认证、授权和应用流量审计
许多公司只限制有效用户访问网站,并控制允许每个用户访问的级别。身份验证、授权和审核功能允许站点管理员使用Citrix ADC设备管理访问控制,而不是为每个应用程序单独管理这些控制。在设备上进行身份验证还允许在同一域中受设备保护的所有网站之间共享此信息。
要使用身份验证、授权和审核,必须配置身份验证虚拟服务器以处理身份验证过程,配置流量管理虚拟服务器以处理到需要身份验证的web应用程序的流量。您还可以将DNS配置为将FQDN分配给每个虚拟服务器。配置虚拟服务器后,您可以为每个将通过Citrix ADC设备进行身份验证的用户配置一个用户帐户,还可以创建组并将用户帐户分配给组。创建用户帐户和组后,您将配置策略,告知设备如何对用户进行身份验证、允许用户访问哪些资源以及如何记录用户会话。要使策略生效,请将每个策略全局绑定到特定的虚拟服务器或相应的用户帐户或组。配置策略后,您可以通过配置会话设置并将会话策略绑定到流量管理虚拟服务器来自定义用户会话。最后,如果您的intranet使用客户端证书,则设置客户端证书配置。
为了理解在分布式环境中如何进行身份验证、授权和审计,请考虑具有内部网的组织,其内部员工在办公室、在家中、以及在旅行时访问。内部网上的内容是保密的,需要安全访问。任何想要访问intranet的用户都必须具有有效的用户名和密码。为满足这些要求,ADC执行以下操作:
- 如果用户未登录就访问内网,则会将用户重定向到登录页面。
收集用户的凭证,将它们传递给身份验证服务器,并将它们缓存到一个可以通过轻量级目录访问协议(LDAP)访问的目录中。有关更多信息,请参见确定LDAP目录中的属性.
- 在将用户的请求发送到应用服务器之前,验证用户被授权访问特定的内部网内容。
- 维护会话超时,在会话超时后,用户必须重新验证才能重新访问内网。(可以配置超时时间。)
- 在审核日志中记录用户访问,包括无效登录尝试。
支持身份验证类型
- 地方的
- LDAP
- 半径
- SAML
- TACACS +
- 客户端证书认证(包括智能卡认证)
- 网状物
- 先进的认证
- 基于表单的身份验证
- 基于401的身份验证
- 本机OTP
- 推送通知
- 电子邮件OTP
- reCaptcha
Citrix网关还支持RSA SecurID、Gemalto Protiva和SafeWord。您可以使用RADIUS服务器配置这些类型的身份验证。
在配置身份验证、授权和审计之前,您必须熟悉并理解如何在Citrix ADC设备上配置负载平衡、内容切换和SSL。
未经授权的身份验证
授权指定用户登录到设备时可以访问的网络资源。默认的授权设置是拒绝访问所有网络资源。Citrix建议使用默认的全局设置,然后创建授权策略来定义用户可以访问的网络资源。
您可以使用授权策略和表达式在设备上配置授权。创建授权策略后,可以将其绑定到您在设备上配置的用户或组。
您可以将设备配置为只使用身份验证,而不需要授权。在配置未经授权的身份验证时,设备不执行组授权检查。为用户或组配置的策略将被分配给用户。
启用身份验证、授权和审计
要使用身份验证、授权和审计特性,必须启用它。用户可以先配置认证、授权和审计实体(如认证虚拟服务器、流量管理虚拟服务器等),然后再启用认证、授权和审计特性,但只有启用认证、授权和审计特性,认证、授权和审计实体才能正常工作。
通过CLI开启认证、授权和审计功能
在命令提示符下,输入以下命令启用认证、授权和审计,验证配置:
enable ns feature AAA 通过使用GUI启用身份验证、授权和审计
- 导航到系统>设置.
- 在详细信息窗格中,在模式和特点点击改变基本特征.
- 在配置基本特征对话框中,选择认证、授权和审计复选框。
- 点击好吧.
禁用身份验证
如果部署不需要身份验证,则可以禁用它。您可以为每个不需要身份验证的虚拟服务器禁用身份验证。
重要的是:
重要的是:思杰建议谨慎禁用身份验证。如果不使用外部身份验证服务器,则创建本地用户和组以允许设备对用户进行身份验证。禁用身份验证将停止使用身份验证、授权和计费特性,这些特性控制和监视到设备的连接。当用户键入要连接到设备的web地址时,登录页面不会出现。
禁用验证
- 导航到配置> Citrix网关>虚拟服务器.
- 在详细信息窗格中,单击虚拟服务器,然后单击开放.
- 在基本设置页面,清楚启用身份验证复选框。