设置 Citrix ADC SSO
您可以将 Citrix ADC SSO 配置为以下两种方式之一工作:模拟或委派。SSO 模拟是比 SSO 委派更简单的配置,因此当您的配置允许时,通常更可取。要通过模拟配置 Citrix ADC SSO,必须具有用户的用户名和密码。
要通过委派配置 Citrix ADC SSO,您必须具有以下格式之一的委派用户的凭据:用户的用户名和密码、包含用户名和加密密码的密钥选项卡配置或委派用户证书和匹配的 CA 证书。
配置 Citrix ADC SSO 的先决条件
在配置 Citrix ADC SSO 之前,您需要对 Citrix ADC 设备进行完全配置,以便管理流向 Web 应用程序服务器的流量和身份验证。因此,必须为这些 Web 应用程序服务器配置负载平衡或内容切换,然后配置身份验证、授权和审核。您还应验证设备、LDAP 服务器和 Kerberos 服务器之间的路由。
如果您的网络尚未以这种方式配置,请执行以下配置任务:
- 为每个 Web 应用程序服务器配置服务器和服务。
- 配置流量管理虚拟服务器以处理流量和流出 Web 应用程序服务器的流量。
下面是通过 Citrix ADC 命令行执行其中每项任务的简要说明和示例。有关进一步帮助,请参阅设置身份验证虚拟服务器。
使用 CLI 创建服务器和服务
为了使 Citrix ADC SSO 获取服务的 TGS(服务票证),分配给 Citrix ADC 设备上服务器实体的 FQDN 必须与 Web 应用程序服务器的 FQDN 匹配,或者服务器实体名称必须与 Web 应用程序服务器的 NetBIOS 名称相匹配。您可以采取以下任一方法:
- 通过指定 Web 应用程序服务器的 FQDN 来配置 Citrix ADC 服务器实体。
- 通过指定 Web 应用程序服务器的 IP 地址来配置 Citrix ADC 服务器实体,并为服务器实体分配与 Web 应用程序服务器的 NetBIOS 名称相同的名称。
在命令提示符下,键入以下命令:
- add server name <serverFQDN>
- add service name serverName serviceType port
对于变量,请替换以下值:
- serverName。用于引用此服务器的 Citrix ADC 设备的名称。
- serverFQDN。服务器的 FQDN。如果服务器没有分配给它的域,请使用服务器的 IP 地址,并确保服务器实体名称与 Web 应用程序服务器的 NetBIOS 名称匹配。
- serviceName。用于引用此服务的 Citrix ADC 设备的名称。
- 类型。服务使用的协议,HTTP 或 MSSQLSVC。
- port。服务侦听的端口。HTTP 服务通常在端口 80 上侦听。安全 HTTPS 服务通常在端口 443 上侦听。
示例:
以下示例在 Web 应用程序服务器 was1.example.com 的 Citrix ADC 设备上添加服务器和服务条目。第一个示例使用 Web 应用程序服务器的 FQDN;第二个示例使用 IP 地址。
要使用 Web 应用程序服务器 FQDN was1.example.com 添加服务器和服务,您需要键入以下命令:
add server was1 was1.example.com
add service was1service was1 HTTP 80
若要使用 Web 应用程序服务器 IP 和 NetBIOS 名称(其中 Web 应用程序服务器 IP 为 10.237.64.87,其 NetBIOS 名称为 WAS1)添加服务器和服务,请键入以下命令:
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 8
使用 CLI 创建流量管理虚拟服务器
流量管理虚拟服务器管理客户端和 Web 应用程序服务器之间的流量。您可以使用负载平衡或内容交换虚拟服务器作为流量管理服务器。对于任何一种类型,SSO 配置都是相同的。
要创建负载平衡虚拟服务器,请在命令提示符下键入以下命令:
add lb vserver <vserverName> <type> <IP> <port>
对于变量,请替换以下值:
- vserverName -用于引用此虚拟服务器的 Citrix ADC 设备的名称。
- type— 服务使用的协议,HTTP 或 MSSQLSVC。
- IP— 分配给虚拟服务器的 IP 地址。这通常是您的局域网上的 IANA 保留的非公共 IP 地址。
- port— 服务侦听的端口。HTTP 服务通常在端口 80 上侦听。安全 HTTPS 服务通常在端口 443 上侦听。
示例:
要将名为 tmvserver1 的负载平衡虚拟服务器添加到管理端口 80 上的 HTTP 流量的配置中,为其分配 LAN IP 地址 10.217.28.20,然后将负载平衡虚拟服务器绑定到 wasservice1 服务,请键入以下命令:
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
使用 CLI 创建身份验证虚拟服务器
身份验证虚拟服务器管理客户端和身份验证 (LDAP) 服务器之间的身份验证流量。要创建身份验证虚拟服务器,请在命令提示符处键入以下命令:
add authentication vserver <authvserverName> SSL <IP> 443
对于变量,请替换以下值:
- authvserverName - Citrix ADC 设备用于引用此身份验证虚拟服务器的名称。必须以字母、数字或下划线字符 (_) 开头,并且必须仅包含字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、位于 (@)、equals (=)、冒号 (:) 和下划线字符。使用重命名身份验证虚拟服务器命令添加身份验证虚拟服务器后可以更改。
- IP— 分配给身份验证虚拟服务器的 IP 地址。与流量管理虚拟服务器一样,此地址通常是局域网上的 IANA 保留的非公有 IP。
- domain — 分配给虚拟服务器的域。这通常是您网络的域。通常,在配置身份验证虚拟服务器时,以所有大写输入域,但不是必需的。
示例:
要将名为 authverver1 的身份验证虚拟服务器添加到您的配置中,并为其分配 LAN IP 10.217.28.21 和域 EXAMPLE.COM,请键入以下命令:
add authentication vserver authvserver1 SSL 10.217.28.21 443
将流量管理虚拟服务器配置为使用身份验证配置文件
身份验证虚拟服务器可以配置为处理单个域或多个域的身份验证。如果将其配置为支持多个域的身份验证,则还必须通过创建身份验证配置文件,然后将流量管理虚拟服务器配置为使用该身份验证配置文件来指定 Citrix ADC SSO 的域。
注意
流量管理虚拟服务器可以是负载平衡 (lb) 或内容交换 (cs) 虚拟服务器。以下说明假定您正在使用负载平衡虚拟服务器。要配置内容交换虚拟服务器,只需替换 set cs vserver for set lb vserver。该过程是相同的。
若要创建身份验证配置文件,然后在流量管理虚拟服务器上配置身份验证配置文件,请键入以下命令:
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver <vserverName> -authnProfile <authnprofileName>
对于变量,请替换以下值:
- authnprofileName - 身份验证配置文件的名称。必须以字母、数字或下划线字符 (_) 开头,并且必须由一到三十一个字母数字或连字符 (-)、句号 (.) 磅 (#)、空格 ()、位于 (@)、等于 (=)、冒号 (:) 和下划线字符组成。
- authvserverName — 此配置文件用于身份验证的身份验证虚拟服务器的名称。
- authenticationHost — 身份验证虚拟服务器的主机名。
- authenticationDomain — Citrix ADC SSO 处理身份验证的域。如果身份验证虚拟服务器对多个域执行身份验证,以便 Citrix ADC 设备设置流量管理虚拟服务器 Cookie 时包含正确的域,则为必填项。
示例:
要为 example.com 域的身份验证创建名为 authnProfile1 的身份验证配置文件,并将负载平衡虚拟服务器 vserver1 配置为使用身份验证配置文件 authnProfile1,请键入以下命令:
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1