Verhandeln der Authentifizierung

我的名字，我的名字，我的名字，我的名字。Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu。Wenn Sie es binden, legen Sie es auch als primäre oder sekundäre Richtlinie fest。

Zusätzlich zu den standard ardauthentifizierungsfunktionen kann der Befehl Aktion aushandeln nbenutzerinformationen aueiner keytabe datei extrahieren, anstatt dass Sie diese Informationen manuell ingeneben müssen。Wenn ein Keytab über mehr als einen SPN verfügt, wählt Authentifizierung, Autorisierung und Überwachung den richtigen SPN aus。你können diese Funktion der Befehlszeile der der dem konfigationsdienstprogram konfigurieren。

Hinweis:

Diese Anweisungen gehen davon aus, dass Sie bereits mit dem LDAP-Protokoll vertraut sind und Ihren gewählten LDAP-Authentifizierungsserver bereits konfiguriert haben。

所以，konfigurieren Sie Authentifizierung, Autorisierung and Überwachung，嗯Benutzerinformationen aus einer Keytab-Datei der Befehlszeilenschnittstelle zu extrahieren

Geben Sie an der Eingabeaufforderung den entsprechenden Befehl ein:

add authentication negotiateAction  {-domain } {-domainUser } {-domainUserPasswd} [-defaultAuthenticationGroup ] [-keytab ] [-NTLMPath ] set authentication negotiateAction  {-domain } {-domainUser } {-domainUserPasswd} [-defaultAuthenticationGroup ] [-keytab ] [-NTLMPath ] 

参数描述

• 的名字-名字叫der zu verwendenden Verhandlungsaktion
• 域- Domänenname des Dienstprinzipals, der Citrix ADC unterdrückt。
• domainUser- Benutzername des Kontos, Citrix ADC首席设计师。死kann zusammen mit Domäne和Kennwort gegeben werden, wenn die键盘- datei nicht verfügbar ist。Wenn der Benutzername zusammen mit der keytab-Datei angegeben wildd diese keytab-Datei nach den Anmeldeinformationen dieses Benutzers durchsucht。Maximale兰格:127
• domainUserPassWD- Kennwort des Kontos, das dem Citrix ADC-Prinzipal zugeordnet ist。
• DefaultAuthenticationGroup- die ist die Standardgruppe, die ausgewählt怪胎，wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist。Maximale兰格:63
• keytab- Der Pfad zur Keytab-Datei, die zum Entschlüsseln von Kerberos-Tickets verwendet weird, die Citrix ADC präsentiert werden。Wenn keytab nicht verfügbar ist, kann in der Konfiguration der Verhandlungsaktion domain/用户名/密码angegeben werden。Maximale兰格:127
• ntlmPath- Der Pfad zu Der Site, die für die NTLM-Authentifizierung aktiviert ist, einschli ßlich FQDN des Servers。死的奇怪贝einem客户回退auf NTLM verwendet。Maximale兰格:127

所以konfigurieren Sie Authentifizierung, Autorisierung and Überwachung，嗯Benutzerinformationen Autorisierung Autorisierung and Überwachung，嗯Benutzerinformationen Autorisierung Autorisierung and Überwachung

Hinweis:

我konfigurationsdienstprogram, Termserver anstelle von Aktion verwendet, bezieht sich aber auf dieselbe Aufgabe。

1. Navigieren您祖茂堂Sicherheit > AAA - Anwendungsdatenverkehr > Authentifizierung > Erweiterte Richtlinien > Aktionen > NEGOTIATE-Aktionen．

2. Führen Sie im Detailbereich auf der Registerkarte服务器eine der folgenden

   • Wenn Sie eine neueVerhandlungsaktionerstellen möchten, klicken Sie aufHinzufugen．
   • Wenn Sie eine vorhandeneVerhandlungsaktionändern möchten, wählen你是我的Datenbereich die Aktion aus，和klicken你的dann aufBearbeiten．
3. Wenn Sie eine neueVerhandlungsaktion我是特菲尔德的名字einen Namen für die neue Aktion ein。Der Name kann von einem bis 127 zechen lang sein und kann aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrich(-)和Unterstrich (_) bestehen。Wenn Sie eine vorhandene Verhandlungsaktion ändern， überspringen Sie diesen Schritt。姓名ist schreibgeschützt。Sie können ihn nicht ändern。
4. Aktivieren Sie es unter谈判， wenn das Kontrollkästchen Keytab-Datei verwenden noch nicht aktiviert ist。
5. Geben Sie im Textfeld键盘-日期记录den vollständigen键盘和日期记录der键盘-日期记录，die Sie verwenden möchten。
6. Geben Sie im Textfeld标准认证fizierungsgruppe die认证fizierungsgruppe ein, die Sie als标准für diesen Benutzer festlegen möchten。
7. Klicken您再见Erstellen奥得河好吧嗯die Änderungen zu speichern。

Punkte zu beachten, wann erweiterte Verschlüsselungen für die Kerberos-Authentifizierung verwendet werden

• Beispielkonfiguration bei Verwendung von Keytab:add authentication negotiateAction neg_act_aes256 -keytab " /nsconfig/krb/lbvs_aes256.keytab "
• Verwenden Sie den folgenden Befehl, wenn keytab mehrere Verschlüsselungstypen hat。Der Befehl erfast zusätzlich Domänenbenutzerparameter: add authentication negotiateAction neg_act_keytab_all -keytab " /nsconfig/krb/lbvs_all。keytab http / lbvs.aaa.local“-domainUser
• Verwenden we die folgenden Befehle, wenn Benutzeranmeldeinformationen verwendet werdenadd authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser "当地“-domainUserPasswd<密码>
• Stellen Sie sicher, dass die richtigendomainUser-Informationen bereitgestellt了。Sie können在公元nach dem Anmeldenamen des Benutzers suchen。