Citrix ADC

身份验证、授权和审核的工作原理

身份验证、授权和审核允许任何具有适当凭据的客户端从 Internet 上的任何位置安全地连接到受保护的应用程序服务器,从而为分布式 Internet 环境提供了安全性。此功能集成了身份验证、授权和审核这三个安全功能。身份验证使 Citrix ADC 能够在本地验证或使用第三方身份验证服务器验证客户端凭据,并且仅允许获得批准的用户访问受保护的服务器。授权使 ADC 能够验证受保护服务器上允许每个用户访问的内容。审核使 ADC 能够记录每个用户在受保护的服务器上的活动。

要了解身份验证、授权和审核在分布式环境中的工作方式,请考虑使用员工在办公室、家中和旅行时访问的 Intranet 的组织。内联网上的内容是保密的,需要安全访问。任何想要访问 Intranet 的用户都必须具有有效的用户名和密码。为满足这些要求,ADC 执行以下操作:

  • 如果用户在未登录的情况下访问 Intranet,则将用户重定向到登录页面。
  • 收集用户的凭据,将其传递到身份验证服务器,并将其缓存在可通过 LDAP 访问的目录中。有关详细信息,请参阅确定 LDAP 目录中的属性

  • 在将用户的请求传递到应用程序服务器之前,验证用户是否有权访问特定的 Intranet 内容。
  • 维护会话超时,用户必须再次进行身份验证才能重新获得对 Intranet 的访问权限。(您可以配置超时。)
  • 在审核日志中记录用户访问的访问,包括无效的登录尝试。

配置验证授权和审计策略

设置用户和组后,接下来配置身份验证策略、授权策略和审核策略,以定义允许哪些用户访问 Intranet、允许每个用户或组访问哪些资源以及详细级别的身份验证、授权和审核将保留在审核日志中。身份验证策略定义用户尝试登录时要应用的身份验证类型。如果使用外部身份验证,则策略还指定外部身份验证服务器。授权策略指定用户和组登录后可以访问的网络资源。审核策略定义审核日志类型和位置。

您必须绑定每个策略才能使其生效。将身份验证策略绑定到身份验证虚拟服务器,将授权策略绑定到一个或多个用户帐户或组,并将全局和一个或多个用户帐户或组审核策略。

绑定策略时,您将为其分配优先级。优先级决定了您定义的策略的评估顺序。您可以将优先级设置为任何正整数。在 Citrix ADC 操作系统中,策略优先级的工作顺序相反:数值越高,优先级越低。例如,如果您有三个策略的优先级为 10、100 和 1000,则首先执行分配优先级为 10 的策略,然后策略分配优先级为 100 的策略,最后将策略分配为 1000 的顺序。身份验证、授权和审核功能仅实现请求匹配的每种类型的策略中的第一种,而不实现请求也可能匹配的该类型的任何其他策略,因此策略优先级对于获取您想要的结果非常重要。

您可以留出充足的空间,以便按任意顺序添加其他策略,通过在绑定策略时将每个策略之间的间隔设置为 50 或 100 的优先级,仍将其设置为按所需顺序进行评估。然后,您可以随时添加其他策略,而无需重新分配现有策略的优先级。

有关 Citrix ADC 设备上绑定策略的其他信息,请参阅 Citrix ADC 产品文档

配置 No_Auth 策略以绕过特定流量

现在,您可以配置 No_Auth 策略,以便在流量管理虚拟服务器上启用基于 401 的身份验证时绕过某些流量身份验证。对于此类流量,您必须绑定 “No_Auth” 策略。

使用 CLI 配置 No_Auth 策略以绕过某些流量

在命令提示窗口中,键入:

add authentication policy <name> -rule <expression> -action <string>

示例:

add authentication policy ldap -rule ldapAct1 -action No_Auth
身份验证、授权和审核的工作原理