TACACS身份验证
TACACS认证策略向外部TACACS (Terminal Access Controller Access- control System)认证服务器进行认证。当用户向TACACS服务器进行身份验证后,Citrix ADC将连接到同一个TACACS服务器进行所有后续授权。当主TACACS服务器不可用时,此特性可防止ADC在等待第一个TACACS服务器超时时出现任何延迟。它发生在向第二台TACACS服务器重发授权请求之前。
注意:
TACACS授权服务器不支持字符串长度超过255的命令。
处理:使用本地授权,而不是TACACS授权服务器。
通过TACACS服务器进行认证时,认证、授权和流量管理日志审计只能成功执行TACACS命令。它可以防止日志显示由未被授权运行的用户输入的TACACS命令。
从NetScaler 12.0 Build 57开始。如果TACACS (Terminal Access Controller Access- control System)在发送TACACS请求时,没有阻塞认证、授权和审计守护进程。允许LDAP和RADIUS身份验证来处理请求。TACACS服务器确认TACACS请求后,TACACS认证请求恢复。
重要的是:
Citrix建议在执行clear ns config命令时不要修改任何与TACACS相关的配置。
在高级策略的“clear ns config”命令中,当参数“RBAconfig”为NO时,清除高级策略的TACACS相关配置,并重新应用。
TACACS身份验证的名称-值属性支持
现在可以使用唯一的名称和值配置TACACS身份验证属性。名称在TACACS动作参数中配置,通过查询名称获得值。通过指定name属性值,管理员可以轻松搜索与属性名称关联的属性值。此外,管理员不再需要只记住属性的值。
重要的
- 在tacacsAction命令中,最多可以配置64个用逗号分隔的属性,总大小小于2048字节。
使用实例通过CLI配置名称-值属性
在命令提示符下,输入:
add authentication tacacsAction [-Attributes ]
例子:
add authentication tacacsAction tacacsAct1 -attributes " mail,sn,userprincipalName "
使用命令行接口添加身份验证操作
如果不使用LOCAL认证,则需要添加显式认证动作。在命令提示符下,输入以下命令:
add authentication tacacsAction -serverip [-serverPort ][-authTimeout ][…]) < !——NeedCopy >
例子
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
使用命令行接口配置认证动作
要配置现有的身份验证操作,请在命令提示符处键入以下命令:
set authentication tacacsAction -serverip [-serverPort ][-authTimeout ][…]) < !——NeedCopy >
例子
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
使用命令行接口删除认证操作
要删除一个现有的RADIUS操作,在命令提示符处输入以下命令:
rm authentication radiusAction
例子
rm authentication tacacsaction Authn-Act-1