Web-Authentifizierung

Authentifizierung, Autorisierung und Überwachung ist nun in der Lage, einen Benutzer bei einem Webserver zu authentifizieren, indem er die Anmeldeinformationen bereitstellt, die der Webserver in einer HTTP-Anforderung benötigt, und die Antwort des Webservers analysieren, um festzustellen, dass die Benutzerauthentifizierung erfolgreich war. Wie bei anderen Arten von Authentifizierungsrichtlinien besteht eine Webauthentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie.

Um die webbasierte Authentifizierung mit einem bestimmten Webserver einzurichten, erstellen Sie zunächst eine Webauthentifizierungsaktion. Da bei der Authentifizierung bei Webservern kein starres Format verwendet wird, müssen Sie beim Erstellen der Aktion genau angeben, welche Informationen der Webserver benötigt und in welchem Format. Zu diesem Zweck erstellen Sie einen Ausdruck in der Citrix ADC-Appliance Advanced-Richtlinie, der die folgenden Elemente enthält:

• 服务器-IP— Die IP-Adresse des Authentifizierungs-Webservers.
• 服务器port— Der Port des Authentifizierungs-Webservers.
• Authentifizierungsregel——静脉Ausdruck der Citrix ADC-Appliance进步d-Richtlinie, der die Anmeldeinformationen des Benutzers in dem vom Webserver erwarteten Format enthält.
• Schema—HTTP (für unverschlüsselte Webauthentifizierung) oder HTTPS (für verschlüsselte Webauthentifizierung).
• Erfolgsregel——静脉Ausdruck der Citrix ADC-Appliance进步d-Richtlinie, der der Webserver-Antwortzeichenfolge entspricht, die angibt, dass sich der Benutzer erfolgreich authentifiziert

Befolgen Sie für alle anderen Parameter die normalen Regeln für den Befehl zum Hinzufügen der Authentifizierung.

Als Nächstes erstellen Sie eine Richtlinie, die mit dieser Aktion verknüpft ist. Die Richtlinie ähnelt einer LDAP-Richtlinie und verwendet wie LDAP-Richtlinien die Citrix ADC-Appliance-Syntax.

Hinweis

Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits mit den Authentifizierungsanforderungen der Webserver vertraut sind, bei denen Sie sich authentifizieren möchten, und den Webauthentifizierungsserver bereits konfiguriert haben.

So konfigurieren Sie eine Webauthentifizierungsaktion über die Befehlszeile

Um eine Webauthentifizierungsaktion an der Befehlszeile zu erstellen, geben Sie an der Befehlszeile den folgenden Befehl ein:

添加authentication webAuthAction  -serverIP  -serverPort  [-fullReqExpr ] -scheme ( http | https ) -successRule  [-defaultAuthenticationGroup ][-Attribute1 ][-Attribute2 ] [-Attribute3 ][-Attribute4 ] [-Attribute5 ][-Attribute6 ] [-Attribute7 ][-Attribute8 ] [-Attribute9 ][-Attribute10 ] [-Attribute11 ][-Attribute12 ] [-Attribute13 ][-Attribute14 ] [-Attribute15 ][-Attribute16 ] 

Beispiel

添加policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")" add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length" add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)" 

So konfigurieren Sie eine Webauthentifizierungsaktion mithilfe des Konfigurationsdienstprogramms

Hinweis

Im Konfigurationsdienstprogramm wird der Begriff Server anstelle von Aktion verwendet, bezieht sich jedoch auf dieselbe Aufgabe.

1. Navigieren Sie zuSicherheit > AAA - Anwendungsverkehr > Richtlinien > LDAP.

2. Führen Sie im Detailbereich auf der Registerkarte服务器einen der folgenden Schritte aus:

   • Wenn Sie eine neue Webauthentifizierungsaktion erstellen möchten, klicken Sie aufHinzufügen.
   • Wenn Sie eine vorhandene Webauthentifizierungsaktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann aufBearbeiten.
3. Wenn Sie eine neue Webauthentifizierungsaktionerstellen, geben Sie im Dialogfeld Authentifizierungs-Webservererstellen im TextfeldNameeinen Namen für die neue Webauthentifizierungsaktion ein. Der Name kann ein bis 127 Zeichen lang sein und aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrich (-) und Unterstrichen (_) bestehen. Wenn Sie eine bestehende Webauthentifizierungsaktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt; Sie können ihn nicht ändern.
4. Geben Sie im TextfeldWebserver-IP-Adressedie IPv4- oder IPv6-IP-Adresse des Authentifizierungs-Webservers ein. Handelt es sich bei der Adresse um eine IPv6-IP-Adresse, aktivieren Sie zuerst das Kontrollkästchen IPv6.
5. Geben Sie im Textfeld Port die Portnummer ein, auf der der Webserver Verbindungen akzeptiert.
6. Wählen Sie in der DropdownlisteProtokolldie OptionHTTPoderHTTPSaus.
7. Geben Sie im Textbereich HTTP-Request-Ausdruck einen regulären Ausdruck im PCRE-Format ein, der die Webserver-Anforderung erstellt, die die Anmeldeinformationen des Benutzers in dem vom Authentifizierungs-Webserver erwarteten Format enthält.
8. 您im Textbereich Ausdruck苏珥Uberprufungdes Textbereichs Authentifizierung einen erweiterten Richtlinienausdruck der Citrix ADC-Appliance ein, der die Informationen in der Webserverantwortung beschreibt, die darauf hinweisen, dass die Benutzerauthentifizierung erfolgreich war.
9. Füllen Sie die verbleibenden Felder aus, wie in der Dokumentation zur allgemeinen Authentifizierungsaktion beschrieben.
10. Klicken Sie aufOK.