Citrix ADC

配置身份验证虚拟服务器

要配置身份验证、授权和审核,请首先配置身份验证虚拟服务器以处理身份验证流量。接下来,将 SSL 证书密钥对绑定到虚拟服务器,以使其能够处理 SSL 连接。 有关配置 SSL 和创建证书密钥对的其他信息,请参阅SSL 证书

使用命令行界面配置身份验证虚拟服务器

要配置身份验证虚拟服务器并验证配置,请在命令提示符处按所示顺序键入以下命令:

  • add authentication vserver <name> ssl <ipaddress>

  • show authentication vserver <name>

  • bind ssl certkey <certkeyName>

  • show authentication vserver <name>

  • set authentication vserver <name>

  • show authentication vserver <name>

    示例

  • add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
  • bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
  • show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

注意

“身份验证域”参数已弃用。使用身份验证配置文件设置域范围的 Cookie。

使用配置实用程序配置身份验证虚拟服务器

  1. 导航到安全性 > AAA-应用程序流量 > 虚拟服务器
  2. 在详细信息窗格中,执行以下操作之一:

    • 要创建新的身份验证虚拟服务器,请单击添加
    • 若要修改现有身份验证虚拟服务器,请选择虚拟服务器,然后单击编辑。此时将打开“配置”对话框,并展开“基本设置”区域。
  3. 指定参数的值,如下所示(星号表示必填参数):

    • 名称*— 名称(无法为之前创建的虚拟服务器更改)
    • IP 地址类型*
    • IP 地址*— 身份验证虚拟服务器的 IP 地址
    • 端口*— 虚拟服务器接受连接的 TCP 端口。
    • 失败的登录超时- failedLoginTimeout(登录失败之前允许的秒数,用户必须重新启动登录过程。)
    • 最大登录尝试 - maxLoginAttempts(用户被锁定之前允许的登录尝试次数)

    注意

    身份验证虚拟服务器仅使用 SSL 协议和端口 443,因此这些选项显示为灰色。任何未提及的选项都不相关,应该忽略。

  4. 单击继续以显示“证书”区域。
  5. 证书区域中,配置要与此虚拟服务器一起使用的任何 SSL 证书。

    • 要配置 CA 证书,请单击 CA 证书右侧的箭头以显示“CA 证书密钥”对话框,选择要绑定到此虚拟服务器的证书,然后单击保存
    • 要配置服务器证书,请单击服务器证书右侧的箭头,然后按照与 CA 证书相同的过程操作。
  6. 单击继续显示高级身份验证策略区域。
  7. 如果要将高级身份验证策略绑定到虚拟服务器,请单击行右侧的箭头以显示身份验证策略对话框,选择要绑定到服务器的策略,设置优先级,然后单击确定
  8. 单击继续显示基本身份验证策略区域。
  9. 如果要创建基本身份验证策略并将其绑定到虚拟服务器,请单击加号以显示策略对话框,然后按照提示配置策略并将其绑定到此虚拟服务器。
  10. 单击继续显示基于 401 的虚拟服务器区域。
  11. 在基于 401 的虚拟服务器区域中,配置要绑定到此虚拟服务器的任何负载平衡或内容交换虚拟服务器。

    • 要绑定负载平衡虚拟服务器,请单击 LB 虚拟服务器右侧的箭头以显示 LB 虚拟服务器对话框,然后按照提示操作。
    • 若要绑定内容交换虚拟服务器,请单击 CS 虚拟服务器右侧的箭头以显示“CS 虚拟服务器”对话框,并遵循绑定 LB 虚拟服务器的相同过程。
  12. 如果要创建或配置组,请在“组”区域中单击箭头以显示“组”对话框,然后按照提示操作。
  13. 检查您的设置,完成后,单击完成。此对话框将关闭。如果您创建了新的身份验证虚拟服务器,它现在会显示在配置窗口列表中。

配置 noAuth 身份验证

Citrix ADC 设备现在支持 noAuth 身份验证功能,使客户能够在用户执行此策略时在 noAuthAction 命令中配置 defaultAuthenticationGroup 参数。管理员可以检查用户组中是否存在此组,以确定用户通过 noAuth 策略进行的导航。

使用命令行界面配置 noAuth 身份验证

add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]

示例

add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup

配置身份验证虚拟服务器