LDAP-Authentifizierung

LDAP-Authentifizierungsrichtlinie(轻量级目录访问协议)einen Ausdruck und eine Aktion。大家好，谢谢大家。大家好，谢谢大家。谢谢大家。Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie。Zusätzlich zu den standard authentifiziungsfunktionen kann LDAP auch andere Active Directory-Server (AD) nach Benutzerkonten für Benutzer durchsuchen, die nicht lokal existen。Diese Funktion world Empfehlungsunterstützung oder Empfehlungsjagd bezeichnet。

Normalerweise konfigureren Sie den Citrix ADC, dass er die ip - address des Authentifizierungsservers während der Authentifizierung verwendet。Mit LDAP-Authentifizierungsservern können Sie den ADC auch so konfigureren, dass er den FQDN des LDAP-Servers anstelle seiner ip - address verwendet, um Benutzer zu authentifizieren。Die Verwendung eines FQDN kann eine ansonsten viel komplexere Authentifizierungs-， Autorisierungs- und Überwachungskonfiguration in Umgebungen vereinfachen, in denen siich der Authentifizierungsserver möglicherweise an einer von mehreren IP-Adressen befindet, aber immer einen einzigen FQDN verwendet。Um die Authentifizierung mithilfe des FQDN eines Servers anstelle seiner ip - address zu konfigureren, folgen Sie dem normalen konfigationsprozess, außer wenn Sie die Authentifizierungsaktion erstellen。bem Erstellen der Aktion verwenden Sie denServerName-Parameteranstelle desServerIP-Parametersund ersetzen den FQDN des Servers durch seine ip - address。

Bevor Sie entscheiden, ob Sie den ADC so配置figureeren, dass die Authentifizierung, Autorisierung und Überwachung zur Authentifizierung bei einem FQDN anstelle einer IP- address einen zusätzlichen Schritt zum Authentifizierungsprozess darstellt。Jedes Mal, wenn der ADC einen Benutzer authentifiziert, muss er den FQDN auflösen。Wenn sehr viele Benutzer versuchen, siich gleichzetig zu authentifizieren die daraus resultierenden dns - lookup möglicherweise den Authentifizierungsprozess。

Die LDAP-Empfehlungsunterstützung ist standardmäßig deaktiviert und kann nicht global aktiviert werden。Es muss exploit für jede LDAP-Aktion aktiviert sein。你好，dass der AD-Server dieselben akzeptiertbinddn凭证， die mit dem verweisenden Server (GC) verwendet werden。Um die Empfehlungsunterstützung zu aktivieren, konfigurieren Sie eine LDAP-Aktion, Um Verweisen zu folgen, und geben Sie die maximale Anzahl von Empfehlungen an, die folgen sollen。

Wenn die Empfehlungsunterstützung aktiviert ist und under Citrix ADC eine ldap_referrer - antwort auf eine Anforderung erhält, folgt Authentifizierung, Autorisierung Überwachung der verweung in empfehtenen Active Directory-Server (AD) und führt das Update auf diesem Server durch。Zunächst sucht Authentifizierung, Autorisierung und Überwachung den Empfehlungsserver in DNS und stellt eine verindung zu diesem Server her。Wenn die Empfehlungsrichtlinie SSL/TLS erfordert, stellt sie eine verindung über SSL/TLS她。Es binder dann an den neuen Server mitbinddn凭证， den es mit dem vorherigen Server verwendet帽子，und führt den vorgaus, der die Empfehlung generiert帽子。Diese Funktion ist für den Benutzer透明。

Die Portnummern für ldap - verindungen lauten:

• 389 für unsichere ldap - verindungen (für Nur-Text-LDAP)
• 636 für sichere LDAP- verindungen (für SSL LDAP)
• 3268 für unsichere ldap - verindungen von Microsoft (für全球目录服务器im Klartext)
• 3269 für sichere ldap - verindungen von Microsoft (für SSL全球目录服务器)

Die folgende Tabelle enthält Beispiele für Benutzerattributfelder für LDAP-Server:

Diese Tabelle enthält Beispiele für den Basis-DN:

Die folgende Tabelle enthält Beispiele für Bind-DN:

Weitere Informationen zum Einrichten von authentifiziungsrichtlinen im Allgemeinen finden Sie unterAuthentifizierungsrichtlinien．Weitere Informationen zu Citrix ADC-Ausdrücken，死在richtlinenregel verwendet werden, finden Sie under terRichtlinien和Ausdrucke．

所以erstellen Sie einen LDAP-Authentifizierungsserver mit der CLI

Geben Sie an der eingabeauforderung die folgenden Befehle ein:

add authentication ldapAction  {-serverIP}  | {-serverName }}

Beispiel

add authentication ldapAction ldap_server -serverip 1.1.1.1 -serverName ldap_test

因此，您的LDAP-Authentifizierungsserver mit der GUI

1. Navigieren您祖茂堂System > Authentifizierung > Grundlegende Richtlinien > LDAP > Server > Hinzufügen．

   

2. 我的朋友我们的朋友创建认证LDAP服务器参数名称参数说明参数设置für den LDAP-Server. die
3. Klicken您再见Erstellen．

所以aktivieren Sie eine Authentifizierungsrichtlinie mithilife der CLI

添加认证ldappolicy   []

Beispiel:

add authentication ldappolicy ldap-service-policy ns_true ldap_Server

所以，Sie eine LDAP-Authentifizierungsrichtlinie mit der GUI

1. Navigieren您祖茂堂System > Authentifizierung > Grundlegende Richtlinien > LDAP > Richtlinien > Hinzufügen

2. 我的朋友我们的朋友LDAP-Authentifizierungsrichtlinie erstellen参数für die LDAP-Richtlinie。

   

3. Klicken您再见Erstellen．

Hinweis

Sie können LDAP-Server/-Richtlinien über die RegisterkarteSicherheitkonfigurieren。Navigieren您祖茂堂Sicherheit > AAA - Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Grundlegende Richtlinien > LDAP > Server/Richtlinien．

所以aktivieren你会死LDAP-Empfehlungsunterstützung mithilfe der CLI

Geben Sie an der eingabeauforderung die folgenden Befehle ein:

设置认证ldapAction  - followreferals ON设置认证ldapAction  - maxldapreferals  

Beispiel

set authentication ldapAction ldapAction- followreferals ON设置认证ldapAction ldapAction-1 - maxldapreferals 2 

Schlüsselbasierte Authentifizierungsunterstützung für die LDAP-Benutzer

Mit der schlüsselbasierten Authentifizierung können Sie jetzt die list der öffentlichen Schlüssel abrufen, die auf dem Benutzerobjekt im LDAP-Server über SSH gespeichert sind。Die Citrix ADC Appliance muss während des rollenbasierten authentifizierungsprozess (RBA) öffentliche SSH-Schlüssel vom LDAP-Server extrahieren。Der abgerufene öffentliche Schlüssel, Der mit SSH kompatibel ist, muss es Ihnen ermöglichen, siich über die RBA-Methode anzumelden。

Ein neues Attribut " sshPublicKey " wird in den Befehlen " add authentication ldapAction " und " set authentication ldapAction " eingeführt。Wenn Sie dieses Attribut verwenden, können Sie die folgenden Vorteile erhalten:

• Kann den abgerufenen öffentlichen Schlüssel speichern, und die LDAP-Aktion verwendet dieses Attribut, um SSH-Schlüsselinformationen vom LDAP-Server abzurufen。
• 双肾定语文24kb。

Hinweis

Der externe Authentifizierungsserver wie LDAP wird nur zum Abrufen von SSH-Schlüsselinformationen verwendet。疯狂之夜für den Authentifizierungszweck verwendet。

Es folgt ein Beispiel für den Ablauf von Ereignissen durch SSH:

• SSH-Daemon发送eine AAA_AUTHENTICATE-Anforderung mit leerem Kennwortfeld一个den Authentifizierungs-， Autorisierungs- und Überwachungs-Daemonport
• Wenn LDAP für das Speichern des öffentlichen SSH-Schlüssels konfigurerist, antworten Authentifizierung, Autorisierung und Überwachung mit dem Attribut“sshPublicKey”zusammen mit anderen Attributen。
• Der SSH-Daemon überprüft diese Schlüssel mit den Clientschlüsseln。
• Der SSH-Daemon übergibt den Benutzernamen in Der Anforderungsnutzlast, und Authentifizierung, Autorisierung und Überwachung geben die für diesen Benutzer spezifischen Schlüssel zusammen mit generischen Schlüsseln zurück。

Um das sshPublicKey -Attribut zu konfigureren, geben Sie an der eingabeauforderung die folgenden Befehle ein:

• Mit dem Add-Vorgang können Sie das Attribut“sshPublicKey”während der配置des BefehlsldapActionhinzufugen。

  add authentication ldapAction  {-serverIP  | {-serverName }} [-serverPort ]…[-Attribute1 ]…][-Attribute16 ][-sshPublicKey ][-authentication off] 

• Mit dem set-Vorgang können Sie das“sshPublicKey”-Attribut für einen bereits hinzugefügten ldapAction-Befehl konfigureren。

  set authentication ldapAction  [-sshPublicKey ][-authentication off] 

Unterstützung von Namenswert-Attributen für LDAP-Authentifizierung

Sie können jetzt die LDAP-Authentifizierung mit einem eindeutigen Namen zusammen mit Werten konfigureren属性。Namens werden im ldap - aktionparameters配置，以及Die Werte werden durch des Namens abgerufen。Durch die Verwendung dieser Funktion kann ein Citrix ADC电器管理员nun die folgenden Vorteile erzielen:

• Minimiert den Aufwand für Administratoren, indem sie siich as Attribut nach Namen merken (nicht nur nach Wert)
• Verbessert die Suche, um den mit einem Namen verknüpften Attributwert abzufragen
• Bietet eine选项zum Extrahieren mehrer属性

Citrix ADC Appliance zu konfigurieren, geben Sie Folgendes in:

添加认证ldapAction  [-Attribute1 ] 

Beispiel

添加认证ldapAction ldapAct1 attribute1邮件

Unterstützung für die Validierung der端- end - ldap - authentifizierung

Die Citrix ADC Appliance kann jetzt Die端end - ldap - authentifizierung über Die GUI validieren。Um diese Funktion zu überprüfen, wirdeine neue“测试”-Schaltfläche在der GUI eingeführt。Ein Citrix ADC电器管理员kann diese Funktion verwenden, um die folgenden Vorteile zu erzielen:

• konsolidert den gesamten Fluss (Paket-Engine - Citrix ADC AAA-Daemon -外部服务器)für eine bessere分析
• Verkürzt die Zeit bei der Überprüfung und Behebung von Problemen im Zusammenhang mit einzelnen Szenarien

Sie haben zwei Möglichkeiten, die Testergebnisse der ldap -端end - authentifizierung über die grafische Benutzeroberfläche zu konfigurieren und anzuzeigen。

Von der Systemoption

1. Navigieren您祖茂堂System > Authentifizierung > Grundlegende Richtlinien > LDAP，und klicken Sie auf die Registerkarte服务器．
2. Wählen Sie die verfügbareLDAP-Aktion澳大利亚der列表澳大利亚。
3. Scrollen Sie auf der Seite配置认证LDAP服务器nach unten zum AbschnittVerbindungseinstellungen．

4. Klicken您再见Netzwerkkonnektivitat testenldap - serververindung Sie können eine Popup-Meldung über eine erfolgreiche verindung zum LDAP-Server mit TCP-Portdetails und Authentizität gültiger Anmeldeinformationen anzeigen。

   

5. Um die端端ldap - authentifizierung anzuzeigen, klicken Sie auf den连接Ende-zu-Ende-Anmeldetest．
6. 大家好Ende-zu-Ende-AnmeldetestTesten汪汪汪．
   • 格本Sie auf der Authentifizierungsseite die gültigen Anmeldeinformationen für die Anmeldung ein。Der Erfolgsbildschirm wird angezeigt。

   

   • Wenn die Authentifizierung fehlschlägt，奇怪的der Fehlerbildschirm angezeigt。

   

Über die Option Authentifizierung

1. Navigieren您祖茂堂Authentifizierung >仪表板und wählen Sie die verfügbare LDAP-Aktion aus der list aus。
2. der Seite汪汪汪配置认证LDAP服务器哈本你好，我是阿布施尼特Verbindungseinstellungen请来两Optionen。
3. ldap - server - verindung zu überprüfen, klicken Sie aufLDAP-Erreichbarkeit testen．Sie können eine Popup-Meldung über eine erfolgreiche verindung zum LDAP-Server mit TCP-Portdetails und Authentizität gültiger Anmeldeinformationen anzeigen。
4. Um den端end - ldap - authentifizierungsstatus anzuzeigen, klicken Sie auf den连接Endbenutzerverbindung testen．

5. 大家好Endbenutzerverbindungtesten auf测试．

   • 格本Sie auf der Authentifizierungsseite die gültigen Anmeldeinformationen für die Anmeldung ein。Der Erfolgsbildschirm wird angezeigt。

   

   • Wenn die Authentifizierung fehlschlägt，奇怪的der Fehlerbildschirm angezeigt。

   

Benachrichtigung 14 Tage vor Kennwortablauf für LDAP-Authentifizierung

Die Citrix ADC Appliance unterstützt jetzt eine 14-tägige Benachrichtigung zum Ablauf des Kennworts für Die LDAP-basierte Authentifizierung。Mit dieser Funktion können Endbenutzer über den Ablauf des Kennworts informieren。Der Schwellenwert wirt在Tagen angegeben。Die 14-tägige Benachrichtigung über den Ablauf des Kennworts ist ein Vorläufer des Self-Service-Kennwort-Reset (SSPR)。

Hinweis

Der Höchstwert oder Schwellenwert für die Benachrichtigung über den Ablauf des Kennworts in Tagen beträgt 255 Tage。

Benachrichtigung的Vorteile über Ablauf des Kennworts

• Ermöglichen Sie Benutzern, ihre Passwörter selbst zurückzusetzen, und bieten Sie Administratoren eine flexible Möglichkeit, den Endbenutzer innerhalb von Tagen über den Ablauf ihres Kennworts zu informieren。
• 消除Abhängigkeit von Endbenutzern, ihre Kennwort-Ablauftage zu verfolgen
• Sendet Benachrichtigungen an die VPN-Portalseite an die Benutzer (basierend auf der Anzahl der Tage)， um ihr Kennwort vor Ablauf zu ändern。

Hinweis

Diese Funktion gilt nur für LDAP-basierte Authentifizierungsschemata, nicht für RADIUS订单TACACS。

Grundlegendes zur 14-tägigen Kennwort-Benachrichtigung

模具Citrix ADC电器ruft zwei属性(Max-Pwd-Age和Pwd-Last-Set) vom LDAP-Authentifizierungsserver ab。

• Max-Pwd-Alter。在Intervallen von 100 Nanosekunden an, bis das Kennwort gültig ist。Der Wert wirals große Ganzzahl gespeichert, die die Anzahl Der 100 nanosekunden - intervalle ab dem Zeitpunkt darstellt，一个dem das kenwort vor Ablauf des Kennworts festgelegt wurde。
• Pwd-Letzter Satz。数据和时间的最佳估计，肯沃斯的最佳估计für ein Konto zuletzt geändert wurde。

属性LDAP-Authentifizierungsserver最基本的Citrix ADC Appliance die verbleibende Zeit, bis das Kennwort für einen最基本的Benutzer abläuft。Diese Informationen werden gesammelt, wenn Benutzeranmeldeinformationen auf dem Authentifizierungsserver überprüft werden und eine Benachrichtigung an den Benutzer zurückgesendet世界。

Ein neuer参数“pwdExpiryNotification”wirfür den Befehlaaa级参数设置eingefuhrt。Mithilfe dieses Parameters kann ein Administrator die Anzahl der verbleibenden Tage bis zum Ablauf des kenworts verfolgen。Die Citrix ADC Appliance kann jetzt den Endbenutzer über den Ablauf seines Kennworts informieren。

Hinweis

Derzeit funktioniert diese Funktion nur für Authentifizierungsserver mit Microsoft ad - server mit LDAP-Implementierung。Die Unterstützung für OpenLDAP-basierte Server world später in Visier genome。

Es folgt in Beispiel für den Ablauf der Ereignisse zum Festlegen einer 14-tägigen Benachrichtigung über den Ablauf des kenworts:

1. Ein Administrator legt mithilfe der Citrix ADC Appliance eine Zeit (14 Tage) für den Ablauf des Kennworts fest。
2. Der Benutzer senddet eine HTTP- oder HTTPS-Anforderung, um auf eine resource auf dem Backend-Server zuzugreifen。
3. vvor dem Bereitstellen des Zugriffs überprüft die Citrix ADC Appliance die Benutzeranmeldeinformationen mit den auf dem LDAP-Authentifizierungsserver配置figurierten Informationen。
4. Zusammen mit dieser Abfrage an den Authentifizierungsserver führt die Citrix ADC Appliance die Anforderung aus, die详细信息属性abzurufen (Max-Pwd-Age和Pwd-Last-Set）.
5. Abhängig von der verbleibenden Zeit bis zum Ablauf des kenworts wireine Ablaufbenachrichtigung angezeigt。
6. Der Benutzer ergreift dann geeignete Maßnahmen, um das Kennwort zu aktualisieren。

所以konfigureren Sie eine 14-tägige Ablaufbenachrichtigung mithilfe der Befehlszeilenschnittstelle

Hinweis

Die 14-tägige Ablaufbenachrichtigung kann für clientlose VPN- und Voll-VPN-Anwendungsfälle und nicht für ICA-Proxy konfigurerwerden。

Geben Sie an der eingabeauforderung die folgenden Befehle ein:

设置aaa参数-pwdExpiryNotificationDays ——NeedCopy >

Beispiel

> set aaa parameter -pwdExpiryNotificationDays 14 Done > show aaa parameter配置aaa参数EnableStaticPageCaching: YES EnableEnhancedAuthFeedback: NO DefaultAuthType: LOCAL MaxAAAUsers: Unlimited AAAD nat ip: None EnableSessionStickiness: NO aaaSessionLoglevel: INFORMATIONAL AAAD Log Level: INFORMATIONAL Dynamic address: OFF GUI mode: ON Max Saml Deflate Size: 1024 Password ExpiryNotificationDays: 14 

所以配置figureren Sie 14- tagage - ablaufbenachrichtigung mit der GUI

1. Navigieren您祖茂堂华氏温度，华氏温度．
2. Klicke汪汪汪AAA-Authentifizierungseinstellungen andern．

3. Geben Sie auf der SeiteAAA-Parameter konfigurierenTage im FeldKennwortablaufbenachrichtigung(为主)一个。

   

4. Klicken您再见好的。

   VPN-Portalseite angezeigt中的Benachrichtigung野生动物。