Citrix ADC

出于管理目的,在 Citrix ADC 设备上配置 LDAP 身份验证

出于管理目的(超级用户、只读、网络权限和所有其他),您可以使用活动目录凭据(用户名和密码)配置用户登录 Citrix ADC 设备。

必备条件

  • Windows Active Directory 域控制器服务器
  • NetScaler 管理员的专用域组
  • Citrix Gateway 10.1 及更高版本

下图说明了 Citrix ADC 设备上的 LDAP 身份验证。

用于管理目的的 LDAP 身份验证工作流

高级配置步骤

  1. 创建 LDAP 服务器
  2. 创建 LDAP 策略
  3. 绑定 LDAP 策略
  4. 通过以下方法之一将权限分配给管理员
    • 应用群组权限
    • 为每个用户单独应用权限

创建身份验证 LDAP 服务器

  1. 导航到 System(系统)> Authentication(身份验证)> LDAP
  2. 单击 服务器 选项卡,然后单击 添加
  3. 完成配置,然后单击 创建

LDAP 身份验证服务器

注意:

在此示例中,通过设置搜索筛选器来筛选用户组成员身份验证,访问权限仅限于 Citrix ADC 设备。本示例使用的值是-&(MemberOf=CN=NSG_admin、ou=adminGroups、DC=Citrix、DC=Lab)

创建 LDAP 策略

  1. 导航到系统 > 身份验证 > 高级策略 > 策略
  2. 单击添加
  3. 输入策略的名称,然后选择您在前面步骤中创建的服务器。
  4. 在 “表达式” 文本字段中,输入相应的表达式,然后单击 “ 创建”。

LDAP 身份验证策略

全局绑定 LDAP 策略

  1. 导航到系统 > 身份验证 > 高级策略 > 策略
  2. 在身份验证策略页面中,单击 全局绑定
  3. 选择您创建的策略(在本例中为 Pol_LDapmgMT)。
  4. 相应地选择优先级(数字越低,优先级越高)
  5. 单击 绑定, 然后单击 完成。“ 全局绑 定” 列中将显示绿色复选标记。

全局绑定 LDAP 身份验证策略

将权限分配给管理员

您可以选择以下两个选项之一。

  • 组应用权限:在 Citrix ADC 设备中添加组,并为属于 该组成员的每个用户分配相同的访问权限。
  • 为每个用户单独应用权限: 创建每个用户管理员帐户并为每个用户分配权限。

对群组应用权限

对组应用权限时,属于在搜索筛选器(在本例中为 NSG_Admin)中配置的 Active Directory 组成员的用户可以连接到 Citrix ADC 管理界面并具有超级用户命令策略。

  1. 导航到 系统 > 用户管理 > 组
  2. 根据要求输入详细信息,然后单击 创建

创建用户组并分配权限

您已定义用户所属的活动目录组以及登录时必须与该帐户关联的命令策略级别。您可以将新的管理员用户添加到在搜索筛选器上配置的 LDAP 组。

注意:

组名称必须与活动目录记录匹配。

为每个用户单独应用权限

在这种情况下,在搜索筛选器(本例中为 NSG_Admin)中配置的 Active Directory 组成员的用户可以连接到 Citrix ADC 管理界面,但在 Citrix ADC 设备上创建特定用户并将命令策略绑定到该界面之前,不具有任何权限。

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 单击添加
  3. 根据要求输入详细信息。

    注意: 确保选择 启用外部身份验证

创建用户并分配权限

  1. 单击继续

您已定义 Acctive Directory 用户和登录时必须与该帐户关联的命令策略级别。

注意

  • 用户名必须与现有用户的活动目录记录匹配。
  • 将用户添加到 Citrix ADC 进行外部身份验证时,如果外部身份验证不可用,则必须提供密码。为了使外部身份验证正常工作,内部密码不得与用户帐户 LDAP 密码相同。

向用户添加命令策略

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 选择您创建的用户,然后单击 编辑。
  3. 在绑定中,单击 系统命令策略
  4. 选择要应用于您的用户的正确命令策略。
  5. 单击 绑定, 然后单击 关闭

将命令策略绑定到用户

添加更多管理员;

  • 将管理员用户添加到您在搜索筛选器上配置的 LDAP 组。
  • 在 Citrix ADC 中创建系统用户并分配正确的命令策略。

使用 CLI 为管理目的在 Citrix ADC 设备上配置 LDAP 身份验证

使用以下命令作为参考,在 Citrix ADC 设备 CLI 上为具有超级用户权限的组配置登录。

  1. 创建 LDAP 服务器

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    <!--NeedCopy-->
    
  2. 创建和 LDAP 策略

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    <!--NeedCopy-->
    
  3. 绑定 LDAP 策略

    bind system global pol_LDAPmgmt -priority 110
    <!--NeedCopy-->
    
  4. 将权限分配给管理员

    • 对组应用权限
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    <!--NeedCopy-->
    
    • 为每个用户单独应用权限
    add system user admyoa
    bind system user admyoa superuser 100
    <!--NeedCopy-->
    
出于管理目的,在 Citrix ADC 设备上配置 LDAP 身份验证