SSO für Basic-, Digest- und NTLM-Authentifizierung aktivieren

Ab NetScaler Feature Release 13.0 Build 64.35 und höher sind die folgenden SSO-Typen global deaktiviert.

• Grundlegende Authentifizierung
• Digest Access-Authentifizierung
• NTLM ohne Negotiate NTLM2-Schlüssel oder Negotiate-Zeichen

Die Single Sign-On (SSO) -Konfiguration in NetScaler und NetScaler Gateway kann auf globaler Ebene und auch pro Verkehrsebene aktiviert werden. Standardmäßig ist die SSO-KonfigurationAUSund ein Administrator kann SSO pro Datenverkehr oder global aktivieren. Aus Sicherheitsgründen empfiehlt Citrix Administratoren, SSO globalauszuschaltenund es pro Datenverkehr zu aktivieren. Diese Verbesserung soll die SSO-Konfiguration sicherer machen, indem bestimmte Arten von SSO-Methoden global deaktiviert werden.

Die StoreFront-SSO-Konfiguration ist nur für 13.0 Build 64.35 betroffen (deaktiviert). Die Konfiguration wird in den zukünftigen 13.0-Builds nicht beeinträchtigt.

Nicht betroffene SSO-Typen

Die folgenden SSO-Typen sind von dieser Erweiterung nicht betroffen.

• Kerberos-Authentifizierung
• SAML-Authentifizierung
• Formularbasierte Authentifizierung
• OAuth-Trägerauthentifizierung
• NTLM mit Negotiate NTLM2-Schlüssel oder Negotiate-Zeichen

Beeinträchtigte Single Sign-On-Konfigurationen

Im Folgenden sind die betroffenen (deaktivierten) SSO-Konfigurationen aufgeführt.

Globale Konfigurationen

set tmsessionparam -SSO ON set vpnparameter -SSO ON add tmsessionaction tm_act -SSO ON add vpn sessionaction tm_act -SSO ON

Sie können SSO als Ganzes aktivieren/deaktivieren und können einzelne SSO-Typen nicht ändern.

Anzuwendende Sicherheitsmaßnahmen

Als Teil der Sicherheitsmaßnahmen sind sicherheitsrelevante SSO-Typen in der globalen Konfiguration deaktiviert, sie sind jedoch nur über eine Traffic-Action-Konfiguration zulässig. Wenn also ein Backend-Server Basic, Digest oder NTLM ohne Negotiate NTLM2-Schlüssel oder Negotiate Sign erwartet, kann der Administrator SSO nur über die folgende Konfiguration zulassen.

Traffic Action

add vpn trafficaction tf_act http -SSO ON add tm trafficaction tf_act -SSO ON

Traffic Richtlinie

add tm trafficpolicy   tf_act add vpn trafficpolicy   tf-act

Der Administrator muss eine entsprechende Regel für die Verkehrsrichtlinie konfiguriert haben, um sicherzustellen, dass SSO nur für vertrauenswürdige Back-End-Server aktiviert ist.

AAA-TM

Szenarien, die auf der globalen Konfiguration basieren:

set tmsessionparam -SSO ON

Workaround:

add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol true tf_act

Binden Sie die folgende Verkehrsrichtlinie an alle virtuellen LB-Server, auf denen SSO erwartet wird:

bind lb vserver  -policy tf_pol -priority 65345

Szenarien basierend auf der Konfiguration der Sitzungsrichtlinien:

add tmsessionaction tm_act -SSO ON add tmsession policy   tm_act add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol  tf_act

Bemerkenswerte Punkte:

• Der NetScaler AAA-Benutzer/die Gruppe für die vorherige Sitzungsrichtlinie muss durch eine Verkehrsrichtlinie ersetzt werden.
• Binden Sie die folgende Richtlinie an die virtuellen Lastausgleichsserver für die vorherige Sitzungsrichtlinie:bind lb vserver [LB VS Name] -policy tf_pol -priority 65345
• Wenn eine Verkehrsrichtlinie mit einer anderen Priorität konfiguriert ist, ist der vorherige Befehl nicht hilfreich.

Der folgende Abschnitt befasst sich mit Szenarien, die auf Konflikten mit mehreren Verkehrsrichtlinien basieren, die einem Verkehr zugeordnet sind:

Für einen bestimmten TM-Verkehr wird nur eine TM-Verkehrsrichtlinie angewendet. Aufgrund der globalen Einstellungen der SSO-Funktionen ist die Anwendung einer zusätzlichen TM-Verkehrsrichtlinie mit niedriger Priorität möglicherweise nicht anwendbar, falls bereits eine TM-Verkehrsrichtlinie mit hoher Priorität (für die keine SSO-Konfiguration erforderlich ist) angewendet wird. Im folgenden Abschnitt wird die Methode beschrieben, mit der sichergestellt werden kann, dass solche Fälle behandelt werden.

Beachten Sie, dass die folgenden drei Verkehrsrichtlinien mit höherer Priorität auf virtuelle Load Balancing-Server (LB) angewendet werden:

add tm trafficaction tf_act1  add tm trafficaction tf_act2  add tm trafficaction tf_act3  add tm trafficpolicy tf_pol1  tf_act1 add tm trafficpolicy tf_pol2  tf_act2 add tm trafficpolicy tf_pol3  tf_act3 bind lb vserver  -policy tf_pol1 -priority 100 bind lb vserver  -policy tf_pol2 -priority 200 bind lb vserver  -policy tf_pol3 -priority 300

Fehleranfällige Methode - Um die globale SSO-Konfiguration zu lösen, fügen Sie die folgende Konfiguration hinzu:

add tm trafficaction tf_act_default -SSO ON add tm trafficpolicy tf_pol_default true tf_act_default bind lb vserver  -policy tf_pol_default -priority 65345

Hinweis:Die vorhergehende Änderung kann SSO für Traffic, der trifft, wie für diese Traffic- und Verkehrsrichtlinie unterbrechen wird nicht angewendet.

Richtige Methode - Um dies zu mindern, muss die SSO-Eigenschaft für jede der entsprechenden Verkehrsaktionen einzeln angewendet werden:

Zum Beispiel muss im vorhergehenden Szenario die folgende Konfiguration zusammen mit angewendet werden, damit SSO für den Datenverkehr auf tf_pol1/tf_pol3 trifft .

add tm trafficaction tf_act1  -SSO ON add tm trafficaction tf_act3  -SSO ON

NetScaler Gateway -Fälle

Szenarien, die auf der globalen Konfiguration basieren:

set vpnparameter -SSO ON

Workaround:

添加vpn trafficaction vpn_tf_act http添加ssovpn trafficpolicy vpn_tf_pol true vpn_tf_act

Binden Sie die folgende Verkehrsrichtlinie an alle virtuellen VPN-Server, auf denen SSO erwartet wird:

bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345

Szenarien basierend auf der Konfiguration der Sitzungsrichtlinien:

add vpn sessionaction vpn_sess_act -SSO ON add vpnsession policy   vpn_sess_act

Zu beachtende Punkte:

• Der NetScaler AAA-Benutzer/die Gruppe für die vorherige Sitzungsrichtlinie muss durch eine Verkehrsrichtlinie ersetzt werden.

• Binden Sie die folgende Richtlinie für die vorherige Sitzungsrichtlinie an die virtuellen LB-Server,bind lb virtual server [LB VS Name] -policy tf_pol -priority 65345.

• Wenn eine Verkehrsrichtlinie mit einer anderen Priorität konfiguriert ist, ist der vorherige Befehl nicht hilfreich. Der folgende Abschnitt befasst sich mit Szenarien, die auf Konflikten mit mehreren Verkehrsrichtlinien im Zusammenhang mit dem Verkehr beruhen.

Funktionsszenarien, die auf Konflikten mit mehreren Verkehrsrichtlinien basieren, die einem Verkehr zugeordnet sind:

Für einen bestimmten NetScaler Gateway-Verkehr wird nur eine VPN-Verkehrsrichtlinie angewendet. Aufgrund der globalen Einstellungen der SSO-Funktionen ist die Anwendung einer zusätzlichen VPN-Verkehrsrichtlinie mit niedriger Priorität möglicherweise nicht anwendbar, wenn es andere VPN-Verkehrsrichtlinien mit hoher Priorität gibt, für die keine SSO-Konfiguration erforderlich ist.

Im folgenden Abschnitt wird die Methode beschrieben, mit der sichergestellt werden kann, dass solche Fälle behandelt werden:

Bedenken Sie, dass es drei Verkehrsrichtlinien mit höherer Priorität gibt, die auf einen virtuellen VPN-Server angewendet werden:

add vpn trafficaction tf_act1  add vpn trafficaction tf_act2  add vpn trafficaction tf_act3  add vpn trafficpolicy tf_pol1  tf_act1 add vpn trafficpolicy tf_pol2  tf_act2 add vpn trafficpolicy tf_pol3  tf_act3 bind vpn vserver  -policy tf_pol1 -priority 100 bind vpn vserver  -policy tf_pol2 -priority 200 bind vpn vserver  -policy tf_pol3 -priority 300

Fehleranfällige Methode:Um die globale SSO-Konfiguration zu lösen, fügen Sie die folgende Konfiguration hinzu:

add vpn trafficaction tf_act_default -SSO ON add vpn trafficpolicy tf_pol_default true tf_act_default bind vpn vserver  -policy tf_pol_default -priority 65345

Hinweis:Die vorhergehende Änderung kann SSO für den Traffic, der trifft, wie für diesen Traffic und die Verkehrsrichtlinie unterbrechen wird nicht angewendet.

Richtige Methode:Um dies zu mindern, muss die SSO-Eigenschaft für jede der entsprechenden Verkehrsaktionen einzeln angewendet werden.

Zum Beispiel im vorherigen Szenario muss die folgende Konfiguration zusammen mit angewendet werden, damit SSO für Datenverkehr auf tf_pol1/tf_pol3 trifft .

add vpn trafficaction tf_act1 [Additional config] -SSO ON add vpn trafficaction tf_act3 [Additional config] -SSO ON

SSO mit GUI konfigurieren

1. Navigieren Sie zuSicherheit > AAA — Anwendungsverkehr > Richtlinien > Sitzung, wählen Sie die RegisterkarteSitzungsprofile来自和klicken您汪汪汪Hinzufügen.

   

2. Geben Sie einen Namen für das Sitzungsprofil ein, klicken Sie neben dem FeldSingle Sign-On to Web Applicationsauf das KontrollkästchenGlobal überschreibenund klicken Sie aufErstellen.

   

3. Navigieren Sie zuSicherheit > AAA — Anwendungsverkehr > Richtlinien > Sitzung, wählen Siedie Registerkarte Sitzungsrichtlinien来自和klicken您汪汪汪Hinzufügen.

   

4. Geben Sie einen Namen für die Sitzungsrichtlinie ein, geben Sie “True” in das FeldAusdruckein und klicken Sie aufErstellen.

   

5. Navigieren Sie zuSicherheit > AAA — Anwendungsverkehr > Richtlinien > Verkehr, wählen Sie die RegisterkarteVerkehrsprofile来自和klicken您汪汪汪Hinzufügen.

   

6. Geben Sie einen Namen für das Verkehrsprofil ein, wählen Sie im DropdownmenüSingle Sign-Ondie OptionON来自和klicken您汪汪汪Erstellen.

   

7. Navigieren Sie zuSicherheit > AAA — Anwendungsverkehr > Richtlinien > Verkehr, wählen Sie die RegisterkarteVerkehrsrichtlinien来自和klicken您汪汪汪Hinzufügen.

   

8. Geben Sie einen Namen für die Verkehrsrichtlinie ein, geben Sie “True” in das FeldAusdruckein und klicken Sie aufErstellen.

   

9. Navigieren Sie zuNetScaler Gateway > Globale Einstellungenund klicken Sie aufGlobale Einstellungen ändern.

   

10. Wählen Sie auf der SeiteGlobal NetScaler Gateway Settingsdie RegisterkarteClient Experienceaus und aktivieren Sie das FeldSingle Sign-On to WebApplications.

    

11. Navigieren Sie zuNetScaler Gateway > Richtlinien > Sitzung, wählen Sie die RegisterkarteSitzungsprofile来自和klicken您汪汪汪Hinzufügen.

    

12. Wählen Sie auf der SeiteNetScaler Gateway-Sitzungsprofil erstellendie RegisterkarteClient Experienceaus und aktivieren Sie das FeldSingle Sign-On für Webanwendungen.

    

13. Navigieren Sie zuNetScaler Gateway > Richtlinien > Traffic, wählen Sie die RegisterkarteTraffic Profiles来自和klicken您汪汪汪Hinzufügen.

    

14. Geben Sie einen Namen für das Verkehrsprofil ein, wählen Sie im DropdownmenüSingle Sign-Ondie OptionON来自和klicken您汪汪汪Erstellen.

    

15. Navigieren Sie zuNetScaler Gateway > Richtlinien > Traffic, wählen Sie die Registerkarte TrafficPolicies来自和klicken您汪汪汪Hinzufügen.

    

16. Geben Sie auf der SeiteNetScaler Gateway-Verkehrsrichtlinie erstelleneinen Namen für die Verkehrsrichtlinie ein, geben Sie „True“ in das FeldAusdruckein und klicken Sie aufErstellen.