ADC

基于 401 的身份验证

使用基于 401 的身份验证,Citrix ADC 设备会向最终用户显示一个弹出对话框。

基于 401 的 AAA-TM

基于表单的 AAA-TM 处理重定向消息。但是,某些应用程序不支持重定向。在此类应用程序中,使用启用了 401 身份验证的 AAA-TM。

确保满足以下条件,才能使 401 身份验证启用 AAA-TM 正常工作:

  • 负载平衡虚拟服务器的 “authnVSName” 参数值必须是用于对用户进行身份验证的身份验证虚拟服务器的名称。

  • 必须启用 ‘authn401’ 参数。用于配置相同的命令如下所示:

     set lb vs lb1 –authn401 on –authnvsName <aaavs-name>
    

以下步骤演示 401 身份验证的工作原理:

  1. 用户尝试使用负载平衡虚拟服务器访问特定 URL。

  2. 负载平衡虚拟服务器向用户发送 401 HTTP 响应,指示访问需要身份验证。
  3. 用户将其凭据发送到授权标头中的负载平衡虚拟服务器。
  4. 负载平衡虚拟服务器对用户进行身份验证,然后将用户连接到后端服务器。

    基于 401 的 AAA-TM 流程图

重要:

对于开启了 401 身份验证的负载平衡虚拟服务器,可能会在短时间内为同一用户创建多个身份验证和授权会话。这可能会导致内存激增。在这种情况下,您可以在 Citrix ADC 设备上应用以下配置来调试和识别最终客户端应用程序。


>set syslogparams -userDefinedAuditlog yes
>
>add audit messageaction 401_log_act InFORMATIONAL '"LB-401 accessed: User: <" + AAA.USER.NAME + "> SessionID <"+ AAA.USER.SESSIONID + "> Client :<" + CLIENT.IP.SRC + "> accessed URL: <" + HTTP.REQ.URL + ">"'
>
>add rewritepolicy rewrite_401_log true NOREWRITE -logAction 401_log_act
>
>bind lb vserver <lb_name> -policyName rewrite_401_log -priority 100 -type reqUEST

<!--NeedCopy-->
基于 401 的身份验证