身份验证策略
当用户登录 Citrix ADC 或 Citrix Gateway 设备时,将根据您创建的策略对他们进行身份验证。身份验证策略由表达式和操作组成。身份验证策略使用 Citrix ADC 表达式。
创建身份验证操作和身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时,还要将其指定为主策略或辅助策略。首先评估主策略,然后再评估辅助策略。在使用这两种策略类型的配置中,主策略通常是更具体的策略,而辅助策略通常是更常规的策略。它旨在处理不符合更具体标准的任何用户帐户的身份验证。策略定义了身份验证类型。单个身份验证策略可用于简单的身份验证需求,并且通常绑定在全局级别。您还可以使用默认身份验证类型(本地)。如果配置本地身份验证,则还必须在设备上配置用户和组。
您可以配置多个身份验证策略并将其绑定以创建详细的身份验证过程和虚拟服务器。例如,您可以通过配置多个策略来配置级联和双重身份验证。您还可以设置身份验证策略的优先级,以确定哪些服务器以及设备检查用户凭据的顺序。身份验证策略包括表达式和操作。例如,如果将表达式设置为 True 值,则在用户登录时,操作将用户登录评估为 true,然后用户可以访问网络资源。
创建身份验证策略后,您可以在全局级别或将策略绑定到虚拟服务器。将至少一个身份验证策略绑定到虚拟服务器时,除非全局身份验证类型的优先级高于绑定到虚拟服务器的策略的优先级,否则用户登录到虚拟服务器时,将不使用绑定到全局级别的任何身份验证策略。
当用户登录到设备时,将按以下顺序评估身份验证:
- 将检查虚拟服务器是否存在任何绑定的身份验证策略。
- 如果身份验证策略未绑定到虚拟服务器,设备将检查全局身份验证策略。
- 如果身份验证策略未绑定到虚拟服务器或全局,则会通过默认身份验证类型对用户进行身份验证。
如果配置 LDAP 和 RADIUS 身份验证策略,并希望为双重身份验证全局绑定策略,则可以在配置实用程序中选择策略,然后选择策略是主身份验证类型还是辅助身份验证类型。您还可以配置组提取策略。
注意:
Citrix ADC 或 Citrix Gateway 设备仅对 UTF-8 字符进行编码以进行身份验证,与使用 ISO-8859-1 字符的服务器不兼容。
创建身份验证策略
使用 GUI 创建身份验证策略
- 导航到安全”>“AAA-应用程序流量”>“策略”>“身份验证”,然后选择要创建的策略类型。 对于 Citrix Gateway,请导航到 Citrix Gateway > 策略 > 身份验证。
-
在详细信息窗格的策略选项卡上,执行以下操作之一:
- 要创建新策略,请单击添加。
- 要修改现有策略,请选择操作,然后单击编辑。
-
在“创建身份验证策略”或“配置身份验证策略”对话框中,键入或选择参数的值。
- 名称 — 策略名称(无法更改先前配置的操作)
-
身份验证类型 —
authtype
-
服务器 —
authVsName
- 表达式 — 规则(首先在“表达式”窗口下方最左侧的下拉列表中选择表达式的类型,然后直接在表达式文本区域中键入表达式,或者单击“添加”打开“添加表达式”对话框并使用 drop-下列表来构造您的表达式。)
- 单击创建或确定。您创建的策略将显示在“策略”页面中。
-
单击服务器选项卡,然后在详细信息窗格中执行以下操作之一:
- 若要使用现有服务器,请选择该服务器,然后单击。
- 要创建服务器,请单击添加,然后按照说明进行操作。
- 如果要将此策略指定为辅助身份验证策略,请在“身份验证”选项卡上单击“辅助”。如果要将此策略指定为主身份验证策略,请跳过此步骤。
- 单击插入策略。
- 从下拉列表中选择要绑定到身份验证虚拟服务器的策略。
- 在左侧的 优先级 列中,修改默认优先级,以确保按正确的顺序评估策略。
- 单击确定。状态栏中将显示一条消息,指出该策略已成功配置。
使用 GUI 修改身份验证策略
您可以修改已配置的身份验证策略和配置文件,例如身份验证服务器的 IP 地址或表达式。
- 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略 > 身份验证。 注意:您还可以从 “ 安全” > “AAA-应用程序流量” > “策略” > “身份验证 配置策略,然后选择要修改的策略类型。
- 在导航窗格中的身份验证下,选择身份验证类型。
- 在详细信息窗格中的“服务器”选项卡上,选择一个服务器,然后单击“打开”。
使用 GUI 删除身份验证策略
如果从网络中更改或删除了身份验证服务器,请从 Citrix Gateway 中删除相应的身份验证策略。
- 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略\ > 身份验证。 注意:要从 ADC 进行配置,请导航 安全 > AAA-应用程序流量 > 策略 > 身份验证,然后选择要删除的策略类型。
- 在导航窗格中的身份验证下,选择身份验证类型。
- 在详细信息窗格的“策略”选项卡上,选择一个策略,然后单击“删除”。
使用 CLI 创建身份验证策略
在命令提示符下,键入以下命令:
add authentication negotiatePolicy <name> <rule> <reqAction>
show authentication localPolicy <name>
bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]
show authentication vserver <name>
示例:
> add authentication localPolicy Authn-Pol-1 ns_true
Done
> show authentication localPolicy
1) Name: Authn-Pol-1 Rule: ns_true Request action: LOCAL Done
> bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Done
> show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
Timeout: 180 sec Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
1) Primary authentication policy name: Authn-Pol-1 Priority: 0
Done
使用 CLI 修改现有身份验证策略
在命令提示符下,键入以下命令以修改现有身份验证策略:
set authentication localPolicy <name> <rule> [-reqaction <action>]```
示例
set authentication localPolicy Authn-Pol-1 'ns_true'
使用 CLI 删除身份验证策略
在命令提示符下,键入以下命令以删除身份验证策略:
rm authentication localPolicy <name>
示例
rm authentication localPolicy Authn-Pol-1
绑定身份验证策略
配置身份验证策略后,您可以将策略全局绑定或绑定到虚拟服务器。您可以使用配置实用程序来绑定身份验证策略。
要使用配置实用程序全局绑定身份验证策略,请执行以下操作:
- 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略\ > 身份验证。 注意:要从 ADC 进行配置,请导航安全 > AAA-应用程序流量 > 策略 > 身份验证
- 单击身份验证类型。
- 在详细信息窗格的“策略”选项卡上,单击服务器,然后在“操作”中,单击“全局绑定”。
- 在“主”或“辅助”选项卡上的“详细信息”下,单击“插入策略”。
-
在策略名称下,选择策略,然后单击确定。
注意: 选择策略时,Citrix Gateway 会自动将表达式设置为 True 值。
要使用配置实用程序取消绑定全局身份验证策略,请执行以下操作:
- 在配置实用程序中的配置选项卡上,展开 Citrix Gateway > 策略\ > 身份验证。 注意:要从 ADC 进行配置,请导航安全 > AAA-应用程序流量 > 策略 > 身份验证
- 在“策略”选项卡上的“操作”中,单击“全局绑定”。
- 在将身份验证策略绑定/取消绑定到全局对话框的主要或辅助选项卡上的策略名称中,选择策略,单击取消绑定策略,然后单击确定。
添加身份验证操作
使用命令行界面添加身份验证操作
如果不使用本地身份验证,则需要添加显式身份验证操作。在命令提示符下,键入以下命令:
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
示例
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
使用命令行界面配置身份验证操作
要配置现有身份验证操作,请在命令提示符处键入以下命令:
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
示例
set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
使用命令行界面删除身份验证操作
若要删除现有 RADIUS 操作,请在命令提示符下键入以下命令:
rm authentication radiusAction <name>
示例
rm authentication tacacsaction Authn-Act-1
NoAuth 身份验证
Citrix ADC 设备支持 NoAuth 身份验证功能,该功能使客户能够在用户执行此策略时在 noAuthAction
命令中配置 DefaultauthenticationGroup 参数。管理员可以检查用户组中是否存在此组,以确定用户通过 NoAuth 策略进行导航。
使用命令行界面配置 noAuth 身份验证
在命令提示窗口中,键入:
add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]
示例:
add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup
默认全局认证类型
安装 Citrix Gateway 并运行 Citrix Gateway 向导时,您可以在向导中配置身份验证。此身份验证策略将自动绑定到 Citrix Gateway 全局级别。在 Citrix Gateway 向导中配置的身份验证类型是默认身份验证类型。您可以通过再次运行 Citrix Gateway 向导更改默认授权类型,也可以在配置实用程序中修改全局身份验证设置。
如果需要添加其他身份验证类型,则可以使用配置实用程序在 Citrix Gateway 上配置身份验证策略并将策略绑定到 Citrix Gateway。在全局配置身份验证时,您可以定义身份验证类型、配置设置并设置可以进行身份验证的最大用户数。
配置和绑定策略后,您可以设置优先级以定义哪种身份验证类型优先。例如,您配置 LDAP 和 RADIUS 身份验证策略。如果 LDAP 策略的优先级数为 10,RADIUS 策略的优先级数为 15,则无论您在何处绑定每个策略,LDAP 策略都优先级。这称为级联身份验证。
您可以选择从 Citrix Gateway 内存缓存或从 Citrix Gateway 上运行的 HTTP 服务器传递登录页。如果选择从内存中缓存传送登录页面,则 Citrix Gateway 的登录页面的传送速度比从 HTTP 服务器传送的速度快。选择从内存缓存传送登录页面可减少多个用户同时登录时的等待时间。作为全局身份验证策略的一部分,您只能配置从缓存传递登录页。
您还可以配置作为身份验证的特定 IP 地址的网络地址转换 (NAT) IP 地址。此 IP 地址对于身份验证是唯一的,不是 Citrix Gateway 子网、映射或虚拟 IP 地址。这是一个可选设置。
注意:
无法使用 Citrix Gateway 向导配置 SAML 身份验证。
您可以使用快速配置向导配置 LDAP、RADIUS 和客户端证书身份验证。运行向导时,可以从 Citrix Gateway 上配置的现有 LDAP 或 RADIUS 服务器中进行选择。您还可以配置 LDAP 或 RADIUS 的设置。如果使用双重身份验证,Citrix 建议使用 LDAP 作为主身份验证类型。
配置默认的全局验证类型
- 在配置实用程序中的“Configuration”(配置)选项卡上的导航窗格中,展开“Citrix Gateway”,然后单击“Global Settings”(全局设置)。
- 在详细信息窗格的“设置”下,单击“更改身份验证设置”。
- 在“最大用户数”中,键入可以使用此身份验证类型进行身份验证的用户数。
- 在 NAT IP 地址中,键入用于身份验证的唯一 IP 地址。
- 选择“启用静态缓存”以更快地传递登录页面。
- 选择“启用增强型身份验证反馈”,以便在身份验证失败时向用户提供消息。用户收到的消息包括密码错误、帐户禁用或锁定或找不到用户等。
- 在“默认身份验证类型”中,选择身份验证类型。
- 配置身份验证类型的设置,然后单击确定。