In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
产品文档
In 身份验证、授权和审核应用程序流量
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
查看 PDF

在 Citrix ADC 设备上配置 Kerberos 身份验证

August 24, 2021
贡献者: 
C

本主题提供了使用 CLI 和 GUI 在 Citrix ADC 设备上配置 Kerberos 身份验证的详细步骤。

在 CLI 上配置 Kerberos 身份验证

  1. 启用身份验证、授权和审核功能,以确保对设备上的流量进行身份验证。

    ns-cli-prompt> enable ns feature AAA

  2. 将密钥选项卡文件添加到 Citrix ADC 设备。密钥选项卡文件对于解密 Kerberos 身份验证期间从客户端收到的密钥是必需的。单个键选项卡文件包含绑定到 Citrix ADC 设备上流量管理虚拟服务器的所有服务的身份验证详细信息。

    首先在 Active Directory 服务器上生成密钥选项卡文件,然后将其传输到 Citrix ADC 设备。

    • 登录到 Active Directory 服务器,并为 Kerberos 身份验证添加用户。例如,要添加名为“KUB-SVC 帐户”的用户:

      net user Kerb-SVC-Account freebsd!@#456 /add

      注意

      在“用户属性”部分中,确保未选择“下次登录时更改密码”选项,并选择“密码未过期”选项。

    • 将 HTTP 服务映射到上述用户并导出 keytab 文件。例如,在 Active Directory 服务器上运行以下命令:

      ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL

      注意

      如果需要对多个服务进行身份验证,则可以映射多个服务。如果要映射更多服务,请为每个服务重复上述命令。您可以为输出文件指定相同的名称或不同的名称。

    • 使用 unix ftp 命令或您选择的任何其他文件传输实用程序将密钥选项卡文件传输到 Citrix ADC 设备。

  3. Citrix ADC 设备必须从完全限定的域名 (FQDN) 获取域 Controller 的 IP 地址。因此,Citrix 建议使用 DNS 服务器配置 Citrix ADC。

    ns-cli-prompt> add dns nameserver <ip-address>

    注意

    或者,您可以添加静态主机条目或使用任何其他方法,以便 Citrix ADC 设备可以将域 Controller 的 FQDN 名称解析为 IP 地址。

  4. 配置身份验证操作,然后将其关联到身份验证策略。

    • 配置协商操作。

      ns-cli-Pass 添加身份验证协商操作 -<name>域名<domain name>用户 <domain user name>-domain <domain user password>UserPasswd-默认认证组 <default authentication group>-keytab <string>-ntlmPath <string>

      注意:对于域用户和域名配置,请转到客户端并使用 klist 命令,如以下示例所示:

      客户端:Client: username @ AAA.LOCAL

      服务器:HTTP/ONPREM_IDP.AAA.AA.Local

      add authentication negotiateAction <name> -domain -domainUser \<HTTP/onprem_idp.aaa.local>

    • 配置协商策略并将协商操作与此策略关联。

      ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>

  5. 创建身份验证虚拟服务器并将协商策略与其关联。

    • 创建身份验证虚拟服务器。

      ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>

    • 将协商策略绑定到身份验证虚拟服务器。

      ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>

  6. 将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。

    ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>

    注意

    类似的配置也可以在内容交换虚拟服务器上完成。

  7. 通过执行以下操作验证配置:

    • 使用 FQDN 访问流量管理虚拟服务器。例如, 示例

    • 在 CLI 上查看会话的详细信息。

      ns-cli-prompt> show aaa session

在 GUI 上配置 Kerberos 身份验证

  1. 启用身份验证、授权和审核功能。

    导航到“系统”>“设置”,单击“配置基本功能”,然后启用身份验证、授权和审核功能。

  2. 按照上面提到的 CLI 过程的步骤 2 中的详细说明添加密钥选项卡文件。

  3. 添加 DNS 服务器。

    导航到流量管理 > DNS > 名称服务器,并指定 DNS 服务器的 IP 地址。

  4. 配置协商操作和策略。

    导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略,并创建以协商作为操作类型的策略。单击“添加”以创建新的身份验证协商服务器,或单击“编辑”配置现有详细信息。

  5. 将协商策略绑定到身份验证虚拟服务器。

    导航到“安全”>“AAA-应用程序流量”>“虚拟服务器”,并将“协商”策略与身份验证虚拟服务器关联。

  6. 将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。

    导航到流量管理 > 负载平衡 > 虚拟服务器,并指定相关的身份验证设置。

    注意

    类似的配置也可以在内容交换虚拟服务器上完成。

  7. 验证上述 CLI 过程步骤 7 中详细介绍的配置。

在 Citrix ADC 设备上配置 Kerberos 身份验证
August 24, 2021
贡献者: 
C
August 24, 2021
贡献者: 
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie 首选项 | Consent settings
© 1999- Citrix Systems, Inc. All rights reserved.