This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
在 Citrix ADC 设备上配置 Kerberos 身份验证
本主题提供了使用 CLI 和 GUI 在 Citrix ADC 设备上配置 Kerberos 身份验证的详细步骤。
在 CLI 上配置 Kerberos 身份验证
-
启用身份验证、授权和审核功能,以确保对设备上的流量进行身份验证。
ns-cli-prompt> enable ns feature AAA
-
将密钥选项卡文件添加到 Citrix ADC 设备。密钥选项卡文件对于解密 Kerberos 身份验证期间从客户端收到的密钥是必需的。单个键选项卡文件包含绑定到 Citrix ADC 设备上流量管理虚拟服务器的所有服务的身份验证详细信息。
首先在 Active Directory 服务器上生成密钥选项卡文件,然后将其传输到 Citrix ADC 设备。
-
登录到 Active Directory 服务器,并为 Kerberos 身份验证添加用户。例如,要添加名为“KUB-SVC 帐户”的用户:
net user Kerb-SVC-Account freebsd!@#456 /add
注意
在用户属性部分中,确保未选择“下次登录时更改密码”选项,并选择“密码未过期”选项。
-
将 HTTP 服务映射到上述用户并导出 keytab 文件。例如,在 Active Directory 服务器上运行以下命令:
ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL
注意
如果需要对多个服务进行身份验证,则可以映射多个服务。如果要映射更多服务,请为每个服务重复上述命令。您可以为输出文件指定相同的名称或不同的名称。
-
使用 unix ftp 命令或您选择的任何其他文件传输实用程序将密钥选项卡文件传输到 Citrix ADC 设备。
-
-
Citrix ADC 设备必须从完全限定的域名 (FQDN) 获取域 Controller 的 IP 地址。因此,Citrix 建议使用 DNS 服务器配置 Citrix ADC。
ns-cli-prompt> add dns nameserver <ip-address>
注意
或者,您可以添加静态主机条目或使用任何其他方法,以便 Citrix ADC 设备可以将域 Controller 的 FQDN 名称解析为 IP 地址。
-
配置身份验证操作,然后将其关联到身份验证策略。
-
配置协商操作。
ns-cli-prompt> add authentication negotiateAction <name> -domain <domainName> -domainUser <domainUsername> -domainUserPasswd <domainUserPassword> -keytab <string>
-
配置协商策略并将协商操作与此策略关联。
ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>
-
-
创建身份验证虚拟服务器并将协商策略与其关联。
-
创建身份验证虚拟服务器。
ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>
-
将协商策略绑定到身份验证虚拟服务器。
ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>
-
-
将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。
ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>
注意
类似的配置也可以在内容交换虚拟服务器上完成。
-
通过执行以下操作验证配置:
-
使用 FQDN 访问流量管理虚拟服务器。例如, 示例
-
在 CLI 上查看会话的详细信息。
ns-cli-prompt> show aaa session
-
在 GUI 上配置 Kerberos 身份验证
-
启用身份验证、授权和审核功能。
导航到系统>设置,单击配置基本功能,然后启用身份验证、授权和审核功能。
-
按照上面提到的 CLI 过程的步骤 2 中的详细说明添加密钥选项卡文件。
-
添加 DNS 服务器。
导航到流量管理 > DNS > 名称服务器,并指定 DNS 服务器的 IP 地址。
-
配置协商操作和策略。
导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略,并创建以协商作为操作类型的策略。单击添加以创建新的身份验证协商服务器,或单击编辑配置现有详细信息。
-
将协商策略绑定到身份验证虚拟服务器。
导航到安全”>“AAA-应用程序流量”>“虚拟服务器,并将协商策略与身份验证虚拟服务器关联。
-
将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。
导航到流量管理 > 负载平衡 > 虚拟服务器,并指定相关的身份验证设置。
注意
类似的配置也可以在内容交换虚拟服务器上完成。
-
验证上述 CLI 过程步骤 7 中详细介绍的配置。
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.