Citrix ADC

在 Citrix ADC 设备上配置 Kerberos 身份验证

本主题提供了使用 CLI 和 GUI 在 Citrix ADC 设备上配置 Kerberos 身份验证的详细步骤。

在 CLI 上配置 Kerberos 身份验证

  1. 启用身份验证、授权和审核功能,以确保对设备上的流量进行身份验证。

    ns-cli-prompt> enable ns feature AAA

  2. 将密钥选项卡文件添加到 Citrix ADC 设备。密钥选项卡文件对于解密 Kerberos 身份验证期间从客户端收到的密钥是必需的。单个键选项卡文件包含绑定到 Citrix ADC 设备上流量管理虚拟服务器的所有服务的身份验证详细信息。

    首先在 Active Directory 服务器上生成密钥选项卡文件,然后将其传输到 Citrix ADC 设备。

    • 登录到 Active Directory 服务器,并为 Kerberos 身份验证添加用户。例如,要添加名为“KUB-SVC 帐户”的用户:

      net user Kerb-SVC-Account freebsd!@#456 /add

      注意

      用户属性部分中,确保未选择“下次登录时更改密码”选项,并选择“密码未过期”选项。

    • 将 HTTP 服务映射到上述用户并导出 keytab 文件。例如,在 Active Directory 服务器上运行以下命令:

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      注意

      如果需要对多个服务进行身份验证,则可以映射多个服务。如果要映射更多服务,请为每个服务重复上述命令。您可以为输出文件指定相同的名称或不同的名称。

    • 使用 unix ftp 命令或您选择的任何其他文件传输实用程序将密钥选项卡文件传输到 Citrix ADC 设备。

  3. Citrix ADC 设备必须从完全限定的域名 (FQDN) 获取域 Controller 的 IP 地址。因此,Citrix 建议使用 DNS 服务器配置 Citrix ADC。

    ns-cli-prompt> add dns nameserver <ip-address>

    注意

    或者,您可以添加静态主机条目或使用任何其他方法,以便 Citrix ADC 设备可以将域 Controller 的 FQDN 名称解析为 IP 地址。

  4. 配置身份验证操作,然后将其关联到身份验证策略。

    • 配置协商操作。

      ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>

    • 配置协商策略并将协商操作与此策略关联。

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. 创建身份验证虚拟服务器并将协商策略与其关联。

    • 创建身份验证虚拟服务器。

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • 将协商策略绑定到身份验证虚拟服务器。

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. 将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    注意

    类似的配置也可以在内容交换虚拟服务器上完成。

  7. 通过执行以下操作验证配置:

    • 使用 FQDN 访问流量管理虚拟服务器。例如, 示例

    • 在 CLI 上查看会话的详细信息。

      ns-cli-prompt> show aaa session

在 GUI 上配置 Kerberos 身份验证

  1. 启用身份验证、授权和审核功能。

    导航到系统 > 设置,单击配置基本功能,然后启用身份验证、授权和审核功能。

  2. 按照上面提到的 CLI 过程的步骤 2 中的详细说明添加密钥选项卡文件。

  3. 添加 DNS 服务器。

    导航到流量管理 > DNS > 名称服务器,并指定 DNS 服务器的 IP 地址。

  4. 配置协商操作和策略。

    导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略,并创建以协商作为操作类型的策略。单击添加以创建新的身份验证协商服务器,或单击编辑配置现有详细信息。

  5. 将协商策略绑定到身份验证虚拟服务器。

    导航到安全”>“AAA-应用程序流量”>“虚拟服务器,并将协商策略与身份验证虚拟服务器关联。

  6. 将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。

    导航到流量管理 > 负载平衡 > 虚拟服务器,并指定相关的身份验证设置。

    注意

    类似的配置也可以在内容交换虚拟服务器上完成。

  7. 验证上述 CLI 过程步骤 7 中详细介绍的配置。

在 Citrix ADC 设备上配置 Kerberos 身份验证