règle ou expression de syntaxe par défaut utilisée par la stratégie pour déterminer s'il faut tenter d'authentifier l'utilisateur avec le serveur AUTHENTIFICATION.

Longueur maximale : 1499

action :

          Nom de l'action d'authentification à effectuer si la stratégie correspond.

Longueur maximale : 127

priorité :

Entier          positif spécifiant la priorité de la stratégie. Un nombre inférieur spécifie une priorité plus élevée. Les stratégies sont évaluées dans l'ordre de leurs priorités, et la première stratégie qui correspond à la demande est appliquée. Doit être unique dans la liste des stratégies liées au serveur virtuel d'authentification.

Valeur minimale : 0

Valeur maximale : 4294967295

Exemple :

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit                                                                                   Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done

Activer la journalisation des noms d’utilisateur à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

set appflow param -AAAUserName ENABLED

Arguments :

AAAuserName

          Activez la journalisation des noms d'utilisateur AppFlow AAA.

          Valeurs possibles : ENABLED, DISABLED

          Valeur par défaut : DISABLED

Exemple :

set appflow param -AAAUserName ENABLED