协商认证
与其他类型的身份验证策略一样,协商身份验证策略由表达式和操作组成。创建认证策略后,可以将认证策略与认证虚拟服务器绑定,并为其指定优先级。绑定策略时,还可以将其指定为主要策略或辅助策略。
除了标准的身份验证功能之外,Negotiate Action命令现在还可以从keytab文件中提取用户信息,而不需要您手动输入该信息。如果keytab有多个SPN,则身份验证、授权和审计将选择正确的SPN。您可以在命令行或使用配置实用程序配置此功能。
请注意
这些说明假设您已经熟悉LDAP协议,并且已经配置了所选的LDAP身份验证服务器。
配置身份验证、授权和审计,以便使用命令行接口从keytab文件中提取用户信息
在命令提示符下,输入适当的命令:
add authentication negotiateAction {-domain } {-domainUser } {-domainUserPasswd} [-defaultAuthenticationGroup ] [-keytab ] [-NTLMPath ] set authentication negotiateAction {-domain } {-domainUser } {-domainUserPasswd} [-defaultAuthenticationGroup ] [-keytab ] [-NTLMPath ] 参数描述
- 名字-协商动作的名称。
- 域—Citrix ADC的服务主体域名。
- domainUser—Citrix ADC主体映射的用户名。当keytab文件不可用时,这可以与域和密码一起给出。如果用户名和keytab文件一起给出,那么keytab文件将搜索该用户的凭据。最大长度:127
- domainUserPasswd—Citrix ADC主体对应的帐号密码。
- defaultAuthenticationGroup—除了提取的组外,认证成功时选择的默认组。最大长度:63
- keytab—提供给Citrix ADC的kerberos票据解密keytab文件的路径。如果没有keytab,可以在协商动作配置中指定域/用户名/密码。最大长度:127
- NTLMPath—开启NTLM认证的站点路径,包括服务器的FQDN。这在客户端回退到NTLM时使用。最大长度:127
配置身份验证、授权和审计,以便使用配置实用程序从keytab文件提取用户信息
请注意
在配置实用程序中,使用术语服务器而不是操作,但指的是相同的任务。
- 导航到“安全> AAA -应用流量>认证>高级策略>动作>协商动作”.
在详细信息窗格中,在服务器Tab,做以下其中一项操作:
- 如果你想创建一个新的谈判操作,点击添加.
- 如果要修改现有的谈判操作,在数据窗格中选择该操作,然后单击编辑.
- 如果您正在创建一个新的谈判行动,在名字文本框中,键入新操作的名称。长度为1 ~ 127个字符,可以由大写字母、小写字母、数字、“-”和“_”组成。如果要修改现有的“协商”操作,请跳过此步骤。该名称为只读;你无法改变它。
- 下谈判,如果尚未选中“使用密钥选项卡文件”复选框,请选中它。
- 在“Keytab文件路径”文本框中,键入要使用的Keytab文件的完整路径和文件名。
- 在“默认身份验证组”文本框中,键入要为此用户设置为默认的身份验证组。
- 点击创建或好吧来保存更改。
在对Kerberos身份验证使用高级加密时需要注意的几点
- 使用keytab时的配置示例:添加认证协商动作neg_act_aes256 -keytab " /nsconfig/krb/lbvs_aes256.keytab "
- 当keytab有多种加密类型时,使用以下命令。该命令还捕获域用户参数:add authentication negotiateAction neg_act_keytab_all -keytab " /nsconfig/krb/lbvs_all. "keytab " -domainUser " HTTP/lbvs.aaa.local "
- 当使用用户凭证时,使用以下命令:add authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser " HTTP/lbvs.aaa. add authentication negotiateAction当地“-domainUserPasswd
<密码>- 确保正确domainUser提供了信息。您可以在AD中查找用户登录名。
复制!
失败了!