身份验证、授权和审核应用程序流量

协商身份验证策略

与其他类型的身份验证策略一样,协商身份验证策略由表达式和操作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时,您还将其指定为主策略或辅助策略。

除了标准身份验证功能外,“协商操作”命令现在可以从 keytab 文件中提取用户信息,而不是要求您手动输入该信息。如果键选项卡具有多个 SPN,则身份验证、授权和审核会选择正确的 SPN。您可以在命令行或使用配置实用程序配置此功能。

注意

这些说明假定您已经熟悉 LDAP 协议,并已配置您选择的 LDAP 身份验证服务器。

使用命令行界面配置身份验证、授权和审核以从 keytab 文件中提取用户信息

在命令提示符下,键入相应的命令:

  • add authentication negotiateAction <name> [-keytab <string>]
  • set authentication negotiateAction <name> [-keytab <string>]

示例

> set authentication negotiateAction negotiateAction-1 -keytab keytab-1

使用配置实用程序配置身份验证、授权和审核以从 keytab 文件中提取用户信息

注意

在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。

  1. 导航到安全 > AAA-应用程序流量 > 策略 > 协商
  2. 在详细信息窗格中的服务器选项卡上,执行以下操作之一:

    • 如果要创建新的协商操作,请单击添加
    • 如果要修改现有协商操作,请在数据窗格中选择该操作,然后单击编辑
  3. 如果要创建新的协商操作,请在名称文本框中键入新操作的名称。名称的长度可以从 1 到 127 个字符,并且可以包括大写和小写字母、数字以及连字符 (-) 和下划线 (_) 字符。如果您正在修改现有的协商操作,请跳过此步骤。名称是只读的;您不能更改它。
  4. 协商下,如果“使用密钥选项卡文件”复选框尚未选中,请选中它。
  5. 在 Keytab 文件路径文本框中,键入要使用的 keytab 文件的完整路径和文件名。
  6. 在“默认身份验证组”文本框中,键入要为此用户设置为默认值的身份验证组。
  7. 单击创建确定以保存您的更改。