身份验证策略
当用户登录到Citrix ADC或Citrix网关设备时,他们将根据您创建的策略进行身份验证。身份验证策略由表达式和操作组成。身份验证策略使用Citrix ADC表达式。
创建身份验证操作和身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定时,还应将其指定为主策略或辅助策略。主要策略在次要策略之前进行评估。在使用这两种策略类型的配置中,主策略通常是更具体的策略,而辅助策略通常是更一般的策略。它旨在为不符合更具体标准的任何用户帐户处理身份验证。策略定义了身份验证类型。单个身份验证策略可用于简单的身份验证需求,并且通常在全局级别绑定。您还可以使用默认的身份验证类型,即本地身份验证类型。如果配置本地身份验证,还必须在设备上配置用户和组。
您可以配置多个身份验证策略并将其绑定以创建详细的身份验证过程和虚拟服务器。例如,您可以通过配置多个策略来配置级联和双因素身份验证。您还可以设置身份验证策略的优先级,以确定哪些服务器以及设备检查用户凭据的顺序。身份验证策略包括表达式和操作。例如,如果将表达式设置为True值,则当用户登录时,该操作会将用户登录计算为True,然后用户可以访问网络资源。
创建身份验证策略后,可以在全局级别或虚拟服务器上绑定该策略。将至少一个身份验证策略绑定到虚拟服务器时,用户登录到虚拟服务器时,不会使用绑定到全局级别的任何身份验证策略,除非全局身份验证类型的优先级高于绑定到虚拟服务器的策略。
当用户登录到设备时,将按以下顺序评估身份验证:
- 将检查虚拟服务器是否存在任何绑定的身份验证策略。
- 如果身份验证策略未绑定到虚拟服务器,则设备将检查全局身份验证策略。
- 如果身份验证策略未绑定到虚拟服务器或全局,则通过默认身份验证类型对用户进行身份验证。
如果配置LDAP和RADIUS身份验证策略并希望全局绑定策略以进行双因素身份验证,则可以在配置实用程序中选择该策略,然后选择该策略是主身份验证类型还是辅助身份验证类型。您还可以配置组提取策略。
注意:
Citrix ADC或Citrix Gateway设备仅编码UTF-8字符用于身份验证,并且它与使用ISO-8859-1字符的服务器不兼容。
创建身份验证策略
使用GUI创建身份验证策略
- 导航到安全> AAA -应用流量>策略>认证,然后选择要创建的策略类型。对于Citrix网关,导航到Citrix网关>策略>认证。
在详细信息窗格中的政策选项卡上,执行以下操作之一:
- 单击,创建新策略添加。
- 要修改现有策略,请选择操作,然后单击编辑。
在“创建身份验证策略”或“配置身份验证策略”对话框中,键入或选择参数值。
- 的名字-策略名称(无法更改以前配置的操作)
- 身份验证类型- - - - - -
作者类型 - 服务器- - - - - -
作者姓名 - 表示-规则(输入表达式首先选择表达式的类型在表达下最左边的下拉列表窗口中,然后通过键入你的表达直接表达文本区域,或通过点击添加打开添加表达式对话框,使用下拉列表来构建你的表情。)
- 点击创建或好吧。您创建的策略将出现在“策略”页面中。
点击服务器选项卡,并在详细信息窗格中执行以下操作之一:
- 要使用现有服务器,请选择它,然后单击。
- 要创建服务器,请单击Add,并按照说明操作。
- 如果要将该策略指定为二级认证策略,请在“认证”页签中单击“二级认证”。如果要将此策略指定为主认证策略,请跳过此步骤。
- 点击插入政策。
- 从下拉列表中选择要绑定到身份验证虚拟服务器的策略。
- 在优先级列的左边,修改默认优先级,以确保按照正确的顺序评估策略。
- 点击好吧. 状态栏中会显示一条消息,说明已成功配置策略。
使用GUI修改身份验证策略
您可以修改配置的身份验证策略和配置文件,例如身份验证服务器的IP地址或表达式。
- 在配置实用程序的“配置”选项卡上,展开Citrix网关>策略>认证。注意:您也可以从配置策略安全> AAA -应用流量>策略>认证,然后选择要修改的策略类型。
- 在导航窗格的“身份验证”下,选择身份验证类型。
- 在详细信息窗格的Servers选项卡上,选择一个服务器,然后单击Open。
使用GUI删除身份验证策略
如果您从网络中更改或删除了身份验证服务器,请从Citrix网关中删除相应的身份验证策略。
- 在配置实用程序的“配置”选项卡上,展开Citrix网关>策略\ >认证. 注意:要从ADC进行配置,请导航安全> AAA -应用流量>策略>认证,然后选择要删除的策略类型。
- 在导航窗格的“身份验证”下,选择身份验证类型。
- 在“详细信息”窗格中的“策略”选项卡上,选择一个策略,然后单击“删除”。
使用CLI创建身份验证策略
在命令提示符处,输入以下命令:
添加身份验证协商策略显示身份验证本地策略绑定身份验证服务器-policy[-priority][-secondary]]显示身份验证服务器<--需要复制--> 例子:
>添加身份验证localPolicy Authn-Pol-1 ns_true做>显示身份验证localPolicy 1)名称:Authn-Pol-1规则:ns_true请求行动:当地做>绑定验证vserver Auth-Vserver-2政策Authn-Pol-1做>显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:UP Client Idle Timeout: 180 sec Down state flush: DISABLED DISABLED主Vserver On Down: DISABLED Authentication: On Current AAA Users: 0 Authentication Domain: myCompany.employee.com 1)主认证策略名称:authn - pol1优先级:0 Done 使用CLI修改现有身份验证策略
在命令提示符下,输入以下命令修改现有的认证策略:
set authentication localPolicy [-reqaction ] 示例< !——NeedCopy >设置认证localPolicy Authn-Pol-1 ' ns_true '
###通过在命令提示符下使用CLI删除身份验证策略,键入以下命令以删除身份验证策略:<--需要复制-->rm身份验证本地策略
示例< !——NeedCopy >rm authentication localPolicy Authn-Pol-1
###绑定认证策略配置认证策略后,可以全局绑定认证策略,也可以绑定虚拟服务器。您可以使用任一配置实用程序绑定身份验证策略。使用配置实用工具全局绑定认证策略:在配置实用程序中,在configuration选项卡上,展开**Citrix Gateway \> Policies \> Authentication**。注意:要从ADC进行配置,请导航到“**安全> AAA -应用流量>策略>认证** 1”。单击认证类型。1.在详细信息窗格的“策略”选项卡上,单击服务器,然后在“操作”中单击“全局绑定”。在“主从”页签的“详细信息”区域框中,单击“插入策略”。在“策略名称”下,选择策略,然后单击“确定”。 **Note:** When you select the policy, Citrix Gateway sets the expression to True value automatically. To unbind a global authentication policy by using the configuration utility: 1. In the configuration utility, on the Configuration tab, expand **Citrix Gateway \> Policies \ > Authentication**. Note: To configure from ADC, navigate **Security > AAA - Application Traffic > Policies > Authentication** 1. On the Policies tab, in Action, click Global Bindings. 1. In the Bind/Unbind Authentication Policies to Global dialog box, on the Primary or Secondary tab, in Policy Name, select the policy, click Unbind Policy, and then click OK. ## Add an authentication action ### Add an authentication action by using the command line interface If you do not use LOCAL authentication, you need to add an explicit authentication action. At the command prompt, type the following command: 添加身份验证tacacsAction
示例< !——NeedCopy >添加身份验证tacacsaction Authn-Act-1-服务器IP 10.218.24.65-服务器端口1812-身份验证超时15-TACACSCERET“minotaur”-授权关闭-记帐打开-审核失败CMDS关闭-默认身份验证组“用户”
###使用命令行界面配置身份验证操作要配置现有身份验证操作,请在命令提示符下键入以下命令:<!--NeedCopy-->设置身份验证策略
示例< !——NeedCopy >设置认证tacacsaction认证- act -1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret " minotaur " -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup " users "
###通过使用命令行界面删除现有RADIUS操作来删除身份验证操作。在命令提示下,键入以下命令:<!--NeedCopy-->rm身份验证radiusAction
示例< !——NeedCopy >rm认证tacacsaction认证- act -1
## noAuth身份验证Citrix ADC设备支持noAuth身份验证功能,当用户执行此策略时,允许客户在“noAuthAction”命令中配置defaultAuthenticationGroup参数。管理员可以检查用户组中是否存在此组,以确定用户通过noAuth策略的导航。###通过使用命令行接口配置noAuth身份验证<!——NeedCopy >添加身份验证操作
**示例:*<--需要复制-->添加身份验证noAuthAction noauthact–defaultAuthenticationGroup mynoauthgroup
##默认全局身份验证类型当您安装Citrix Gateway并运行Citrix Gateway向导时,您在向导中配置了身份验证。此身份验证策略将自动绑定到Citrix Gateway全局级别。您在Citrix Gateway向导中配置的身份验证类型是默认的身份验证类型。可以通过再次运行Citrix Gateway向导更改默认授权类型,也可以在配置实用程序中修改全局身份验证设置。如果需要添加其他认证类型,可以在Citrix Gateway上配置认证策略,并通过配置实用工具将认证策略绑定到Citrix Gateway上。当全局配置认证时,您可以定义认证类型、配置配置和设置可认证的最大用户数。配置并绑定策略后,可以通过设置优先级来定义哪种认证类型优先。例如配置LDAP认证策略和RADIUS认证策略。如果LDAP策略的优先级为10,RADIUS策略的优先级为15,则无论在何处绑定策略,LDAP策略优先。这称为级联身份验证。 You can select to deliver logon pages from the Citrix Gateway in-memory cache or from the HTTP server running on Citrix Gateway. If you choose to deliver the logon page from the in-memory cache, the delivery of the logon page from Citrix Gateway is faster than from the HTTP server. Choosing to deliver the logon page from the in-memory cache reduces the wait time when many users log on at the same time. You can only configure the delivery of logon pages from the cache as part of a global authentication policy. You can also configure the network address translation (NAT) IP address that is a specific IP address for authentication. This IP address is unique for authentication and is not the Citrix Gateway subnet, mapped, or virtual IP addresses. This is an optional setting. **Note:** > >You cannot use the Citrix Gateway wizard to configure SAML authentication. You can use the Quick Configuration wizard to configure LDAP, RADIUS, and client certificate authentication. When you run the wizard, you can select from an existing LDAP or RADIUS server configured on Citrix Gateway. You can also configure the settings for LDAP or RADIUS. If you use two-factor authentication, Citrix recommends using LDAP as the primary authentication type. ### Configure default global authentication types 1. In the configuration utility, on the Configuration tab, in the navigation pane, expand Citrix Gateway and then click Global Settings. 1. In the details pane, under Settings, click Change authentication settings. 1. In Maximum Number of Users, type the number of users who can be authenticated by using this authentication type. 1. In NAT IP address, type the unique IP address for authentication. 1. Select Enable static caching to deliver logon pages faster. 1. Select Enable Enhanced Authentication Feedback to provide a message to users if authentication fails. The message users receive include password errors, account disabled or locked, or the user is not found, to name a few. 1. In Default Authentication Type, select the authentication type. 1. Configure the settings for your authentication type and then click OK.