ADC

身份验证虚拟服务器

流量管理虚拟服务器(负载平衡或内容交换)将所有身份验证请求重定向到身份验证虚拟服务器。此虚拟服务器处理关联的身份验证策略并相应地提供对应用程序的访问。

注意: 无法将流量管理策略绑定到身份验证、授权和审核虚拟服务器。

设置身份验证虚拟服务器

设置身份验证虚拟服务器涉及的步骤包括:

  1. 启用身份验证、授权和审核功能。

    enable ns feature AAA
    <!--NeedCopy-->
    
  2. 配置身份验证虚拟服务器。它必须是 SSL 类型,并确保将 SSL 证书密钥对绑定到虚拟服务器。

    add authentication vserver <name> SSL <ipaddress> <port>
    
    bind ssl certkey <auth-vserver-name> <certkey>
    <!--NeedCopy-->
    
  3. 为身份验证虚拟服务器指定域的 FQDN。

    set authentication vserver <name> -authenticationDomain <FQDN>
    <!--NeedCopy-->
    
  4. 将身份验证虚拟服务器与相关的流量管理虚拟服务器关联。

    注意事项:

    • 要使域会话 Cookie 正常运行,流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一个域中。在流量管理虚拟服务器上:
      • 启用身份验证。
      • 指定身份验证虚拟服务器的 FQDN 作为流量管理虚拟服务器的身份验证主机。
      • [可选] 指定流量管理虚拟服务器上的身份验证域。
      • 如果未配置身份验证域,设备将分配一个 FQDN,该 FQDN 由身份验证虚拟服务器的 FQDN 组成,而不包含主机名部分。例如,如果身份验证虚拟服务器的域名是 tm.xyz.bar.com,则设备会将 xyz.bar.com 分配为身份验证域。
        • 对于负载平衡:
         set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
         <!--NeedCopy-->
        
        • 对于内容切换:
         set cs vserver <name> <protocol> <IPAddress> <port>
         <!--NeedCopy-->
        
    • 如果必须为身份验证域设置域范围的 Cookie,则必须在负载平衡虚拟服务器上启用身份验证配置文件。
  5. 验证两个虚拟服务器都已启动并且配置正确。

    show authentication vserver <name>
    <!--NeedCopy-->
    

使用 GUI 设置身份验证虚拟服务器

  1. 启用身份验证、授权和审核功能。

    导航到 系统 > 设置,单击 配置基本功能,然后启用 身份验证、授权和审核

  2. 配置身份验证虚拟服务器。

    导航到 安全 > AAA-应用程序流量 > 虚拟服务器,然后根据需要进行配置。

  3. 配置流量管理虚拟服务器进行身份验证。

    • 对于负载平衡:

      导航到 流量管理 > 负载平衡 > 虚拟服务器,然后根据需要配置虚拟服务器。

    • 对于内容切换:

      导航到 流量管理 > 内容交换 > 虚拟服务器,然后根据需要配置虚拟服务器。

    • 验证身份验证设置。

      导航到 安全 > AAA-应用程序流量 > 虚拟服务器,然后检查相关身份验证虚拟服务器的详细信息。

配置身份验证虚拟服务器

要配置身份验证、授权和审核,请首先配置身份验证虚拟服务器以处理身份验证流量。接下来,将 SSL 证书密钥对绑定到虚拟服务器,以使其能够处理 SSL 连接。 有关配置 SSL 和创建证书密钥对的其他信息,请参阅 SSL 证书

使用 CLI 配置身份验证虚拟服务器

要配置身份验证虚拟服务器并验证配置,请在命令提示符下按相同顺序键入以下命令:

add authentication vserver <name> ssl <ipaddress>

show authentication vserver <name>

bind ssl certkey <certkeyName>

show authentication vserver <name>

set authentication vserver <name>

show authentication vserver <name>
<!--NeedCopy-->

示例:

add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done

set authentication vserver Auth-Vserver-2

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->

注意

身份验证域参数已弃用。使用身份验证配置文件设置域范围的 Cookie。

使用 GUI 配置身份验证虚拟服务器

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)
  2. 在详细信息窗格中,执行以下操作之一:

    • 要创建新的身份验证虚拟服务器,请单击 添加
    • 要修改现有的身份验证虚拟服务器,请选择该虚拟服务器,然后单击 编辑。将打开配置对话框,并展开“基本设置”区域。
  3. 按如下方式指定参数值(星号表示必填参数):

    • Name*— 名称(无法更改以前创建的虚拟服务器)
    • IP 地址类型 *— 身份验证虚拟服务器的 IP 地址类型
    • IP 地址 *— 身份验证虚拟服务器的 IP 地址
    • 端口 *— 虚拟服务器接受连接的 TCP 端口。
    • 失败的登录超时 — failedLogtimeOut(登录失败前允许的秒数,用户必须重新启动登录过程。)
    • 最大登录尝试次数-maxLoginInInInTRES(用户被锁定之前允许的登录尝试次数)

    注意:

    身份验证虚拟服务器仅使用 SSL 协议和端口 443,因此这些选项显示为灰色。任何未提及的选项都可以忽略。

  4. 单击“继续”以显示“证书”区域。
  5. 书区域中,配置要用于此虚拟服务器的任何 SSL 证书。

    • 要配置 CA 证书,请单击 CA 证书右侧的箭头以显示 CA Cert Key 对话框,选择要绑定到此虚拟服务器的证书,然后单击 保存
    • 要配置服务器证书,请单击服务器证书右侧的箭头,然后按照与 CA 证书相同的过程进行操作。
  6. 单击 继续 以显示 高级身份验证策略 区域。
  7. 如果要将高级身份验证策略绑定到虚拟服务器,请单击该行右侧的箭头以显示 身份验证策略 对话框,选择要绑定到服务器的策略,设置优先级,然后单击 定。
  8. 单击 继续 以显示 基本身份验证策略 区域。
  9. 如果要创建基本身份验证策略并将其绑定到虚拟服务器,请单击加号以显示“ 略”对话框,然后按照提示配置策略并将其绑定到此虚拟服务器。
  10. 单击 继续 以显示基于 401 的虚拟服务器区域。
  11. 在基于 401 的虚拟服务器区域中,配置要绑定到此虚拟服务器的任何负载平衡或内容交换虚拟服务器。

    • 要绑定负载平衡虚拟服务器,请单击负载平衡虚拟服务器右侧的箭头以显示负载平衡虚拟服务器对话框,然后按照提示进行操作。
    • 要绑定内容交换虚拟服务器,请单击内容交换虚拟服务器右侧的箭头以显示内容交换虚拟服务器对话框,然后按照与绑定 LB 虚拟服务器相同的过程进行操作。
  12. 如果要创建或配置组,请在“组”区域中单击箭头以显示“组”对话框,然后按照提示进行操作。
  13. 查看您的设置,完成后单击“成”。对话框将关闭。如果创建了新的身份验证虚拟服务器,它现在会出现在“配置”窗口列表中。

流量管理虚拟服务器

创建并配置身份验证虚拟服务器后,接下来需要创建或配置流量管理虚拟服务器,并将身份验证虚拟服务器与该虚拟服务器关联。您可以将负载平衡或内容交换虚拟服务器用于流量管理虚拟服务器。 有关创建和配置任一类型的虚拟服务器的详细信息,请参阅 流量管理中的 Citrix 流量管理 指南

注意:

流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一域中,域会话 Cookie 才能正常运行。

通过启用身份验证,然后将身份验证服务器的 FQDN 分配给流量管理虚拟服务器,可以为身份验证、授权和审核配置流量管理虚拟服务器。您当前还可以在流量管理虚拟服务器上配置身份验证域。如果未配置此选项,NetScaler 设备会为流量管理虚拟服务器分配一个 FQDN,该 FQDN 由没有主机名部分的身份验证虚拟服务器的 FQDN 组成。例如,如果身份验证虚拟服务器的域名是 tm.xyz.bar.com,则设备将分配 xyz.bar.com. 作为身份验证域。

使用 CLI 配置流量管理虚拟服务器

在命令提示符下,键入以下命令集之一:

set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->

示例:

set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done

show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->

使用 GUI 配置流量管理虚拟服务器

  1. 在导航窗格中,执行以下操作之一。

    • 导航到流量管理 > 负载平衡 > 虚拟服务器
    • 导航到 流量管理 > 内容交换 > 虚拟服务器
    • 在详细信息窗格中,选择要启用身份验证的虚拟服务器,然后单击 编辑
    • 在域文本框中,键入身份验证域。
    • 在右侧的“高级”菜单中,选择“身份验证”。
    • 选择 基于表单的身份验证基于 401 的身份验证,然后填写身份验证信息。

      • 对于基于表单的身份验证,请输入身份验证 FQDN(身份验证服务器的完全限定域名)、身份验证虚拟服务器(身份验证虚拟服务器的 IP 地址)和身份验证配置文件(用于身份验证的配置文件)。
      • 对于基于 401 的身份验证,请仅输入身份验证虚拟服务器和身份验证配置
    • 单击确定。状态栏中将显示一条消息,指出虚拟服务器已成功配置。

简化的登录协议支持身份验证、授权和审核

身份验证、授权和审核流量管理虚拟服务器与身份验证、授权和审核虚拟服务器之间的登录协议已简化为使用内部机制,而不是通过查询参数发送加密数据。使用此功能可以阻止请求的重播。

配置 DNS

要使身份验证过程中使用的域会话 cookie 正常运行,必须将 DNS 配置为将身份验证和流量管理虚拟服务器分配给同一域中的 FQDN。有关如何配置 DNS 地址记录的信息,请参阅 域名系统

验证验证虚拟服务器

在配置身份验证和流量管理虚拟服务器之后以及在创建用户帐户之前,必须验证两个虚拟服务器的配置是否正确且处于启动状态。

使用 CLI 配置 NoAuth 身份验证

在命令提示符下,键入以下命令:

show authentication vserver <name>
<!--NeedCopy-->

示例:

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->

使用 GUI 配置 NoAuth 身份验证

  1. 导航到 安全 > NetScaler AAA-应用程序流量 > 虚拟服务器。 注意:在 NetScaler Gateway 中,导航到 NetScaler Gateway > 虚拟服务器
  2. 查看 AAA 虚拟服务器 窗格中的信息,以验证您的配置是否正确以及身份验证虚拟服务器是否正在接受流量。您可以选择特定的虚拟服务器以在详细信息窗格中查看详细信息。
身份验证虚拟服务器