Citrix ADC

身份验证、授权和审核应用程序流量

许多公司仅限有效用户访问 Web 站点,并控制允许每个用户获取的访问级别。身份验证、授权和审核功能允许站点管理员使用 Citrix ADC 设备管理访问控制,而非为每个应用程序单独管理这些控制功能。在设备上进行身份验证还允许在受设备保护的同一域内的所有 Web 站点之间共享此信息。

要使用身份验证、授权和审核,必须将身份验证虚拟服务器配置为处理身份验证过程,并将流量管理虚拟服务器配置为处理传输到需要身份验证的 Web 应用程序的流量。还可以将 DNS 配置为将 FQDN 分配给每个虚拟服务器。配置虚拟服务器后,可以为每个将通过 Citrix ADC 设备进行身份验证的用户帐户配置一个用户帐户,还可以有选择地创建组并将用户帐户分配给组。创建用户帐户和组后,您可以配置策略,这些策略告知设备如何对用户进行身份验证、允许用户访问哪些资源以及如何记录用户会话。要使策略生效,请将每个策略全局绑定到特定虚拟服务器或相应的用户帐户或组。配置策略后,您可以通过配置会话设置并将会话策略绑定到流量管理虚拟服务器来自定义用户会话。最后,如果您的 Intranet 使用客户端证书,则需要设置客户端证书配置。

要了解身份验证、授权和审核在分布式环境中的工作原理,请假设一个使用 Intranet 的组织,该组织的员工可以在办公室、家中和出差时进行访问。Intranet 上的内容是机密的,需要安全访问。任何想要访问 Intranet 的用户都必须具有有效的用户名和密码。为了满足这些要求,ADC 将执行以下操作:

  • 如果用户在未登录的情况下访问 Intranet,则将用户重定向到登录页面。
  • 收集用户的凭据,将其传送到身份验证服务器,然后将其缓存在可通过轻型目录访问协议 (LDAP) 访问的目录中。有关更多信息,请参阅 确定 LDAP 目录中的属性

  • 在将用户的请求发送到应用程序服务器之前,验证用户是否有权访问特定的 Intranet 内容。
  • 保持会话超时时间,超过该时间后,用户必须再次进行身份验证才能重新获得对 Intranet 的访问权限。(您可以配置超时。)
  • 将用户的访问情况(包括无效的登录尝试)记录在审核日志中。

支持的身份验证类型

  • 本地
  • LDAP
  • RADIUS
  • SAML
  • TACACS+
  • 客户端证书身份验证(包括智能卡身份验证)
  • 网络
  • 高级身份验证
  • 基于表单的身份验证
  • 基于 401 的身份验证
  • 本机 OTP
  • 推送通知
  • 电子邮件 OTP
  • reCaptcha

Citrix Gateway 还支持 RSA SecurID、Gemalto Protiva 和 SafeWord。可以使用 RADIUS 服务器配置这些类型的身份验证。

在配置身份验证、授权和审核之前,您必须熟悉并了解如何在 Citrix ADC 设备上配置负载平衡、内容交换和 SSL。

未经授权的身份验证

授权将指定用户在登录设备时可以访问的网络资源。授权的默认设置为拒绝对所有网络资源的访问。Citrix 建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。

可以使用授权策略和表达式在设备上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。

可以将设备配置为仅使用身份验证,而无需授权。在未经授权的情况下配置身份验证时,设备不会执行组授权检查。您为用户或组配置的策略将分配给用户。

启用身份验证、授权和审核

要使用身份验证、授权和审核功能,必须想将其启用。在启用身份验证、授权和审核功能之前,可以配置身份验证、授权和审核实体(例如身份验证和流量管理虚拟服务器),但在启用该功能之前,实体不起作用。

使用 CLI 启用身份验证、授权和审核

在命令提示符下,键入以下命令以启用身份验证、授权和审核并验证配置:

enable ns feature AAA
<!--NeedCopy-->

使用 GUI 启用身份验证、授权和审核

  1. 导航到 System(系统)> Settings(设置)
  2. 在详细信息窗格中,单击 Modes and Features(模式与功能)下的 Change Basic Features(更改基本功能)。
  3. Configure Basic Features(配置基本功能)对话框中,选中 Authentication, Authorization and Auditing(身份验证、授权和审核)复选框。
  4. 单击 OK(确定)。

禁用身份验证

如果您的部署不需要身份验证,则可以将其禁用。可以为每个不需要身份验证的虚拟服务器禁用身份验证。

重要:

重要: Citrix 建议谨慎禁用身份验证。如果您不使用外部身份验证服务器,请创建本地用户和组以允许设备对用户进行身份验证。禁用身份验证将停止使用控制和监视与设备的连接的身份验证、授权和记帐功能。当用户键入要连接到设备的 Web 地址时,登录页面不会显示。

禁用身份验证

  1. 导航到 Configuration(配置)> Citrix Gateway > Virtual Servers(虚拟服务器)
  2. 在详细信息窗格中,单击虚拟服务器,然后单击 Open(打开)。
  3. Basic Settings(基本设置)页面中,清除 Enable Authentication(启用身份验证)复选框。
身份验证、授权和审核应用程序流量