Citrix Application Delivery Management

身份验证

May 24, 2018

用户可以在内部由 Citrix Application Delivery Management (ADM) 进行身份验证,也可以通过身份验证服务器在外部进行身份验证,或者两者如果使用本地身份验证,则用户必须位于 Citrix ADM 安全数据库中。如果在外部对用户进行身份验证,则用户的“外部名称”应该匹配向身份验证服务器注册的外部用户标识,具体取决于选定的身份验证协议。

Citrix ADM 支持通过 RADIUS、LDAP 和 TACACS 协议进行外部身份验证。此统一支持提供公用接口来对访问系统的所有本地和外部身份验证、授权和记帐 (AAA) 服务器用户进行身份验证和授权。Citrix ADM 可以对用户进行身份验证,无论用户使用何种实际协议与系统进行通信。当用户尝试访问为外部身份验证配置的 Citrix ADM 实施时,请求的应用程序服务器将用户名和密码发送到 RADIUS、LDAP 或 TACACS 服务器进行身份验证。如果身份验证成功,则使用相应的协议来识别 Citrix ADM 中的用户。

您可以通过两种方式在 Citrix ADM 中对用户进行身份验证:

  • 通过使用 Citrix ADM 本地服务器
  • 使用外部身份验证服务器

以下流程图显示了在对本地或外部用户进行身份验证时要遵循的工作流程:

本地化后的图片

配置外部认证服务器

Citrix ADM 支持各种协议来提供外部身份验证、授权和记帐 (AAA) 服务。

Citrix ADM 将所有身份验证、授权和记帐 (AAA) 服务请求发送到远程 RADIUS、LDAP 或 TACACS+ 服务器。远程 AAA 服务器接收请求、验证请求并将响应发送回 Citrix ADM。当配置为使用远程 RADIUS、TACACS+ 或 LDAP 服务器进行身份验证时,Citrix ADM 将成为 RADIUS、TACACS+ 或 LDAP 客户端。在其中任何配置中,身份验证记录都存储在远程主机服务器数据库中。每个用户的登录和注销帐户名称、分配的权限和时间记帐记录也都存储在 AAA 服务器中。

此外,您可以使用 Citrix ADM 的内部数据库在本地对用户进行身份验证。可在数据库中创建用户及其密码和默认角色条目。还可以针对特定类型的身份验证创建服务器组。服务器组中的服务器列表是有序列表。除非列表中的第一个服务器不可用,否则始终使用该服务器,如果不可用,则使用列表中的下一个服务器。可以在一个组中配置不同类型的服务器,还可以将内部数据库包含为配置的 AAA 服务器列表的回退身份验证备份。

配置 RADIUS 认证服务器

您可以将 Citrix ADM 配置为通过一个或多个 RADIUS 服务器验证用户访问权限。您的配置可能需要使用网络访问服务器 IP (NAS IP) 地址或网络访问服务器标识符 (NAS ID)。将 Citrix ADM 配置为使用 RADIUS 身份验证服务器时,请使用以下指南:如果启用 NAS IP 地址的使用,设备将其配置的 IP 地址发送到 RADIUS 服务器,而不是发送用于建立 RADIUS 连接的源 IP 地址。

  • 如果配置 NAS ID,设备会将标识符发送到 RADIUS 服务器。如果未配置 NAS ID,设备将其主机名发送到 RADIUS 服务器。
  • 如果启用 NAS IP 地址,则设备忽略配置的任何 NAS ID,并使用 NAS IP 与 RADIUS 服务器通信。

要配置 RADIUS 身份验证服务器:

  1. 在 Citrix ADM 中,导航到 系统 > 身份验证 > RADIUS

  2. RADIUS 页面上,单击 添加

  3. 创建 RADIUS 服务器 页面上,设置参数,然后单击 创建 将服务器添加到 RADIUS 身份验证服务器列表中。以下参数是必需的:

    1. 名称。RADIUS 服务器的名称。

    2. 服务器名称/IP 地址。RADIUS 服务器的服务器名称或 IP 地址。

    3. Port(端口)。默认情况下,端口 1812 用于 RADIUS 身份验证。如有需要,可以指定其他端口号。

    4. 超时(秒)。Citrix ADM 系统等待 RADIUS 服务器响应的时间(以秒为单位)。

    5. 秘密钥。任何字母数字表达式。这是 Citrix ADM 和 RADIUS 服务器之间为启用通信而共享的密钥。

  4. 单击 “ 详细信息 ” 以展开该部分并设置其他参数,然后单击 “ 创建”。

有关如何添加 RADIUS 服务器的详细信息,请参阅 如何添加 RADIUS 认证服务器。

配置 LDAP 身份验证服务器

您可以将 Citrix ADM 配置为通过一个或多个 LDAP 服务器对用户访问进行身份验证。LDAP 授权要求在 Active Directory、LDAP 服务器和 Citrix ADM 上具有相同的组名称。字符和大小写也必须匹配。

要配置 LDAP 身份验证服务器:

  1. 在 Citrix ADM 中,导航到 系统 > 身份验证 > LDAP

  2. LDAP 页面上,单击添加

  3. 创建 LDAP 服务器 页面上,设置参数,然后单击 创建 将服务器添加到 LDAP 身份验证服务器列表中。以下参数是必需的:

    1. 名称。LDAP 服务器的名称。

    2. 服务器名称/IP 地址。LDAP 服务器的服务器名称或 IP 地址。

    3. 安全类型。系统与 LDAP 服务器之间所需的通信类型。从下拉列表中选择。如果纯文本通信无法满足要求,还可以选择加密通信,即选择传输层安全性 (TLS) 或 SSL。

    4. Port(端口)。默认情况下,端口 389 用于 LDAP 身份验证。如有需要,可以指定其他端口号。

    5. 服务器类型。选择 Active Directory (AD)Novell 目录服务 (NDS) 作为 LDAP 服务器的类型。

    6. 超时(秒)。Citrix ADM 系统等待来自 LDAP 服务器的响应的时间,以秒为单位。

您可以提供其他详细信息。您还可以通过选中验证 LDAP 证书复选框并指定要在 证书上输入的主机名来验证 LD AP 证书。可以添加的其他一些参数包括用于针对目录服务进行查询的域名服务器 (DN) 详细信息、默认身份验证组、组属性及其他属性。

通常,在绑定 DN 的基础上删除用户名并指定用户所属组,即得到基础 DN。在“Administrator Bind DN”(管理员绑定 DN)文本框中,键入管理员绑定 DN 以用于对 LDAP 目录的查询。

基本 DN 的语法示例如下:

  • ou=users,dc=ace,dc=com

  • cn=Users,dc=ace,dc=com

绑定 DN 的语法示例如下:

  • domain/user name

  • ou=administrator,dc=ace,dc=com

  • user@domain.name (for Active Directory)

  • cn=Administrator,cn=Users,dc=ace,dc=com

您在 Citrix ADM 中定义的用户的组名称和名称必须与在 LDAP 服务器上配置的用户类似。

注意

配置 RADIUS 或 LDAP 服务器时,可以在 详细信息 部分输入 默认身份验证组的名称。身份验证成功时,将选择此默认组为用户授权,无论用户是否绑定到某个组。然后,用户收到基于用户是否分配到该组在此默认组和其他组上配置的权限组合。

有关如何添加 LDAP 服务器的更多详细信息,请参阅 如何添加 LDAP 身份验证服务器。

有关如何级联外部身份验证服务器的更多详细信息,请参阅 如何级联外部身份验证服务器。

配置 TACACS 认证服务器

与 RADIUS 和 LDAP 一样,TACACS 处理网络访问的远程身份验证服务。

配置 TACACS 身份验证服务器:

  1. Citrix ADM中,导航到 系统 > 身份验证 > TACACS

  2. TACACS 页面上,单击 添加

  3. 在 “ 创建 TACACS 服务器 ” 页上,输入以下详细信息:

    1. TACACS 服务器的名称。

    2. TACACS 服务器的 IP 地址。

    3. 端口和超时(以秒为单位)

    4. 系统和 TACACS 服务器共享用于通信的密钥。

    5. 如果希望设备使用 TACAS 服务器记录审 核 信息,请选择会计。

  4. 单击创建

有关如何添加 TACACS 服务器的详细信息,请参阅 如何添加 TACS 身份验证服务器。

注意

要搜索添加到 Citrix ADM 中的身份验证服务器,请单击搜索栏中的然后选择所需的搜索条件。

本地化后的图片

在 Citrix ADM 中配置用户的本地身份验证

如果您使用的是本地身份验证,请创建用户,然后将其添加到您在 Citrix ADM 上创建的组中。配置用户和组后,您可以应用授权和会话策略、创建书签、指定应用程序以及指定用户有权访问的文件共享和服务器的 IP 地址。

要在 Citrix ADM 中配置本地身份验证:

  1. 在 Citrix ADM 中,导航到 系统 > 身份验证, 然后单击 身份验证配置

  2. 身份验证配置 页面上,从 服务器类型 下拉框中选择 本地 ,然 后单击确定

在 Citrix ADM 中配置外部身份验证

在 Citrix ADM 中配置外部身份验证服务器时,在这些外部服务器上经过身份验证的用户组将导入到 Citrix ADM 中。您无需在 Citrix ADM 上创建用户。用户在 Citrix ADM 的外部服务器上进行管理。但是,您必须确保用户组在外部身份验证服务器上拥有的权限级别在 Citrix ADM 中得到维护。Citrix ADM 通过为访问特定负载平衡虚拟服务器和系统上的特定应用程序分配组权限来执行用户授权。如果以后从系统中删除某个身份验证服务器时,将会自动从系统中删除组和用户。

要在 Citrix ADM 中配置外部身份验证:

  1. 在 Citrix ADM 中,导航到 系统 > 身份验证,然后单击 身份验证配置

  2. 身份验证配置 页面上,从 服务器类型 下拉列表中选择 外部

  3. 单击 “ 插入”。

  4. 在 “ 外部服务器 ” 页面上,选择身份验证服务器。(可选)可以选择多个身份验证服务器进行级联。

    注意

    只有外部服务器才能级联。

  5. 如果希望在外部 身份验证失败时接管本地身份验证,请选择启用备 用本地身份验证。

  6. 击 “确定 ” 关闭页面。

    选定的服务器将显示在 身份验证服务器 页面上。

    还可以使用服务器名称旁边的图标在列表中上下移动服务器来指定身份验证顺序。

在 Citrix ADM 中配置组

Citrix ADM 允许您通过创建组并将用户添加到组来对用户进行身份验证和授权。组可以具有“管理”或“只读”权限,组中的所有用户将具有相同的权限。

在 Citrix ADM 中,组被定义为具有类似权限的用户的集合。组可以有一个或多个角色。用户定义为可以具有基于分配的权限的访问权限的实体。用户可以属于一个或多个组。

您可以在 Citrix ADM 中创建本地组,并对组中的用户使用本地身份验证。如果使用外部服务器进行身份验证,请将 Citrix ADM 上的组配置为与内部网络中的身份验证服务器上配置的组匹配。当用户登录并通过身份验证时,如果组名与身份验证服务器上的组匹配,则用户将继承 Citrix ADM 上该组的设置。

配置组后,可以应用授权和会话策略、创建书签、指定应用程序以及指定用户有权访问的文件共享和服务器的 IP 地址。

如果使用本地身份验证,请创建用户并将其添加到 Citrix ADM 上配置的组中。然后,用户继承这些组的设置

注意

如果用户是 Active Directory 组的成员,则 Citrix ADM 上该组的名称和用户名必须与 Active Directory 组中的用户名称相同。

要在 Citrix ADM 中配置用户组:

  1. 在 Citrix ADM 中,导航到 系统 > 用户管理 >

  2. 组页面上,单击 添加 以创建群组。默认情况下,在 Citrix ADM 中创建两个组,其权限设置为管理员和只读。您可以向这些组添加您的用户,也可以为您的用户创建其他组。

  3. 创建系统组页面的组设置选项卡上,键入组的名称,然后将角色设置为管理员或只读。您可以选择配置用户会话超 时为该组登录的用户会话设置超时限制。

    注意

    确保在 Citrix ADM 上创建的用户组的名称与在外部身份验证服务器上创建的用户组的名称相同。如果不同,系统将无法识别组,因此组成员将不会被提取到系统中。

  4. 授权设置 选项卡中,选择所需的组。单击创建组

  5. 在分 配用户 选项卡中,选择要添加到组的用户。在中配置用户时,用户将添加到此表中 在 Citrix ADM 中配置用户

  6. 单击完成

在系统中创建了组后,外部身份验证服务器中的所有用户都被提取到系统中。如果组名匹配外部身份验证服务器上的组名,用户会在登录系统时继承所有授权定义。

在 Citrix ADM 中配置用户

您可以在 Citrix ADM 上本地创建用户帐户,以补充身份验证服务器上的用户。例如,您可能希望为临时用户(例如顾问或访客)创建本地用户帐户,而无需在身份验证服务器上为这些用户创建条目。如果您正在对外部身份验证服务器上存在的用户进行本地身份验证,请确保身份验证服务器和 Citrix ADM 上都存在相同的用户。

要在 Citrix ADM 中配置用户,请执行以下操作:

  1. 在 Citrix ADM 中,导航到 “ 系统 ” > “ 用户管理 ” > “用 ”。

  2. 用户 页面上,单击 添加 将用户添加到 Citrix ADM。

  3. 在 “ 创建系统用户 ” 页上,设置以下参数:

    1. 用户名。用户的名称

    2. 密码。用户将用于登录 Citrix ADM 的密码

    3. 启用外部身份验证。如果未启用此选项,则用户将以本地用户身份进行身份验证。

    4. 配置用户会话超时。用户可以保持活动的时间。可以分钟或小时为单位设置此时间段。

  4. 在 “组” 表格中,选择要向其中添加用户的组。在中配置组时,组成员将添加到此表中 在 Citrix ADM 中配置用户组

  5. 单击创建

注意

如果用户位于 Active Directory 上,请确保 Citrix ADM 中的组名与外部服务器上 Active Directory 组的组名称相同。