设置身份验证虚拟服务器

流量管理虚拟服务器(负载平衡或内容切换)将所有身份验证请求重定向到身份验证虚拟服务器。此虚拟服务器处理关联的身份验证策略,并相应地提供对应用程序的访问权限。

注意

您不能将流量管理策略绑定到身份验证、授权和审核虚拟服务器。

使用 CLI 设置身份验证虚拟服务器

  1. 启用身份验证、授权和审核功能。

    ns-cli-prompt>enable ns feature AAA

  2. 配置身份验证虚拟服务器。它必须是 SSL 类型,并确保将 SSL 证书密钥对绑定到虚拟服务器。

    ns-cli-prompt> add authentication vserver <name> SSL <ipaddress> <port>

    ns-cli-prompt> bind ssl certkey <auth-vserver-name> <certkey>

  3. 为身份验证虚拟服务器指定域的 FQDN。

    ns-cli-prompt> set authentication vserver <name> -authenticationDomain <FQDN>

  4. 将身份验证虚拟服务器与相关流量管理虚拟服务器关联。

注意:

流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一域中,才能正常运行域会话 cookie。

在流量管理虚拟服务器上:

  • 启用身份验证。
  • 指定身份验证虚拟服务器的 FQDN 作为流量管理虚拟服务器的身份验证主机。
  • [可选] 在流量管理虚拟服务器上指定身份验证域。

注意:

如果未配置身份验证域,则设备会分配一个 FQDN,该 FQDN 由身份验证虚拟服务器的 FQDN 组成,而不包含主机名部分。例如,如果身份验证虚拟服务器的域名是 tm.xyz.bar.com,则设备将 xyz.bar.com指定为身份验证域。

对于负载平衡:\ ns-cli-prompt> set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]

对于内容切换:\ ns-cli-prompt> set cs vserver <name> <protocol> <IPAddress> <port>

  1. 验证两个虚拟服务器都已启动并正确配置。

    ns-cli-prompt> show authentication vserver <name>

使用 GUI 设置身份验证虚拟服务器

  1. 启用身份验证、授权和审核功能。

    导航到系统 > 设置,单击配置基本功能,然后启用身份验证、授权和审核

  2. 配置身份验证虚拟服务器。

    导航到安全 > AAA - 应用程序流量 > 虚拟服务器,并根据需要进行配置(请参阅上述 CLI 过程中提供的配置)。

  3. 配置流量管理虚拟服务器进行身份验证。

    对于负载平衡:

    导航到流量管理 > 负载平衡 > 虚拟服务器,并根据需要配置虚拟服务器(请参阅上述 CLI 过程中提供的配置)。

    对于内容切换:

    导航到流量管理 > 内容切换 > 虚拟服务器,并根据需要配置虚拟服务器(请参阅上述 CLI 过程中提供的配置)。

  4. 验证身份验证设置。

    导航到“安全”>“AAA-应用程序流量”>“虚拟服务器”,并检查相关身份验证虚拟服务器的详细信息。