Virtueller Authentifizierungsserver

Der virtuelle流量管理-服务器(负载均衡或内容交换)leitet alle Authentifizierungsanforderungen an den virtuellen Authentifizierungsserver um。diesel virtuelle Server verarbeitet die zugehörigen Authentifizierungsrichtlinien und bietet dementsprechend Zugriff auf die安文东。

Hinweis:网址können Traffic-Management-Richtlinien nicht an Authentifizierung, Autorisierung und Überwachung virtueller Server binden。

Richten Sie den virtuellen Authentifizierungsserver ein

Die Schritte bem Einrichten eines virtuellen Authentifizierungsservers:

1. Aktivieren Sie die Authentifizierungs, Autorisierungs and Überwachungsfunktion。

   启用ns feature AAA 

2. Konfigurieren Sie einen virtuellen Authentifizierungsserver。Es muss vom Typ SSL sein und sicherstellen, dass das SSL-Zertifikatschlüsselpaar an den virtuellen Server gebunden狂野。

   add authentication vserver  SSL   bind SSL certkey   

3. Geben Sie den FQDN der Domäne für den virtuellen Authentifizierungsserver an。

   set authentication vserver  -authenticationDomain  

4. Ordnen Sie den virtuellen Authentifizierungsserver dem entsprechenden virtuellen Server für das Verkehrsmanagement zu。

   Zu beachtende Punkte:

   • Der FQDN des virtuellen Servers für die Verkehrsverwaltung muss sich in derselben Domäne wie Der FQDN des virtuellen Authentifizierungsservers befinden, damit das Domänensitzungscookie ordnungsgemäß funktioniert。Auf dem virtuellen Server für das Verkehrsmanagement:
     • Aktiviere die Authentifizierung。
     • Geben Sie den FQDN des virtuellen Authentifizierungsservers als Authentifizierungshost des virtuellen Servers für die Datenverkehrsverwaltung an。
     • [可选]Geben Sie die Authentifizierungsdomäne auf dem virtuellen Datenverkehrsverwaltungsserver an。
     • Wenn Sie die Authentifizierungsdomäne nicht konfigurieren, weist die Appliance einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Teil des Hostnamens最好。Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweisetm.xyz.bar.com凸模，西模器具xyz.bar.comals Authentifizierungsdomäne zu。
       • Für den Lastenausgleich:

       set lb vserver  -authentication ON -authenticationhost  [-authenticationdomain ] 

       • Zum内容切换:

       set cs vserver     

   • Wenn Sie ein domänenweites Cookie für eine Authentifizierungsdomäne festlegen müssen, müssen Sie das authentifizierungsproffil auf einem virtuellen Lastausgleichsserver aktivieren。

5. Stellen Sie sicher, dass beide virtuellen在Betrieb信德和korrekt konfiguriert信德的服务器。

   显示认证vserver  

所以richten Sie einen virtuellen Authentifizierungsserver über die GUI ein

1. Aktivieren Sie die Authentifizierungs, Autorisierungs and Überwachungsfunktion。

   航海家司祖系统> Einstellungen， klicken Sie aufGrundfunktionen konfigurierenund aktivieren SieAuthentifizierung, Autorisierung和Überwachung．

2. Konfigurieren Sie den virtuellen Authentifizierungsserver。

   航海家司祖Sicherheit > AAA - Anwendungsverkehr > Virtuelle服务器， und konfigurieren Sie nach Bedarf。

3. Konfigurieren Sie den virtuellen Traffic Management-Server für die Authentifizierung。

   • Für den Lastenausgleich:

     航海家司祖流量管理>负载均衡> Virtuelle服务器， und konfigurieren Sie den virtuellen Server nach Bedarf。

   • Zum内容切换:

     航海家司祖流量管理>内容切换> Virtuelle服务器， und konfigurieren Sie den virtuellen Server nach Bedarf。

4. • Überprüfen Sie das authentifizierongs - setup。

     航海家司祖Sicherheit > AAA - Anwendungsverkehr > Virtuelle服务器，以及überprüfen Sie die Details des entsprechenden virtuellen Authentifizierungsservers。

Konfigurieren des virtuellen Authentifizierungsservers

Um Authentifizierung, Autorisierung und Überwachung zu konfigurieren, konfigurieren Sie zunächst einen virtuellen Authentifizierungsserver für den Umgang mit Authentifizierungsverkehr。Binden Sie als Nächstes ein SSL-Zertifikatschlüsselpaar an den virtuellen Server, damit es ssl - verindungen verarbeiten kann。这是我们的信息，我们的信息，我们的信息，我们的信息，我们的信息Zertifikatschlüsselpaars我们的信息SSL-Zertifikate．

Konfigurieren eines virtuellen Authentifizierungsservers mit der CLI

Um einen virtuellen Authentifizierungsserver zu konfigurieren und die Konfiguration zu überprüfen, geben Sie an der Eingabeaufforderung die folgenden Befehle in derselben Reihenfolge ein:

add authentication vserver  ssl  show authentication vserver  bind ssl certkey  show authentication vserver  set authentication vserver  show authentication vserver  

Beispiel:

添加身份验证vserver Auth-Vserver-2 SSL 10.102.29.77 443做显示认证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0完成绑定SSL Certkey Auth-Vserver-2 Auth-Cert-1完成显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:客户端闲置超时:180秒下状态刷新:禁用禁用主要Vserver:禁用认证:对当前AAA用户:0完成设置身份验证Vserver Auth-Vserver-2显示身份验证Vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要Vserver:禁用认证:对当前AAA用户:0做< !——NeedCopy >

Hinweis

Der参数认证域参数。Verwenden Sie das authentifizierungsproffil，嗯domänenweite Cookies

Konfigurieren eines virtuellen Authentifizierungsservers über die GUI

1. 航海家司祖Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle服务器．

2. Führen您是我的详细信息的eine der folgenden Aktionen奥地利:

   • 嗯einen neuen virtuellen Authentifizierungsserver zu erstellen, klicken Sie aufHinzufugen．
   • Um einen vorhandenen virtuellen Authentifizierungsserver zu ändern, wählen Sie den virtuellen Server aus und klicken dann aufBearbeiten．Der Konfigurationsdialog öffnet sich mit dem erweiterten Bereich Grundeinstellungen。

3. Geben Sie die Werte für die参数wie folgt an (Sternchen gibt einen erforderlichen参数an):

   • name* name (kann für einen zuvor erstellten virtuellen Server nicht geändert werden)
   • IP-Adresstyp* - IP-Adresstyp des virtuellen Authentifizierungsservers
   • ip地址* - ip地址des virtuellen Authentifizierungsservers
   • 端口* - TCP-Port, auf dem der virtuelle服务器名称。
   • Fehlgeschlagenes Anmelde-Timeout - failedLoginTimeout (Sekunden erlaubt, bevor die Anmeldung fehlschlägt, und der Benutzer muss den Anmeldevorgang erneut starten.)
   • Max。Anzahl der erlaubten Anmeldeversuche, bevor der Benutzer gesperrt ward

   Hinweis:

   Der virtuelle Authentifizierungsserver verwendet nur das ssl - protocol koll und den Port 443, sodass diese Optionen ausgegraut sind。allle Optionen, die nicht erwähnt werden, können ignoriert werden。

4. Klicken Sie auf魏特um den Bereich Zertifikate anzuzeigen。

5. Konfigurieren Sie im BereichZertifikatealle SSL-Zertifikate, die Sie mit diesem virtuellen Server verwenden möchten。

   • Um ein CA-Zertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts neben CA Certificate, Um das Dialogfeld CA Cert Key anzuzeigen, wählen Sie das Zertifikat aus, das Sie an diesen virtuellen Server binden möchten, und klicken Sie aufSpeichern．
   • Um ein Serverzertifikat zu konfigurieren, klicken Sie auf den Pfeil rechts neben dem Serverzertifikat, und gehen Sie genauso vor wie für das CA-Zertifikat。
6. Klicken Sie auf魏特嗯，den BereichErweiterte Authentifizierungsrichtlinienanzuzeigen。
7. 我是你的，我是你的，我是你的，我是你的，我是你的，我是你的Authentifizierungsrichtlinieanzuzeigen, wählen你死了Richtlinie aus，你死了Server binden möchten, legen你死了Priorität fest，和klicken你死了好吧．
8. Klicken Sie aufFortfahren嗯，den BereichGrundauthentifizierungsrichtlinienanzuzeigen。
9. Wenn Sie eine standard ardauthentifizierungsrichtlinie erstellen und an den virtuellen Server binden möchten, klicken Sie auf das Pluszeichen, um das DialogfeldRichtlinienanzuzeigen，和befolgen Sie die Anweisungen，嗯die Richtlinie zu konfigurieren und diesen virtuellen Server zu binden。
10. Klicken Sie auf魏特um den Bereich 401 basierte virtuelle服务器anzuzeigen。

11. Konfigurieren Sie im Bereich 401 basierte virtuelle Server alle virtuellen Load Balancing- oder Content switch -Server, die Sie an diesen virtuellen Server bind möchten。

    • Um einen virtuellen Lastausgleichsserver zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Lastausgleichsserver, Um das Dialogfeld Load Balancing Virtuelle Server anzuzeigen, und folgen Sie den Anweisungen。
    • Um einen virtuellen内容切换-Server zu binden, klicken Sie auf den Pfeil rechts neben dem virtuellen Server für内容切换，Um das Dialogfeld内容切换虚拟服务器anzuzeigen, und gehen Sie genauso vor wie beim binden eines virtuellen LB-Servers。
12. 我们的工作人员möchten，我们的工作人员，我们的工作人员，我们的工作人员，我们的工作人员，我们的工作人员，我们的工作人员，我们的工作人员。
13. Überprüfen你是我们的朋友，你是我们的朋友多数时候信德。Das Dialogfenster wild geschlossen。Wenn Sie einen neuen virtuellen Authentifizierungsserver erstellt haben，奇怪的柴油喷射在der Liste desKonfigurationsfenstersangezeigt。

Virtueller Server für das Verkehrsmanagement

Nachdem Sie Ihren virtuellen Authentifizierungsserver erstellund konfiguriert haben, erstellen oder konfigurieren Sie als Nächstes einen virtuellen Traffic Management-Server und verknüpfen Ihren virtuellen Authentifizierungsserver damit。Sie können entweder einen virtuellen Lastausgleichs- oder Content switch -Server für einen virtuellen Server zur Datenverkehrsverwaltung verwenden。Weitere Informationen zum Erstellen und Konfigurieren eines virtuellen Servers find Sie imCitrix流量管理指南贝交通管理．

Hinweis:

Der FQDN des virtuellen Servers für die Verkehrsverwaltung muss sich in derselben Domäne wie Der FQDN des virtuellen Authentifizierungsservers befinden, damit das Cookie für die Domänensitzung ordnungsgemäß funktioniert。

Sie konfigurieren einen virtuellen Traffic Management-Server für Authentifizierung, Autorisierung und Überwachung, indem Sie die Authentifizierung aktivieren und dann den FQDN des Authentifizierungsservers dem virtuellen Server für das Verkehrsmanagement zuweisen。Sie können die Authentifizierungsdomäne derzeit auh auf dem virtuellen Server für die Verkehrsverwaltung konfigurieren。Wenn Sie diese Option nicht konfigurieren, weist die Citrix ADC-Appliance dem virtuellen Server für die Verkehrsverwaltung einen FQDN zu, der aus dem FQDN des virtuellen Authentifizierungsservers ohne den Hostnamen-Teil besteht。Wenn der Domänenname des virtuellen Authentifizierungsservers beispielsweise tm.xyz.bar.com lautet, weist die Appliance xyz.bar.com。als Authentifizierungsdomäne zu。

所以konfigurieren Sie einen virtuellen Traffic Management-Server über die CLI

Geben Sie an der Eingabeaufforderung einen der folgenden Befehlsätze in:

set lb vserver  -authentication ON -authenticationhost  [-authenticationdomain ] show lb vserver  set cs vserver  -authentication ON -authenticationhost  [-authenticationdomain ] show cs vserver  

Beispiel:

set lb vserver vs-con -sw - authentication ON - authenticationhost mywiki.index.com Done show lb vserver vs-con -sw vs-con -sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN最后一次状态变化是在Wed Aug 19 10:03:15 2009 (+410 ms)距离上一次状态变化的时间:5天，20:00:40.290生效状态:DOWN客户端空闲超时:9000 sec DOWN状态flush: ENABLED禁用主vserver ON DOWN: DISABLED否of Bound Services: 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com Done 

所以konfigurieren Sie einen virtuellen Traffic Management-Server über die GUI

1. Führen我是您的导航系统。

   • 航海家司祖流量管理>负载均衡> Virtuelle服务器．
   • 航海家司祖流量管理>内容交换>虚拟网关
   • Wählen您是我的服务器，您的die Authentifizierung aktivieren möchten，和klicken您的服务器Bearbeiten．
   • Geben Sie im Textfeld Domäne die Authentifizierungsdomäne ein。
   • Wählen我是Menü”Erweitert" auf der rechten Seite die选项Authentifizierung来自。

   • Wählen Sie entwederFormularbasierte Authentifizierung奥得河401 - basierte Authentifizierung这是真实的信息。

     • Geben Sie für die formularbasierte Authentifizierung den authentifiziergs - fqdn (den volqualifizierten Domänennamen des Authentifizierungsservers)， den virtuellen Authentifizierungsserver (die ip - address des virtuellen authentifizierersservers)和das authentifizierungsproffil (das für die Authentifizierung zu verwendende proffil) ein。
     • Geben Sie für 401-basierte Authentifizierung nur den virtuellen Authentifizierungsserver und das authentifizierungsproffil ein。
   • Klicken Sie auf好吧．这是我的国家，我的祖国，我的祖国，我的祖国。

Vereinfachte Unterstützung des Anmeldeprotokolls für Authentifizierung, Autorisierung und Überwachung

Das Anmeldeprotokoll zwischen Authentifizierung, Autorisierung und Überwachung virtueller Server für Das Verkehrsmanagement und Authentifizierung, Autorisierung und Überwachung virtueller Server wildvereinfacht, um interne Mechanismen zu verwenden, anstatt die verschlüsselten Daten über Abfrageparameter zsenden。Wiedergabe von Anfragen verhindert。

Konfigurieren Sie DNS

Damit das im Authentifizierungsprozess verwendete Domänensitzungscookie ordnungsgemäß funktioniert, müssen Sie DNS so konfigurieren, dass sowohl die authentifizierunals auh die virtuellen Server für die Verkehrsverwaltung FQDNs in derselben Domäne zugewiesen werden。信息zum Konfigurieren von DNS-Adressdatensätzen find den Sie unterDomanennamensystem．

Überprüfen der Authentifizierung virtueller服务器

Nachdem Sie virtuelle Authentifizierungs- und Verkehrsverwaltungsserver konfiguriert haben und beutzerkonten erstellen, müssen Sie überprüfen, ob beide virtuellen Server korrekt konfiguriert sind und sich im Status UP befinden。

Konfigurieren einer NoAuth-Authentifizierung über die CLI

Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

显示认证vserver  

Beispiel:

show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down State flush: DISABLED禁用主vserver On Down: DISABLED authentication: On当前AAA用户:0认证域:myCompany.employee.com Done 

Konfigurieren einer NoAuth-Authentifizierung über die GUI

1. 航海家司祖Sicherheit > Citrix ADC AAA - Anwendungsverkehr > Virtuelle服务器．Hinweis: Navigieren Sie von Citrix Gateway zuCitrix Gateway > Virtuelle Server．
2. Überprüfen Sie die Informationen im BereichVirtuelle AAA-Server， um sicherzustellen, dass Ihre Konfiguration korrekt ist und Ihr virtueller Authentifizierungsserver Datenverkehr akzeptiert。您können einen bestimmten virtuellen服务器auswählen, um detaillierte Informationen im Detailbereich anzuzeigen。