启用基本、摘要和NTLM鉴权的单点登录
从Citrix ADC功能版本13.0 build 64.35及更高版本开始,以下SSO类型被全局禁用。
- 基本身份验证
- 摘要访问认证
- 没有协商NTLM2密钥或协商签名的NTLM
Citrix ADC和Citrix Gateway中的单点登录(SSO)配置可以在全局级别启用,也可以在每个流量级别启用。缺省情况下,单点登录配置为从管理员可以为每个流量启用SSO,也可以全局启用SSO。从安全的角度来看,Citrix建议管理员全局启用SSO从并根据流量启用。这种增强是通过全局禁用某些类型的SSO方法来使SSO配置更加安全。
StoreFront单点登录配置仅在13.0 build 64.35中受到影响(禁用)。该配置在未来的13.0版本中不会受到影响。
不受影响的SSO类型
以下SSO类型不受此增强的影响。
- Kerberos身份验证
- SAML验证
- 基于表单的身份验证
- OAuth承载身份验证
- 具有协商NTLM2密钥或协商签名的NTLM
受影响的SSO配置
以下是受影响(禁用)的SSO配置。
全球配置
set tmsessionparam -SSO ON set vpnparameter -SSO ON add tmsessionaction tm_act -SSO ON add vpn sessionaction tm_act -SSO ON
您可以作为一个整体启用/禁用SSO,而不能修改单个SSO类型。
要采取的安全措施
作为安全措施的一部分,安全敏感的单点登录类型在全局配置中被禁用,但只有通过Traffic动作配置才允许。因此,如果后端服务器需要Basic、Digest或NTLM,而不需要协商NTLM2密钥或协商签名,则管理员只能通过以下配置来允许SSO。
交通行动
add vpn trafficaction tf_act http -SSO ON
交通政策
添加tm trafficpolicy tf_act。添加VPN trafficpolicy tf-act
管理员必须为流量策略配置适当的规则,以确保仅为受信任的后端服务器启用SSO。
AAA-TM
基于全局配置的场景:
set tmsessionparam -SSO ON
处理:
add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol true tf_act
在所有需要单点登录的LB虚拟服务器上绑定如下流量策略:
bind lb vserver < lb VS Name> -policy tf_pol -priority 65345
基于会话策略配置的场景:
add tmsessionaction tm_act -SSO ON add tmsession policy tm_act add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol <与session policy相同的规则> tf_act
注意事项:
- 需要将上述会话策略对应的Citrix ADC AAA用户/组替换为流量策略。
- 将以下策略绑定到上述会话策略的负载均衡虚拟服务器上:
bind lb vserver [lb VS名称]-policy tf_pol -priority 65345
- 如果配置了其他优先级的流策略,则不能使用此命令。
下面的章节介绍了一个流量关联多个流策略时基于冲突的场景:
对于一个特定的TM流,只应用一个TM流策略。由于SSO功能的全局设置发生了变化,如果已经应用了高优先级(不需要SSO配置)的TM流量策略,则应用具有低优先级的额外TM流量策略可能不适用。下面的部分描述了确保处理此类情况的方法。
考虑以下3种优先级较高的流量策略应用于LB (load balancing)虚拟服务器:
add tm trafficaction tf_act1 <新增配置> add tm trafficaction tf_act2 <新增配置> add tm trafficaction tf_act3 <新增配置> add tm trafficpolicy tf_pol1 tf_act1 add tm trafficpolicy tf_pol2 tf_act2 add tm trafficpolicy tf_pol3 tf_act3 bind lb vserver < lb VS Name> -policy tf_pol1 -priority 200 bind lb vserver < lb VS Name> -policy tf_pol2 -priority 300
解决方法—解析全局单点登录配置,需要增加如下配置:
add tm trafficaction tf_act_default -SSO ON add tm trafficpolicy tf_pol_default true tf_act_default bind lb vserver < lb VS Name> -policy tf_pol_default -priority 65345
注意:通过上述修改,可以对命中
正确的方法—为了缓解这种情况,必须为每个相应的流量操作单独应用SSO属性:
例如,在上述场景中,要对到达tf_pol1/tf_pol3的流量进行单点登录,必须同时应用以下配置
add tm trafficaction tf_act1 <新增配置> -SSO ON add tm trafficaction tf_act3 <新增配置> -SSO ON
思杰网关案例
基于全局配置的场景:
set vpnparameter -SSO ON
处理:
add vpn trafficaction vpn_tf_act http -SSO ON添加vpn trafficpolicy vpn_tf_pol true vpn_tf_act
在所有需要单点登录的VPN虚拟服务器上绑定如下流策略:
绑定VPN vserver vpn_vs -policy vpn_tf_pol -priority 65345
基于会话策略配置的场景:
add vpn sessionaction vpn_sess_act -SSO ON添加vpnsession策略 vpn_sess_act
注意事项:
需要将上述会话策略对应的Citrix ADC AAA用户/组替换为流量策略。
将以下策略绑定到上述会话策略的LB虚拟服务器上:
绑定lb虚拟服务器[lb VS名称]-policy tf_pol -priority 65345
.如果配置了其他优先级的流策略,则不能使用此命令。下面的章节处理基于冲突的场景,其中与流量关联了多个流策略。
基于一个流量关联多个流策略冲突的功能场景:
对于一个特定的Citrix Gateway流量,只应用一个VPN流量策略。由于SSO特性的全局设置发生了变化,如果存在其他高优先级VPN流量策略,而这些VPN流量策略没有必需的SSO配置,则可能无法应用另外的低优先级VPN流量策略。
以下是确保处理这类个案的方法:
假设一个VPN虚拟服务器应用了三个优先级较高的流量策略:
add vpn trafficaction tf_act1 <新增配置> add vpn trafficaction tf_act2 <新增配置> add vpn trafficaction tf_act3 <新增配置> add vpn trafficpolicy tf_pol1 tf_act1 add vpn trafficpolicy tf_pol2 tf_act2 add vpn trafficpolicy tf_pol3 tf_act3 bind vpn vserver < vpn VS Name> -policy tf_pol1 -priority 200 bind vpn vserver < vpn VS Name> -policy tf_pol2 -priority 300
容易出错的方法:要解析全局单点登录配置,需要增加如下配置:
add vpn trafficaction tf_act_default -SSO ON add vpn trafficpolicy tf_pol_default true tf_act_default bind vpn vserver < vpn VS Name> -policy tf_pol_default -priority 65345
注意:通过上述修改,可以对命中
正确的方法:为了缓解这种情况,必须为每个相应的流量操作单独应用SSO属性。
例如,在上述场景中,要对到达tf_pol1/tf_pol3的流量进行单点登录,必须同时应用以下配置
add vpn trafficaction tf_act1[附加配置]-SSO ON add vpn trafficaction tf_act3[附加配置]-SSO ON
使用GUI配置SSO
导航到“安全> AAA -应用流量>策略>会话”中,选择会议资料选项卡,然后单击添加.
输入会话配置文件的名称,单击覆盖全球复选框单点登录到Web应用程序字段,然后单击创建.
导航到“安全> AAA -应用流量>策略>会话”中,选择会话策略选项卡,然后单击添加.
输入会话策略的名称,在表达式字段并单击创建.
导航到安全> AAA -应用流量>策略>流量中,选择交通概况选项卡,然后单击添加.
输入流量配置文件的名称,选择在在单点登录下拉菜单,单击创建.
导航到安全> AAA -应用流量>策略>流量中,选择交通政策选项卡,然后单击添加.
输入流量策略的名称,在表达式字段并单击创建.
导航到Citrix网关>全局设置,并按更改全局设置.
在Citrix网关全局设置页面,选择客户体验选项卡,选中单点登录到Web应用程序字段。
导航到Citrix网关>策略>会话中,选择会议资料选项卡,然后单击添加.
在创建Citrix网关会话配置文件页面,选择客户体验选项卡,选中单点登录到Web应用程序字段。
导航到Citrix网关>策略>流量中,选择交通概况选项卡,然后单击添加.
输入流量配置文件的名称,选择在在单点登录下拉菜单,单击创建.
导航到Citrix网关>策略>流量中,选择交通政策选项卡,然后单击添加.
在创建Citrix网关流量策略页,输入流量策略的名称,在表达式字段并单击创建.