认证虚拟服务器
流量管理虚拟服务器(负载均衡或内容切换)将所有认证请求重定向到认证虚拟服务器。这个虚拟服务器处理相关的身份验证策略,并相应地提供对应用程序的访问。
注意:流量管理策略不能与认证、授权和审计虚拟服务器绑定。
设置认证虚拟服务器
设置身份验证虚拟服务器所涉及的步骤是;
启用认证、授权和审计特性。
使能ns特性AAA
配置认证虚拟服务器。它必须是SSL类型,并确保将SSL证书-密钥对绑定到虚拟服务器。
add authentication vserver
SSL bind SSL certkey 为认证虚拟服务器指定域的FQDN。
set authentication vserver
-authenticationDomain 关联认证虚拟服务器和相关流量管理虚拟服务器。
注意事项:
- 流量管理虚拟服务器的FQDN和认证虚拟服务器的FQDN必须在同一个域中,域会话cookie才能正常使用。流量管理虚拟服务器:
- 启用身份验证。
- 配置认证虚拟服务器的FQDN作为流量管理虚拟服务器的认证主机。
- [可选]在流量管理虚拟服务器上配置认证域。
- 如果不配置身份验证域,设备将分配一个FQDN,该FQDN由身份验证虚拟服务器的FQDN组成,不包含主机名部分。例如,认证虚拟服务器的域名为tm.xyz.bar.com,设备分配xyz.bar.com作为认证域。
- 对于负载均衡:
set lb vserver
-authentication ON -authenticationhost [-authenticationdomain ] - 对于内容切换:
set cs vserver
- 如果需要为认证域设置域级cookie,则必须在负载均衡虚拟服务器上启用认证配置文件。
- 流量管理虚拟服务器的FQDN和认证虚拟服务器的FQDN必须在同一个域中,域会话cookie才能正常使用。流量管理虚拟服务器:
验证两个虚拟服务器都是UP的,并且配置正确。
显示认证vserver
通过图形化界面设置认证虚拟服务器
启用认证、授权和审计特性。
导航到系统>设置,点击配置基本特性,使能认证、授权和审计.
配置认证虚拟服务器。
导航到安全> AAA -应用流量>虚拟服务器,并根据实际情况进行配置。
配置流量管理虚拟服务器进行认证。
对于负载均衡:
导航到流量管理>负载均衡>虚拟服务器,并根据实际情况配置虚拟服务器。
对于内容切换:
导航到流量管理>内容交换>虚拟服务器,并根据实际情况配置虚拟服务器。
-
验证身份验证设置。
导航到安全> AAA -应用流量>虚拟服务器,并查看相关认证虚拟服务器的详细信息。
配置认证虚拟服务器
为了配置认证、授权和审计,首先需要配置认证虚拟服务器来处理认证流量。接下来,将SSL证书-密钥对绑定到虚拟服务器,使其能够处理SSL连接。有关配置SSL和创建证书密钥对的详细信息,请参见SSL证书.
该任务指导管理员通过CLI配置认证虚拟服务器
要配置身份验证虚拟服务器并验证配置,请在命令提示符处按相同顺序键入以下命令:
add authentication vserver ssl show authentication vserver bind ssl certkey show authentication vserver set authentication vserver show authentication vserver
例子:
添加身份验证vserver Auth-Vserver-2 SSL 10.102.29.77 443做显示认证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0完成绑定SSL Certkey Auth-Vserver-2 Auth-Cert-1完成显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:客户端闲置超时:180秒下状态刷新:禁用禁用主要Vserver:禁用认证:对当前AAA用户:0完成设置身份验证Vserver Auth-Vserver-2显示身份验证Vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要Vserver:禁用认证:对当前AAA用户:0做< !——NeedCopy >
请注意
“认证域”参数不建议使用。使用认证配置文件设置域范围的cookie。
通过图形方式配置认证虚拟服务器
- 导航到安全> AAA -应用流量>虚拟服务器.
在详细信息窗格中,执行以下操作之一:
- 单击,新建认证虚拟服务器添加.
- 如果需要修改已存在的认证虚拟服务器,选中认证虚拟服务器前的复选框,单击编辑.打开Configuration对话框,展开基本设置区域。
为参数指定如下值(星号表示必选参数):
- 名称* -name(对于之前创建的虚拟服务器不能更改)
- IP地址类型* -认证虚拟服务器的IP地址类型
- IP地址* -认证虚拟服务器的IP地址
- Port* -TCP虚拟服务器接受连接的端口。
- 登录失败超时时间- failedlogintimeout(登录失败前允许的秒数,用户必须重新开始登录过程。)
- 最大登录尝试次数- maxloginattempts(在用户被锁定之前允许的登录尝试次数)
注意:
身份验证虚拟服务器只使用SSL协议和端口443,因此这些选项是灰色的。任何未提及的选项都可以忽略。
- 点击继续,显示“证书”区域框。
在证书区域,配置要在此虚拟服务器上使用的任何SSL证书。
- 如果需要配置CA证书,单击“CA证书”右侧的箭头,弹出“CA证书密钥”对话框,选择需要绑定到虚拟服务器的证书,单击保存.
- 如果需要配置服务器证书,请单击“服务器证书”右侧的箭头,操作步骤与配置CA证书相同。
- 点击继续显示高级认证策略区域。
- 如果需要将高级认证策略绑定到虚拟服务器,单击该行右侧的箭头,将显示身份验证策略对话框中,选择要绑定到服务器的策略,并设置优先级,然后单击好吧.
- 点击继续显示基本认证策略区域。
- 如果需要创建基本认证策略并将其绑定到虚拟服务器,单击加号将显示政策对话框,并按照提示配置策略并将其绑定到此虚拟服务器。
- 点击继续,显示“基于401的虚拟服务器”区域框。
在基于401的虚拟服务器区域中,配置希望绑定到此虚拟服务器的任何负载均衡或内容切换虚拟服务器。
- 如果需要绑定负载均衡虚拟服务器,单击“负载均衡虚拟服务器”前的箭头,进入“负载均衡虚拟服务器”对话框,并根据提示完成绑定。
- 如果需要绑定内容交换虚拟服务器,单击内容交换虚拟服务器右侧的箭头,弹出“内容交换虚拟服务器”对话框,操作步骤与绑定LB虚拟服务器相同。
- 如果需要创建或配置分组,在“分组”区域框中单击箭头进入“分组”对话框,按照提示操作。
- 检查您的设置,当您完成时,单击完成.对话框关闭。如果您创建了一个新的身份验证虚拟服务器,那么它现在将显示在配置窗口列表。
流量管理虚拟服务器
创建和配置身份验证虚拟服务器之后,接下来将创建或配置流量管理虚拟服务器,并将身份验证虚拟服务器与其关联。您可以为流量管理虚拟服务器使用负载均衡或内容切换虚拟服务器。有关创建和配置任一类型虚拟服务器的详细信息,请参见Citrix交通管理指南在交通管理.
注意:
流量管理虚拟服务器的FQDN和认证虚拟服务器的FQDN必须在同一个域中,域会话cookie才能正常使用。
配置流量管理虚拟服务器时,需要先启用认证,再为流量管理虚拟服务器分配认证服务器的FQDN,用于认证、授权和审计。当前也可以在流量管理虚拟服务器上配置认证域。如果不配置此选项,Citrix ADC设备将为流量管理虚拟服务器分配一个FQDN,该FQDN由身份验证虚拟服务器的FQDN组成,不包含主机名部分。例如,如果身份验证虚拟服务器的域名是tm.xyz.bar.com,则设备分配xyz.bar.com。作为认证域。
通过CLI配置流量管理虚拟服务器
在命令提示符下,键入以下命令集之一:
set lb vserver -authentication ON -authenticationhost [-authenticationdomain ] show lb vserver set cs vserver -authentication ON -authenticationhost [-authenticationdomain ] show cs vserver
例子:
set lb vserver vs-con -sw - authentication ON - authenticationhost mywiki.index.com Done show lb vserver vs-con -sw vs-con -sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last State change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since Last State change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since Last State change was at Wed Aug 19 20:00:40.290生效状态:DOWN Client Idle Timeout: 9000 sec DOWN State flush: ENABLED Disable主vserver ON DOWN: DISABLED否of Bound Services: 0 (Total) 0 (Active)配置方法:LEASTCONNECTION模式:IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com Done
通过图形方式配置流量管理虚拟服务器
在导航窗格中,执行以下操作之一。
- 导航到流量管理>负载均衡>虚拟服务器.
- 导航到流量管理>内容交换>虚拟服务器
- 在详细信息窗格中,选择要启用身份验证的虚拟服务器,然后单击编辑.
- 2 .在“域”文本框中输入认证域。
- 在先进的在右侧菜单中,选择身份验证.
选择基于表单的认证或401基于认证,填写“认证信息”。
- 对于基于表单的身份验证,请输入身份验证FQDN(身份验证服务器的完全限定域名)、身份验证虚拟服务器(身份验证虚拟服务器的IP地址)和身份验证配置文件(用于身份验证的配置文件)。
- 对于基于401的身份验证,只输入身份验证虚拟服务器和身份验证配置文件。
- 点击好吧.状态栏中出现一条消息,说明虚拟服务器已成功配置。
简化了对身份验证、授权和审计的登录协议支持
认证、授权和审计流量管理虚拟服务器与认证、授权和审计虚拟服务器之间的登录协议被简化为使用内部机制,而不是通过查询参数发送加密数据。使用此特性,可以防止请求的重放。
配置DNS
为了保证认证过程中使用的域会话cookie能够正常工作,必须配置DNS将认证虚拟服务器和流量管理虚拟服务器分配给同一个域中的fqdn。有关如何配置DNS地址记录的信息,请参见域名系统.
验证身份验证虚拟服务器
配置认证和流量管理虚拟服务器后,在创建用户帐户之前,必须验证这两个虚拟服务器的配置是否正确,并且处于UP状态。
该任务指导管理员通过CLI配置noAuth认证
在命令提示符下,输入以下命令:
显示认证vserver
例子:
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down State flush: DISABLED Disable Primary vserver On Down: DISABLED authentication: On Current AAA Users: 0 authentication Domain: myCompany.employee.com Done
该任务指导管理员通过图形化界面配置noAuth认证
- 导航到安全> Citrix ADC AAA -应用流量>虚拟服务器.注意:从Citrix Gateway导航到Citrix Gateway >虚拟服务器.
- 中的信息AAA虚拟服务器窗格以验证您的配置是否正确,以及您的身份验证虚拟服务器是否正在接受流量。在详细信息窗格中,可以选择指定的虚拟服务器查看详细信息。