Konfigurieren derKerberos-Authentifizierung auf der NetScaler-Appliance
In diesem Thema werden ausführliche Schritte zum Konfigurieren der Kerberos-Authentifizierung auf der NetScaler-Appliance mithilfe der CLI und der GUI beschrieben.
Konfigurieren derKerberos-Authentifizierung auf der CLI
Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion, um die Authentifizierung von Datenverkehr auf der Appliance
ns-cli-promptns-funktion aktivierenAAA
Fügen Sie die Keytab-Datei der NetScaler-Appliance hinzu. Eine Keytab-Datei ist erforderlich, um das während der Kerberos-Authentifizierung vom Client erhaltene Geheimnis zu entschlüsseln. Eine einzelne Keytab-Datei enthält Authentifizierungsdetails für alle Dienste, die an den virtuellen Verkehrsverwaltungsserver auf der NetScaler-Appliance gebunden sind.
Generieren Sie zuerst die Keytab-Datei auf dem Active Directory-Server und übertragen Sie sie dann auf die NetScaler-Appliance.
Melden Sie sich mit dem folgenden Befehl beim Active Directory-Server an und fügen Sie einen Benutzer für die Kerberos-Authentifizierung hinzu.
net user/add Hinweis
Stellen Sie im AbschnittBenutzereigenschaftensicher, dass die Option “Kennwort bei der nächsten Anmeldung ändern” nicht ausgewählt ist und die Option “Kennwort läuft nicht ab” ausgewählt ist.
Ordnen Sie den HTTP-Dienst dem obigen Benutzer zu und exportieren Sie die Keytab-Datei. Führen Sie beispielsweise den folgenden Befehl auf dem Active Directory-Server aus:
ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass/mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL Hinweis
Sie können mehr als einen Dienst zuordnen, wenn eine Authentifizierung für mehr als einen Dienst erforderlich ist. Wenn Sie weitere Dienste zuordnen möchten, wiederholen Sie den obigen Befehl für jeden Dienst. Sie können denselben Namen oder unterschiedliche Namen für die Ausgabedatei angeben.
Übertragen Sie die Keytab-Datei mit dem Unix-Befehlftpoder einem anderen Dateiübertragungsprogramm Ihrer Wahl auf die NetScaler-Appliance. Laden Sie die Keytab-Datei in das Verzeichnis /nsconfig/krb/auf die NetScaler-Appliance hoch.
Die NetScaler-Appliance muss die IP-Adresse des Domänencontrollers aus dem vollqualifizierten Domänennamen (FQDN) beziehen. Citrix empfiehlt daher, den NetScaler mit einem DNS-Server zu konfigurieren.
ns-cli-prompt>add dns nameserver< ip地址>
Hinweis
Alternativ können Sie statische Hosteinträge hinzufügen oder andere Mittel verwenden, damit die NetScaler-Appliance den FQDN-Namen des Domänencontrollers in eine IP-Adresse auflösen kann.
Konfigurieren Sie die Authentifizierungsaktion und ordnen Sie sie anschließend einer Authentifizierungsrichtlinie zu.
Konfigurieren Sie die Aushandlungsaktion.
ns-cli-prompt>add authentication negotiateAction
-domain -domainUser -domainUserPasswd -defaultAuthenticationGroup -keytab -NTLMPath Hinweis: Wechseln Sie für die Konfiguration von Domänenbenutzern und Domänennamen zum Client und verwenden Sie den Befehl klist wie im folgenden Beispiel gezeigt:
Client: username @ AAA.LOCAL
Server: HTTP/onprem_idp.aaa.local @ AAA.LOCAL
add authentication negotiateAction
-domain -domainUser Konfigurieren Sie die Verhandlungsrichtlinie, und ordnen Sie die Verhandlungsaktion dieser Richtlinie zu.
ns-cli-prompt>add authentication negotiatePolicy
Erstellen Sie einen virtuellen Authentifizierungsserver und verknüpfen Sie die Verhandlungsrichtlinie damit.
Erstellen Sie einen virtuellen Authentifizierungsserver.
ns-cli-prompt>add authentication vserver
SSL 443 -authenticationDomain Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.
ns-cli-prompt>bind authentication vserver
-policy
Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).
ns-cli-prompt>set lb vserver
-authn401 ON -authnVsName Hinweis
民主党的古董Ahnliche Konfigurationen能帮欧什再见ellen Content Switching-Server vorgenommen werden.
Überprüfen Sie die Konfigurationen, indem Sie Folgendes tun:
Greifen Sie mit dem FQDN auf den virtuellen Server zur Datenverkehrsverwaltung zu. Beispiel:Sample
Zeigen Sie die Details der Sitzung auf der CLI an.
ns-cli-prompt>show aaa session
Konfigurieren derKerberos-Authentifizierung auf der GUI
Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.
Navigieren Sie zuSystem>Einstellungen, klicken Sie aufGrundfunktionen konfigurierenund aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.
Fügen Sie die Keytab-Datei hinzu, wie in Schritt 2 des oben genannten CLI-Verfahrens beschrieben.
Fügen Sie einen DNS-Server hinzu.
Navigieren Sie zuTraffic Management > DNS > Nameserver, und geben Sie die IP-Adresse für den DNS-Server an.
Konfigurieren Sie die Aktion und RichtlinieAushandeln.
Navigieren Sie zuSicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und erstellen Sie eine Richtlinie mitAushandelnals Aktionstyp. Klicken Sie aufHINZUFÜGEN, um einen neuen Authentifizierungsverhandlungsserver zu erstellen, oder klicken Sie aufBearbeiten, um die vorhandenen Details zu konfigur
Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.
Navigieren Sie zuSicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und verknüpfenSie die Aushandlungsrichtliniemit dem virtuellen Authentifizierungsserver.
Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).
Navigieren Sie zuTraffic Management > Load Balancing > Virtuelle Server, und geben Sie die entsprechenden Authentifizierungseinstellungen an.
Hinweis
民主党的古董Ahnliche Konfigurationen能帮欧什再见ellen Content Switching-Server vorgenommen werden.
Überprüfen Sie die Konfigurationen wie in Schritt 7 der oben genannten CLI-Prozedur beschrieben.