此内容已被机器动态翻译。
diesel Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde。(Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique。(非条款responsabilité)
Este artículo lo ha traducido una máquina形式上dinámica。(通报法律)
此内容已经过机器动态翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
이콘텐츠는동적으로기계번역되었습니다。책임부iot
Este texto foi traduzido automaticamente。(通报法律)
查询内容è自动贸易记录。(Esclusione di responsabilità))
这篇文章是机器翻译的。
柴油Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce article a été traduit automatiquement。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。책임부iot
Este artigo foi traduzido automaticamente。(通报法律)
这篇文章已经过机器翻译.放弃
Questo articolo è自动转换。(Esclusione di responsabilità))
翻译失败!
用户身份管理
越来越多的安全漏洞和移动设备的日益普及强调了确保外部互联网的使用符合公司政策的必要性。只有授权用户才能访问企业人员提供的外部资源。身份管理通过验证个人或设备的身份而成为可能。它不决定个人可以执行什么任务或个人可以查看什么文件。
SSL正向代理部署在允许用户访问internet之前识别用户。来自用户的所有请求和响应都将被检查。用户活动被记录,记录被导出到Citrix Application Delivery Management (ADM)进行报告。在Citrix ADM中,您可以查看有关用户活动、事务和带宽消耗的统计信息。
缺省情况下,只保存用户的IP地址,您可以配置该特性记录用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的互联网使用策略。
对于显式代理配置,Citrix ADC设备支持以下身份验证模式。
- 轻量级目录访问协议(LDAP).通过外部LDAP认证服务器认证用户。有关更多信息,请参见LDAP认证策略.
- 半径.通过外部RADIUS服务器认证用户。有关更多信息,请参见RADIUS认证策略.
- TACACS +.通过外部TACACS (Terminal Access Controller Access- control System)认证服务器认证用户。有关更多信息,请参见身份验证策略.
- 谈判.通过Kerberos身份验证服务器验证用户。如果Kerberos身份验证中出现错误,设备将使用NTLM身份验证。有关更多信息,请参见协商认证策略.
对于透明代理,只支持ip方式的LDAP认证。当收到客户端请求时,代理通过检查活动目录中的客户端IP地址条目对用户进行身份验证。然后它根据用户IP地址创建一个会话。但是,如果您在LDAP操作中配置了ssoNameAttribute,则会话将使用用户名而不是IP地址创建。透明代理设置中的身份验证不支持经典策略。
请注意
对于显式代理,必须将LDAP登录名设置为sAMAccountName.对于透明代理,LDAP登录名必须设置为networkAddress和attribute1 tosAMAccountName.
显式代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - ldapploginname sAMAccountName
透明代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - ldapploginname networkAddress -authentication disable -Attribute1 sAMAccountName
该任务指导软件调测工程师通过CLI配置用户认证
在命令提示符中键入:
add authentication vserver SSL bind SSL vserver -certkeyName add authentication ldapAction <动作名称> -serverIP -ldapBase -ldapBindDn -ldapBindDnPassword - ldploginname add authentication Policy <策略名称> -rule <表达式> -action bind authentication vserver -policy -authn401 ON -authnVsName
参数:
Vserver名字:
要绑定策略的认证虚拟服务器的名称。
最大长度:127
serviceType:
认证虚拟服务器的协议类型。总是SSL。
取值范围:SSL
缺省值:SSL
动作名称:
新LDAP操作的名称。只能包含字母、数字、“-”、“。”、“#”、“@”、“=”、“:”和“_”字符。添加LDAP动作后不能修改。以下要求仅适用于CLI:
如果名称包含一个或多个空格,则用双引号或单引号将名称括起来(例如,“my authentication action”或“my authentication action”)。
最大长度:127
serverIP:
分配给LDAP服务器的IP地址。
ldapBase:
开始LDAP搜索的基础(节点)。如果LDAP服务器在本地运行,base的默认值为dc=netscaler
, dc = com。最大长度:127
ldapBindDn:
完整DN (distinguished name),用于与LDAP服务器绑定。
默认值:cn =经理,dc =netscaler
, dc = com
最大长度:127
ldapBindDnPassword:
与LDAP服务器绑定的密码。
最大长度:127
ldapLoginName:
LDAP登录名属性。Citrix ADC设备使用LDAP登录名查询外部LDAP服务器或活动目录。最大长度:127
政策的名字:
高级身份验证策略的名称。只能包含字母、数字、“-”、“。”、“#”、“@”、“=”、“:”和“_”字符。创建了AUTHENTICATION策略后不能更改。以下要求仅适用于CLI:
如果名称包含一个或多个空格,则用双引号或单引号将名称括起来(例如,“my authentication policy”或“my authentication policy”)。
最大长度:127
规则:
规则名称或高级策略表达式,策略使用该表达式确定是否尝试使用AUTHENTICATION服务器对用户进行身份验证。
最大长度:1499
行动:
策略匹配时执行的认证动作名称。
最大长度:127
优先级:
指定策略优先级的正整数。数字越小优先级越高。策略按照优先级排序,第一个与请求匹配的策略将被应用。在绑定到身份验证虚拟服务器的策略列表中必须唯一。
最小值:0
最大值:4294967295
例子:
add authentication vserver swg-auth-vs SSL Done bind SSL vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey Done add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz - ldploginname sAMAccountName Done add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done bind authentication vserver swg-auth-vs -policyswg-auth-policy -priority 1 Done set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs Done
通过CLI开启用户名日志功能
在命令提示符下,输入:
设置appflow参数-AAAUserName ENABLED
参数:
AAAUserName
启用AppFlow认证、授权和审计用户名日志。
可能取值:ENABLED、DISABLED
默认值:DISABLED
例子:
设置appflow参数-AAAUserName ENABLED
分享
分享
此预览版产品文档是Citrix机密文档。
您同意按照您的Citrix Beta/技术预览协议的条款对本文档进行保密。
预览文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,不构成提供任何材料、代码或功能的承诺、承诺或法律义务,不应作为思杰产品购买决策的依据。
如果不同意,选择“不同意退出”。