产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

用户身份管理

2021年7月14日
由:
C

越来越多的安全漏洞和移动设备的日益普及强调了确保外部互联网的使用符合公司政策的必要性。只有授权用户才能访问企业人员提供的外部资源。身份管理通过验证个人或设备的身份而成为可能。它不决定个人可以执行什么任务或个人可以查看什么文件。

SSL正向代理部署在允许用户访问internet之前识别用户。来自用户的所有请求和响应都将被检查。用户活动被记录,记录被导出到Citrix Application Delivery Management (ADM)进行报告。在Citrix ADM中,您可以查看有关用户活动、事务和带宽消耗的统计信息。

缺省情况下,只保存用户的IP地址,您可以配置该特性记录用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的互联网使用策略。

对于显式代理配置,Citrix ADC设备支持以下身份验证模式。

  • 轻量级目录访问协议(LDAP).通过外部LDAP认证服务器认证用户。有关更多信息,请参见LDAP认证策略
  • 半径.通过外部RADIUS服务器认证用户。有关更多信息,请参见RADIUS认证策略
  • TACACS +.通过外部TACACS (Terminal Access Controller Access- control System)认证服务器认证用户。有关更多信息,请参见身份验证策略
  • 谈判.通过Kerberos身份验证服务器验证用户。如果Kerberos身份验证中出现错误,设备将使用NTLM身份验证。有关更多信息,请参见协商认证策略

对于透明代理,只支持ip方式的LDAP认证。当收到客户端请求时,代理通过检查活动目录中的客户端IP地址条目对用户进行身份验证。然后它根据用户IP地址创建一个会话。但是,如果您在LDAP操作中配置了ssoNameAttribute,则会话将使用用户名而不是IP地址创建。透明代理设置中的身份验证不支持经典策略。

请注意

对于显式代理,必须将LDAP登录名设置为sAMAccountName.对于透明代理,LDAP登录名必须设置为networkAddress和attribute1 tosAMAccountName

显式代理示例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - ldapploginname sAMAccountName

透明代理示例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - ldapploginname networkAddress -authentication disable -Attribute1 sAMAccountName

该任务指导软件调测工程师通过CLI配置用户认证

在命令提示符中键入:

add authentication vserver  SSL bind SSL vserver  -certkeyName  add authentication ldapAction <动作名称> -serverIP  -ldapBase  -ldapBindDn  -ldapBindDnPassword - ldploginname  add authentication Policy <策略名称> -rule <表达式> -action  bind authentication vserver  -policy  -authn401 ON -authnVsName

参数

Vserver名字

要绑定策略的认证虚拟服务器的名称。

最大长度:127

serviceType

认证虚拟服务器的协议类型。总是SSL。

取值范围:SSL

缺省值:SSL

动作名称

新LDAP操作的名称。只能包含字母、数字、“-”、“。”、“#”、“@”、“=”、“:”和“_”字符。添加LDAP动作后不能修改。以下要求仅适用于CLI:

如果名称包含一个或多个空格,则用双引号或单引号将名称括起来(例如,“my authentication action”或“my authentication action”)。

最大长度:127

serverIP

分配给LDAP服务器的IP地址。

ldapBase

开始LDAP搜索的基础(节点)。如果LDAP服务器在本地运行,base的默认值为dc=netscaler, dc = com。最大长度:127

ldapBindDn

完整DN (distinguished name),用于与LDAP服务器绑定。

默认值:cn =经理,dc =netscaler, dc = com

最大长度:127

ldapBindDnPassword

与LDAP服务器绑定的密码。

最大长度:127

ldapLoginName

LDAP登录名属性。Citrix ADC设备使用LDAP登录名查询外部LDAP服务器或活动目录。最大长度:127

政策的名字

高级身份验证策略的名称。只能包含字母、数字、“-”、“。”、“#”、“@”、“=”、“:”和“_”字符。创建了AUTHENTICATION策略后不能更改。以下要求仅适用于CLI:

如果名称包含一个或多个空格,则用双引号或单引号将名称括起来(例如,“my authentication policy”或“my authentication policy”)。

最大长度:127

规则

规则名称或高级策略表达式,策略使用该表达式确定是否尝试使用AUTHENTICATION服务器对用户进行身份验证。

最大长度:1499

行动

策略匹配时执行的认证动作名称。

最大长度:127

优先级

指定策略优先级的正整数。数字越小优先级越高。策略按照优先级排序,第一个与请求匹配的策略将被应用。在绑定到身份验证虚拟服务器的策略列表中必须唯一。

最小值:0

最大值:4294967295

例子

add authentication vserver swg-auth-vs SSL Done bind SSL vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey Done add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz - ldploginname sAMAccountName Done add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done bind authentication vserver swg-auth-vs -policyswg-auth-policy -priority 1 Done set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs Done

通过CLI开启用户名日志功能

在命令提示符下,输入:

设置appflow参数-AAAUserName ENABLED

参数

AAAUserName

启用AppFlow认证、授权和审计用户名日志。

可能取值:ENABLED、DISABLED

默认值:DISABLED

例子

设置appflow参数-AAAUserName ENABLED
用户身份管理
2021年7月14日
由:
C
2021年7月14日
由:
C

在本文中

网站反馈 | 隐私和法律条款 | 饼干的偏好 | 同意设置
©1999 -思杰系统公司版权所有。