Document technique : Meilleures pratiques pour les déploiements Citrix ADC

Vue d’ensemble

Ce document technique vise à expliquer ce qu’une personne qualifiée en ADC pourrait configurer en tant qu’implémentation générique.

Remarque : Il est peu probable qu’il existe une configuration unique qui convienne à tout le monde. Un consultant ou un administrateur ayant une meilleure connaissance de vos besoins peut s’écarter de ces valeurs par défaut et documenter les raisons de ces modifications.

Paramètres de gestion de l’alimentation et de l’extinction

Si vous avez acheté une appliance Citrix ADC, vous devez vous assurer que :

  1. Les Citrix ADC sont déployés dans des emplacements suffisamment séparés pour répondre à vos exigences de haute disponibilité.

  2. Les blocs d’alimentation redondants de chaque ADC (si vous en avez acheté un) sont connectés à des alimentations électriques distinctes.

  3. La carte de gestion des lumières éteintes (si vous avez acheté des appareils avec une telle carte) est configurée.

Vous trouverez plus d’informations sur la configuration des cartes de gestion des feux éteints ici.

Câblage réseau physique, réseaux locaux virtuels et connectivité

1. Toutes les interfaces physiques connectant le Citrix ADC à vos réseaux sont redondantes

Pour garantir le flux de données en cas de défaillance d’un câble, d’un commutateur ou d’une interface, connectez votre ADC à chaque réseau à l’aide de câbles redondants.

Pour combiner les interfaces reliant chaque réseau en une seule liaison (appelée canal), vous devez configurer l’agrégation de liens sur votre ADC. Dans la mesure du possible, il est préférable d’utiliser le protocole LACP (Link Aggregation Control Protocol). Toutefois, des liens agrégés manuels sont également possibles si vos commutateurs réseau ne prennent pas en charge le protocole LACP.

Les instructions pour configurer l’agrégation de liens sur votre Citrix ADC se trouvent ici

Dans un environnement virtualisé ou cloud, votre fournisseur gère la redondance des interfaces, et cette étape n’est pas requise.

2. Les interfaces physiques non utilisées sont désactivées

Désactivez toutes les interfaces physiques que vous n’utilisez pas. La désactivation des interfaces inutilisées empêche leur connexion accidentelle ou malveillante à d’autres réseaux ou appareils.

Vous pouvez désactiver une interface physique en sélectionnant Système, Réseau, Interfaces. Ensuite, en cochant la case à côté de l’interface, en cliquant sur « Sélectionner une action », puis sur « Désactiver ».

3. Définir toutes les interfaces physiques redondantes pour qu’elles ne soient pas surveillées pour HA dans le système, le réseau et les interfaces

Comme chaque réseau possède des connexions redondantes, il n’est pas souhaitable que ADC initie un basculement HA en cas de défaillance d’une liaison unique. Au lieu de cela, l’ADC doit s’appuyer sur la liaison restante et ne déclencher un basculement que si toutes les liaisons échouent.

Pour empêcher un basculement HA en cas de défaillance d’une interface unique dans un canal redondant, marquez les interfaces des composants comme non surveillées.

Pour marquer une interface comme étant non surveillée, sélectionnez Système, Réseau, Interfaces. Ensuite, sélectionnez chaque interface qui fait partie de chaque canal redondant et réglez le bouton radio “HA Monitoring” sur “OFF”.

Dans un environnement virtualisé ou Cloud, vous disposez d’interfaces virtuelles et vous n’avez pas besoin d’effectuer cette étape car votre fournisseur gère la redondance des interfaces.

4. Tous les canaux comprenant des interfaces physiques redondantes doivent être surveillés pour la haute disponibilité au sein du système, du réseau et des canaux

La défaillance de toutes les liaisons agrégées reliant ADC à un réseau particulier fait entrer le canal représentant ces liaisons dans un état Failed/down.

Vérifiez que la surveillance a été activée pour le canal et que l’ADC basculera en cas de défaillance de toutes les liaisons redondantes.

Pour marquer une chaîne comme surveillée, sélectionnez Système, Réseau, Canaux. Ensuite, sélectionnez chaque canal et réglez le bouton radio “HA Monitoring” sur “ON”.

5. Tous les canaux sont liés à un VLAN distinct et vous avez veillé à ce qu’aucun canal non marqué ne soit accidentellement toujours dans le VLAN 1

Chaque canal redondant représente ordinairement les liaisons physiques agrégées reliant ADC à un réseau logique particulier.

Dans un environnement virtualisé ou Cloud, chaque interface représente probablement des liens physiques agrégés avec votre fournisseur ayant terminé le travail d’agrégation pour vous.

Par défaut, l’ADC considère toutes les interfaces, les canaux et les adresses IP comme étant VLAN 1 et le même réseau logique. Ainsi, si vous négligez la configuration du VLAN, toutes les adresses IP attribuées au ADC seraient disponibles à partir de chaque réseau directement connecté.

Pour éviter ce comportement, configurez des VLAN sur l’ADC pour représenter vos réseaux logiques et isoler le trafic de manière appropriée.

Vous trouverez des instructions pour créer des VLAN ici.

6. Créez une paire HA entre vos ADC dans System, High Availability

Citrix considère qu’il est recommandé de déployer des ADC de manière redondante. Vous pouvez obtenir une redondance en mettant en œuvre une paire HA, en créant un cluster ou en utilisant une technologie telle que GSLB pour répartir les demandes entre les instances. Les paires HA comprennent deux nœuds ADC et les clusters peuvent avoir jusqu’à 32 nœuds. Pour une implémentation générique, Citrix recommande la création d’une paire HA à deux nœuds.

Vous trouverez des instructions pour configurer une paire HA ici

7. Créez et liez un SNIP à chaque VLAN, en vous assurant que chaque SNIP se trouve dans le sous-réseau du réseau connecté

Citrix ADC initie la communication à partir d’une adresse IP de sous-réseau (appelée SNIP) avec des exceptions limitées.

Créez une adresse IP/SNIP de sous-réseau pour chaque réseau logique directement connecté. Comme vous avez déjà isolé chaque réseau à l’aide de VLAN, vous devez lier chaque SNIP à son VLAN respectif. Veillez à ce qu’aucun VLAN ne manque un SNIP.

L’ADC identifie dans quel VLAN chaque adresse IP virtuelle (VIP) doit être placée en fonction des sous-réseaux du SNIP. La configuration VLAN isole ensuite les serveurs virtuels au sein du réseau prévu.

Vous trouverez des instructions pour configurer les SNIP ici.

Remarque : SNIP les services de gestion des hôtes par défaut. Pour créer des SNIP sans activer le service de gestion, ajoutez le paramètre « -MgmtAccess DISABLED » à la commande « add ns IP ».

8. Configurer les routes dont l’ADC a besoin dans System, Network, Routes

Si vous avez connecté plusieurs réseaux logiques, vous avez probablement des routeurs dans chacun d’eux. Par conséquent, vous devez maintenant configurer toutes les routes dont l’ADC a besoin pour atteindre ses clients et ses serveurs back-end.

Vous trouverez des instructions pour configurer les itinéraires ici.

Remarque : L’ADC possède une table de routage unique qui s’applique à toutes les interfaces.

9 Créez toutes les routes basées sur des stratégies requises

Parfois, il est impossible de configurer une route statique pour fournir le comportement souhaité.

Un ADC avec des réseaux d’entrée, de sortie et de gestion dédiés distincts, ainsi que des clients de gestion sur le réseau de sortie, est l’exemple le plus fréquent.

Les règles statiques ne suffiraient pas dans ce cas. Au lieu de cela, une route basée sur des règles serait requise (PBR). En utilisant un PBR, vous pouvez forcer le trafic provenant de l’adresse IP de gestion de l’ADC à transiter par le routeur de gestion. L’utilisation d’un PBR permet de contourner la table de routage statique, qui sinon enverrait des données au réseau de sortie.

Vous trouverez des instructions pour configurer des itinéraires basés sur des stratégies ici.

Toutefois, si vous avez le scénario décrit dans notre exemple, vous avez besoin du PBR suivant :

add ns pbr Management ALLOW -srcIP = <NSIP_of_first_HA_node>-<NSIP_of_second_HA_node> -destIP "!=" <first_IP_management_subnet>–<last_IP_management_subnet> -nextHop <management_subnet_router> - priority 1
apply pbrs
<!--NeedCopy-->

10. Assurez-vous que vous pouvez envoyer un ping à chaque SNIP avec le transfert basé sur Mac (MBF) désactivé ou que vous comprenez pourquoi vous ne pouvez pas

Citrix ADC possède un mode appelé Mac Based Forwarding (MBF). MBF oblige l’ADC à ignorer la table de routage et à envoyer des réponses à l’adresse MAC à partir de laquelle il a reçu le trafic.

MBF est très utile lorsque vous ne pouvez pas définir vos itinéraires. Supposons que l’ADC dispose de plusieurs connexions Internet et qu’il doive répondre à l’aide du routeur Internet par lequel le trafic est arrivé. Dans ce cas, MBF demande à l’ADC d’enregistrer l’adresse MAC source de chaque connexion et de l’utiliser comme adresse MAC de destination dans sa réponse.

Toutefois, le fait que MBF remplace la table de routage peut rendre le dépannage plus complexe. Avec MBF, vous ne pouvez pas comprendre les flux de trafic provenant uniquement du fichier de configuration de l’ADC, car MBF remplace la table de routage et le trafic peut ne pas circuler comme prévu. Le résultat est que MBF, bien que crucial pour certaines implémentations, peut également entraîner des erreurs de configuration dans le réseau de prise en charge qui ne sont pas détectées.

Désactivez MBF pour vous assurer que votre table de routage et vos PBR sont corrects. Après avoir désactivé MBF, vérifiez que chaque SNIP reste accessible ou que vous comprenez pourquoi il ne l’est pas.

La commande pour désactiver MBF est

disable ns mode mbf
<!--NeedCopy-->

La commande pour activer MBF est

enable ns mode mbf
<!--NeedCopy-->

Si vous n’avez pas besoin de MBF, laissez-le désactivé.

Vous trouverez plus d’informations sur le transfert basé sur Mac ici.

11. Vous avez installé un nouveau certificat SSL et une nouvelle clé pour l’interface graphique de gestion dans Traffic Management, SSL, Certificates


Les navigateurs Web ne font pas confiance au certificat SSL par défaut de Citrix ADC. En raison du manque de confiance, les navigateurs affichent un message d’avertissement lorsqu’ils accèdent aux services de gestion de l’ADC.

Les avertissements du navigateur pour les certificats sont destinés à avertir les utilisateurs lorsque la connexion n’est pas sécurisée. Citrix recommande de remplacer le certificat SSL par défaut afin que les utilisateurs de gestion ne s’habituent pas à accepter les messages d’avertissement.

Vous trouverez des informations sur la manière de remplacer le certificat SSL de gestion ici.

Remarque : Comme Citrix ADC partage le certificat SSL de gestion entre les nœuds HA, votre certificat de remplacement doit être approuvé pour tous les noms de domaine complets utilisés à des fins de gestion. Citrix recommande d’utiliser un certificat SAN pour inclure le nom de domaine complet des deux nœuds HA.

Paramètres de configuration de base

1. Définir le fuseau horaire et activer NTP

Il est essentiel de disposer d’horodatages précis et faciles à comprendre dans vos fichiers journaux lors du dépannage ou de la gestion d’un problème de sécurité.

Tout d’abord, réglez le fuseau horaire sur quelque chose qui vous convient. Par exemple, si vous avez des appareils qui se connectent à un serveur Syslog central et que vous devez croiser les données de chacun d’entre eux, utilisez le même fuseau horaire que vos serveurs existants.

La commande pour définir le fuseau horaire est la suivante :

set ns param -timezone CoordinatedUniversalTime
<!--NeedCopy-->

Ensuite, ajoutez des serveurs NTP et activez la synchronisation de l’heure à l’aide des commandes suivantes :

add ntp server pool.ntp.org
enable ntp sync
<!--NeedCopy-->

Après avoir activé la synchronisation de l’heure, affichez l’état NTP pour vérifier le bon comportement à l’aide de la commande suivante :

nsroot@StevensADC-Primary> show ntp status

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*any.time.nl     85.199.214.99    2 u  113 1024  377   21.138   +0.762   0.654
 Done
 nsroot@StevensADC-Primary>
<!--NeedCopy-->

Vous pouvez trouver des informations sur le fuseau horaire à l’aide de l’interface graphique de l’ADC ici.

Vous trouverez des informations sur la façon d’ajouter des serveurs NTP ici.

2. Créer une clé de chiffrement de clé

Une clé de chiffrement de clé (communément appelée KEK) est utilisée pour chiffrer et déchiffrer les informations d’identification que l’ADC doit stocker sous une forme réversible. Par exemple, l’ADC doit conserver son mot de passe de liaison LDAP réversible pour le récupérer au moment de l’authentification.

À partir du microprogramme Citrix ADC 13.0—76.31, l’ADC crée automatiquement une clé KEK. Sur les microprogrammes ultérieurs, la commande renvoie un message d’erreur que vous pouvez ignorer en toute sécurité.

Sur les versions plus anciennes, vous pouvez créer une clé KEK à l’aide de la commande :

create kek <RANDOMSTRING>
<!--NeedCopy-->

3. Définir un mot de passe nsroot non défini par défaut

Les versions récentes du microprogramme Citrix ADC vous invitent à modifier le mot de passe par défaut du compte « nsroot » lorsque vous vous connectez pour la première fois. Les versions récentes du microprogramme demandent le changement de mot de passe lorsque le paramètre système « -ForcePasswordChange » est activé.

Pour les versions plus anciennes, vous devez modifier le mot de passe « nsroot » avec la commande :

set system user nsroot -password <NSROOTPASSWORD>
<!--NeedCopy-->

4. Ajouter un compte pour ADM avec l’authentification externe désactivée


Idéalement, connectez tous vos Citrix ADC à ADM pour une gestion et une gestion centralisées des licences. La connexion à ADM nécessite un nom d’utilisateur et un mot de passe qui peuvent être créés à l’aide des commandes suivantes :

add system user admuser <ADMPASSWORD> -externalAuth DISABLED -timeout 900
bind system user admuser superuser 100
set system user admuser -externalAuth DISABLED
<!--NeedCopy-->

Vous trouverez plus de détails sur ADM ici.

5. Restreindre l’accès des applications non administratives au NSIP et uniquement l’accès HTTPS

Empêchez les services non liés à la gestion d’accéder à l’adresse IP de gestion et définissez l’adresse IP de gestion pour exiger un accès sécurisé aux communications (HTTPS plutôt que HTTP).

set ns ip NSIP -restrictAccess enabled -gui SECUREONLY
<!--NeedCopy-->

Vous trouverez plus de détails sur la restriction de l’accès au NSIP ici.

6. Définir un mot de passe de nœud RPC différent de celui par défaut

Définissez la communication RPC (utilisée pour HA et GSLB) pour utiliser un mot de passe différent de celui par défaut.

set rpcNode <NSIP_OF_SECONDARY_NODE> -password <RPC_SECONDARY_PASSWORD> -secure YES

set rpcNode <NSIP_OF_PRIMARY_NODE> -password <RPC_PRIMARY_PASSWORD> -secure YES
<!--NeedCopy-->

7. Le mode de sécurité intégrée HA est activé pour garantir que le dernier nœud sain continue de fournir le service

Si les interfaces ou routes HA surveillées par un ADC indiquent une erreur, l’ADC entre dans un état défectueux et déclenche un basculement HA. Si le deuxième nœud HA entre dans un état défectueux, les deux cessent de fournir le service.

Le mode Fail-Safe HA garantit que le dernier nœud survivant d’une paire continue de tenter de fournir des services métier.

set HA node -failSafe ON
<!--NeedCopy-->

Vous trouverez plus de détails sur le mode Fail-Safe HA ici.

8. Limitez les basculements HA à 3 en 1 200 secondes

Dans le cas peu probable où des basculements HA se produiraient de manière répétée, il arrive un moment où vous souhaitez qu’ils s’arrêtent et tentent de fournir un service.

Nous définissons ici une limite de trois basculements HA sur une période de 1 200 secondes (20 minutes).

set ha node -maxFlips 3
set ha node -maxFlipTime 1200
<!--NeedCopy-->

9 Désactiver SSLv3 pour les services de gestion

SSLv3 et TLS1.0 sont activés par défaut dans l’interface graphique de gestion Citrix ADC. Pour garantir la sécurité des communications, nous allons désactiver SSLv3.

set ssl service nshttps-::1l-443 -ssl3 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled
<!--NeedCopy-->

En fonction de la stratégie de sécurité interne de votre entreprise, vous pouvez éventuellement désactiver TLS1.0.

set ssl service nshttps-::1l-443 -ssl3 disabled -tls1 disabled
set ssl service nshttps-127.0.0.1-443 -ssl3 disabled -tls1 disabled
<!--NeedCopy-->

10. Définir des modes et des fonctionnalités génériques

Le mode de couche 3 est activé par défaut dans Citrix ADC. Le mode de couche 3 fait que ADC agit comme un routeur et peut normalement être désactivé en toute sécurité. Le mode Edge permet à l’ADC d’apprendre dynamiquement des détails sur les serveurs back-end lorsqu’ils sont utilisés dans une configuration telle que l’équilibrage de charge de liaison.

disable ns mode l3 edge
<!--NeedCopy-->

Vous trouverez plus de détails sur le mode Layer 3 ici.

Les modes et fonctionnalités spécifiques dont vous avez besoin dépendent de votre cas d’utilisation. Cependant, nous pouvons sélectionner une liste d’options qui s’appliqueraient à la plupart des installations.

enable ns feature lb ssl rewrite responder cmp
<!--NeedCopy-->

Vous trouverez plus de détails sur les modes et les fonctionnalités ici.

11. Configurer un ou plusieurs serveurs de noms DNS

Le Citrix ADC doit avoir accès à un ou plusieurs serveurs de noms pour la résolution DNS. Citrix ADC vérifie si les serveurs DNS sont en ligne à l’aide d’un moniteur ICMP. Pour utiliser la surveillance basée sur le DNS et distribuer la charge, il est habituel d’implémenter un serveur virtuel d’équilibrage de charge DNS local.

Comme le DNS peut utiliser UDP ou TCP, nous créons un serveur virtuel d’équilibrage de charge pour chaque protocole.

Configurez les serveurs de noms à l’aide des commandes suivantes :

add lb virtual server DNS_UDP DNS 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_UDP_SVG DNS -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_UDP DNS_UDP_SVG

add lb monitor DNS_UDP_monitor DNS -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_UDP_SVG -monitorName DNS_UDP_monitor

bind serviceGroup DNS_UDP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_UDP_SVG <DNSSERVERIP2> 53


add lb virtual server DNS_TCP DNS_TCP 0.0.0.0 0 -persistenceType NONE -cltTimeout 120

add serviceGroup DNS_TCP_SVG DNS_TCP -maxClient 0 -maxReq 0 -cip DISABLED -usip NO -useproxyport NO -cltTimeout 120 -svrTimeout 120 -CKA NO -TCPB NO -CMP NO
bind lb virtual server DNS_TCP DNS_TCP_SVG

add lb monitor DNS_TCP_monitor DNS-TCP -query . -queryType Address -LRTM DISABLED -interval 6 -resptimeout 3 -downTime 20 -destPort 53
bind serviceGroup DNS_TCP_SVG -monitorName DNS_TCP_monitor

bind serviceGroup DNS_TCP_SVG <DNSSERVERIP1> 53
bind serviceGroup DNS_TCP_SVG <DNSSERVERIP2> 53

add dns nameServer DNS_UDP -type UDP
add dns nameServer DNS_TCP -type TCP
<!--NeedCopy-->

12. Définir les paramètres TCP et HTTP

Alors que Window Scaling (WS) et Selective Acknowledgment (SACK) sont désormais activés par défaut dans le microprogramme ADC 13.0, vous devez activer ces paramètres TCP dans les versions précédentes du microprogramme.

set ns tcpparam -WS ENABLED
set ns tcpparam -SACK ENABLED
<!--NeedCopy-->

Nagle amène le Citrix ADC à combiner des données pour envoyer un plus petit nombre de paquets plus volumineux et peut être activé avec la commande suivante.

set ns tcpparam -nagle ENABLED
<!--NeedCopy-->

Par défaut, Citrix ADC transmet les requêtes HTTP qui arrivent à un équilibreur de charge mais qui ne sont pas conformes à la norme RFC. Configurez l’ADC pour qu’il supprime les demandes non valides par défaut.

Pour autoriser des exceptions par rapport à la valeur par défaut, vous pouvez modifier les options HTTP sur un serveur virtuel individuel après avoir discuté avec votre équipe de sécurité.

Désactivez la prise en charge du protocole HTTP/0.9, obsolète depuis plus de 20 ans. À titre de référence, Mosaic 2.0 sur Windows 3.1 inclut la prise en charge de HTTP/1.0.

set ns httpparam -dropInvalReqs ENABLED -markHttp09Inval ON
<!--NeedCopy-->

La version 0 du cookie inclut des horodatages absolus, tandis que les cookies de la version 1 ont une heure relative. Les cookies avec un horodatage absolu n’expirent pas à l’heure prévue si l’horloge du client et de l’ADC diffèrent. Toutefois, les cookies avec un temps relatif de +X minutes avant leur expiration le seront.

Internet Explorer 2 a inclus la prise en charge des cookies version 1 en 1995, et il est peu probable que vous rencontriez des problèmes en activant cette option.

set ns param -cookieversion 1
<!--NeedCopy-->

13. Restreindre les requêtes SNMP à certains serveurs

Il est recommandé que l’ADC réponde uniquement aux requêtes SNMP provenant d’hôtes supposés effectuer de telles requêtes. Limitez les hôtes que l’ADC autorise les requêtes SNMP à l’aide de la commande :

set snmp manager SNMPMANAGERIP
<!--NeedCopy-->

Vous trouverez plus de détails sur la configuration de SNMP ici.

14. Définir des alarmes et des interruptions SNMP

Il est utile que l’ADC déclenche des alertes lorsque des conditions d’utilisation élevée du processeur ou de la mémoire se produisent. Vous pouvez envoyer des alertes via la configuration des interruptions à votre serveur SNMP. Vous pouvez également déclencher des alertes lorsque des basculements HA se produisent. Vous pouvez implémenter une telle configuration à l’aide des commandes suivantes :

set snmp alarm CPU-USAGE -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Informational
set snmp alarm MEMORY -state ENABLED -normalValue 35 -thresholdValue 80 -logging ENABLED -severity Critical
set snmp alarm HA-STATE-CHANGE -severity Critical

add snmp trap generic SNMPTRAPDSTIP -communityName public
<!--NeedCopy-->

Remarque : Citrix vous recommande d’envisager de revoir régulièrement les valeurs de seuil afin de vous assurer que l’ADC vous alerte en cas de comportement anormal sur lequel vous souhaitez enquêter.

15. Définir un serveur Syslog distant

La journalisation des audits doit être configurée sur un ADC, et les journaux d’audit doivent être stockés et analysés sur un serveur distant.

Vous pouvez configurer Citrix ADC pour envoyer des journaux d’audit à un serveur Syslog distant à l’aide des commandes suivantes :

add audit syslogAction RemoteSyslogServerAction SYSLOGSERVERIP -loglevel ALL
add audit syslogpolicy RemoteSyslogServerPolicy true RemoteSyslogServerAction
bind audit syslogGlobal -policyName RemoteSyslogServerPolicy -priority 100
<!--NeedCopy-->

[Vous pouvez trouver plus de détails sur la journalisation des audits ici] (/fr-fr/citrix-adc/current-release/system/audit-logging.html)

16. Définir un délai d’expiration et une invite pour les sessions de gestion

Citrix ADC 13.0 autorise une valeur par défaut de 900 secondes (15 minutes) avant de déconnecter les sessions de gestion inactives. Sur les anciennes versions du microprogramme, vous devez vous assurer d’avoir configuré un délai d’expiration approprié.

set system parameter -timeout 900
<!--NeedCopy-->

Un administrateur peut ouvrir des sessions SSH sur plusieurs ADC en même temps. La modification de l’invite CLI de l’ADC permet de clarifier le nœud auquel une session est connectée.

Les commandes suivantes font en sorte que l’invite de l’interface de ligne de commande affiche leur nom d’utilisateur, le nom d’hôte de l’ADC et l’état HA de l’instance.

set system parameter -promptString %u@%h-%s
<!--NeedCopy-->

Après avoir exécuté la commande, l’invite sera affichée comme suit :

nsroot@hostname-Primary>
<!--NeedCopy-->

17. Authentification centralisée des comptes de gestion

Les équipes de sécurité considèrent généralement qu’il est préférable de contrôler les comptes de gestion à partir d’une plateforme centrale telle qu’Active Directory plutôt que de créer des comptes sur chaque appareil. En général, ces comptes centralisés se voient accorder des autorisations en fonction de l’appartenance à un groupe.

L’authentification et l’autorisation centralisées se justifient généralement par le fait que la gestion des comptes sur chaque appareil prend du temps et est sujette aux erreurs. Il existe également le risque que les utilisateurs de la direction ne changent pas fréquemment leur mot de passe et que le service informatique oublie de supprimer les comptes des anciens employés.

Utilisez les commandes suivantes pour configurer l’authentification centralisée, en gardant à l’esprit que le filtre LDAP contrôle les personnes autorisées à se connecter.

add authentication ldapAction LDAP_mgmt_auth -serverIP <LDAPMANAGEMENTSERVERIP> -serverPort 636 -ldapBase "<dc=mycoolcompany,dc=local>" -ldapBindDn "<serviceaccount@mycoolcompany.local>" -ldapBindDnPassword <LDAPPASSWORD> -ldapLoginName <sAMAccountName> -searchFilter "&(|(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-FullAccess,ou=groups,dn=mycoolcompany,dc=local>)(memberOf:1.2.840.113556.1.4.1941:<cn=Citrix-ADC-ReadOnly,ou=groups,dn=mycoolcompany,dc=local>))" -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED -nestedGroupExtraction ON -maxNestingLevel 5 -groupNameIdentifier samAccountName -groupSearchAttribute memberOf -groupSearchSubAttribute CN

add authentication Policy LDAP_mgmt_pol -rule true -action LDAP_mgmt_auth
bind system global LDAP_mgmt_pol -priority 100
<!--NeedCopy-->

Bien que ces commandes implémentent l’authentification, elles ne contrôlent pas l’autorisation et, par défaut, les utilisateurs authentifiés ne peuvent effectuer aucune action.

Pour accorder à l’utilisateur (ou plus précisément au groupe dont il est membre) le droit d’effectuer des actions sur l’ADC, vous devez utiliser les commandes suivantes :

add system group Citrix-ADC-FullAccess -timeout 900
add system group Citrix-ADC-ReadOnly -timeout 900
bind system group Citrix-ADC-FullAccess -policyName superuser 100
bind system group Citrix-ADC-ReadOnly -policyName read-only 110
<!--NeedCopy-->

Vous trouverez plus d’informations sur l’authentification et l’autorisation centralisées ici.

Vous trouverez également des informations sur la chaîne de filtre LDAP utilisée ci-dessus ici.

De plus, à partir de la version 12.1.51.16 du microprogramme ADC, vous pouvez configurer l’authentification multifacteur pour les utilisateurs de gestion en suivant les étapes ci-dessous.

18. Désactiver l’authentification LDAP pour l’utilisateur nsroot

Comme Citrix ADC traite l’authentification et l’autorisation séparément, les utilisateurs peuvent s’authentifier à l’aide de LDAP, et l’ADC accorde des autorisations en fonction de leur appartenance au groupe.

Bien que ce ne soit pas une bonne idée, vous pouvez également créer des comptes utilisateur avec des autorisations d’autorisation sur l’ADC. Un mot de passe associé à un utilisateur Active Directory portant le même nom pourrait ensuite être utilisé pour authentifier ces comptes.

Pour empêcher un administrateur Active Directory de créer un utilisateur « nsroot » et de pouvoir s’authentifier, vous devez désactiver l’authentification externe pour le compte utilisateur « nsroot ».

set system user nsroot -externalAuth DISABLED
<!--NeedCopy-->

19. Bonnes pratiques TLS/SSL

Vous pouvez désormais suivre le document TLS/SSL Best Practice pour définir une suite de chiffrement sécurisée pouvant être utilisée pour protéger vos serveurs virtuels.

Vous trouverez le document sur les meilleures pratiques TLS/SSL ici.

Document technique : Meilleures pratiques pour les déploiements Citrix ADC

Dans cet article