产品文档
Citrix ADC
Current Release 13.0 12.1
查看 PDF

将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

November 4, 2022
投稿者: 
C

在 Citrix ADC 设备中,AAAD 进程用于执行基本身份验证,例如用于管理访问或身份验证授权和网关访问的 LDAP、RADIUS、TACACS。由于 AAAD 在管理 CPU 上运行,可能会出现间歇性身份验证失败的问题。为避免这些故障,可以使用负载平衡虚拟服务器从 AAAD 卸载 SSL 功能。

将 SSL 卸载到负载平衡虚拟服务器的优势

  • 增强的 AAAD 性能。在 AAAD 中,对于每个 SSL 类型的 LDAP 服务器的身份验证请求,都会建立新的 SSL 会话。由于 AAAD 进程在管理 CPU 上运行,建立 SSL 会话会影响向 AAAD 发出高请求时的性能。将 SSL 功能卸载到负载平衡虚拟服务器可提高 AAAD 流程的性能。
  • 将客户端证书呈现给服务器。AAAD 中的客户端 LDAP 库仅执行服务器证书验证,不支持向服务器呈现客户端证书。由于 SSL 双向身份验证需要呈现客户端证书才能建立 SSL 连接,因此,将 SSL 功能卸载到负载平衡虚拟服务器可以将客户端证书呈现给服务器。

将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP

注意: 为 LDAP 创建负载平衡虚拟服务器 IP 地址并将 LDAP 请求服务器指向虚拟服务器 IP 地址后,流量将来自 SNIP。

必备条件

  • 确保在 Citrix ADC 设备用于身份验证的域控制器上启用安全 LDAP。默认情况下,使用企业 CA,所有域控制器都使用域控制器证书模板注册证书。
  • 使用 ldp.exe 并通过端口 636 和 SSL 连接到域控制器,确保安全 LDAP 正常运行。

将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP 的步骤

  1. 创建负载平衡服务组,协议设置为 TCP。 导航到 流量管理 > 负载平衡 > 服务组 ,然后单击 添加

    创建服务组

  2. 将域控制器添加为服务组成员。 输入域控制器的 IP 地址,将端口设置为 636,然后单击“创建”。

    添加域控制器

  3. 为 LDAPS 创建负载平衡虚拟服务器。

    1. 导航到 流量管理 > 负载平衡 > 虚拟服务器
    2. 将协议设置为 TCP,输入 IP 地址,将端口设置为 636,然后单击“确定”。

    创建负载平衡虚拟服务器

  4. 将 LDAPS 服务组绑定到虚拟服务器。

    1. 单击 无负载平衡虚拟服务器服务组绑定
    2. 选择服务组并单击“绑定”。确认虚拟服务器显示为运行

    绑定服务组 1

    绑定服务组2

  5. 现在,将 LDAP 身份验证策略服务器更改为指向安全 LDAP 的负载平衡虚拟服务器。安全类型必须是纯文本。

    1. 导航到 Citrix Gateway > 策略 > 身份验证 > LDAP
    2. 选择 LDAP 服务器,然后单击“编辑”
    3. 将 IP 地址更改为之前创建的 Citrix ADC 设备上托管的 LDAPS VIP。
    4. 将安全类型更改为 PLAINTEXT,将端口更改为 636,必要时选中“允许更改密码”复选框(SLDAP 允许更改密码)。
    5. 单击“测试网络连接”以验证连通性。
    6. 单击确定

    将纯文本更改为 SSL 您可以检查身份验证仪表板以确认 LDAP 服务器的状态为 UP。此外,请检查身份验证日志,确认身份验证按预期运行。

CLI 配置示例

  1. 为 AAAD 进程配置 LDAP 服务器。以下示例配置在没有 SSL 双向身份验证的情况下与负载平衡虚拟服务器建立 SSL 连接。

    add authentication ldapAction ldap_act -serverIP <LB-VIP> -serverPort 636 -secTYPE PLAINTEXT -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
<!--NeedCopy-->

  2. 为 LDAP 虚拟服务器配置负载平衡虚拟服务器。负载平衡虚拟服务器的类型为 TCP。

    add lb vserver ldaps TCP <LB-VIP> 636 -persistenceType NONE -cltTimeout 9000
<!--NeedCopy-->

  3. 为负载平衡虚拟服务器配置服务。服务类型为 SSL-TCP。

    add service ldaps <LDAP-IP> SSL_TCP 636
<!--NeedCopy-->

  4. 为服务配置 CA 证书,然后为服务器证书验证设置“serverAuth”参数。

    bind ssl service ldaps -certkeyName ca-cert -CA
set ssl service ldaps -serverAuth enabled
<!--NeedCopy-->

  5. 将证书附加到提供给 LDAP 服务器的服务。

    bind ssl service ldaps -certkeyName usr_cert [client-certificate for client-authentication]
<!--NeedCopy-->

  6. 将服务绑定到负载平衡虚拟服务器。

    bind lb vserver ldaps ldaps
<!--NeedCopy-->
将 SSL 卸载到负载平衡虚拟服务器后配置 LDAP
November 4, 2022
投稿者: 
C
November 4, 2022
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置
© 1999- Cloud Software Group, Inc. All rights reserved.