SSO para autenticación básica, resumida y NTLM
La configuración de inicio de sesión único (SSO) en NetScaler y NetScaler Gateway se puede habilitar a nivel global y también por nivel de tráfico. De forma predeterminada, la configuración del SSO estáDESACTIVADAy un administrador puede habilitar el SSO por tráfico o de forma global. Desde el punto de vista de la seguridad, Citrix recomienda a los administradores quedesactivenel SSO de forma global y lo habiliten por tráfico. Esta mejora tiene como objetivo hacer que la configuración del SSO sea más segura al deshonrar ciertos tipos de métodos de SSO a nivel mundial.
Nota:
De la versión 13.0, compilación 64.35 y posteriores de la función NetScaler, los siguientes tipos de SSO están deshonrados en todo el mundo.
- Autenticación
- Autenticación de acceso directo
- NTLM sin negociar clave NTLM2 o signo de negociación
Tipos de SSO no afectados
Esta mejora no afecta a los siguientes tipos de SSO.
- Autenticación Kerberos
- Autenticación SAML
- Autenticación basada
- Autenticación de portadores de OAuth
- NTLM con clave NTLM2 de negociación o signo de negociación
Configuraciones de SSO afectadas
A continuación se presentan las configuraciones de SSO afectadas (no respetadas).
Configuraciones globales
set tmsessionparam -SSO ON set vpnparameter -SSO ON add tmsessionaction tm_act -SSO ON add vpn sessionaction tm_act -SSO ON Configuraciones por tráfico
add vpn trafficaction tf_act http -SSO ON add tm trafficaction tf_act -SSO ON 喝水可以activar o inhabilitar SSOy no puede modificar tipos de SSO individuales.
Medidas de seguridad que deben aplicarse
Como parte de las medidas de seguridad, los tipos de SSO sensibles a la seguridad no se respetan en la configuración global, pero solo se permiten mediante una configuración de acciones de tráfico. Por lo tanto, si un servidor de fondo espera Basic, Digest o NTLM sin Negotiate NTLM2 Key o Negotiate Sign, el administrador solo puede permitir el inicio de sesión único mediante la siguiente configuración.
Acción de tráfico
add vpn trafficaction tf_act http -SSO ON add tm trafficaction tf_act -SSO ON Directiva de tráfico
add tm trafficpolicy tf_act add vpn trafficpolicy tf-act El administrador debe tener configurada una regla adecuada para la directiva de tráfico para asegurarse de que el SSO esté habilitado solo para un servidor de fondo de confianza.
AAA-TM
Escenarios basados en la configuración global:
set tmsessionparam -SSO ON Solución temporal:
add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol true tf_act Vincule la siguiente directiva de tráfico a todos los servidores virtuales de LB en los que se espera el inicio de sesión único:
bind lb vserver -policy tf_pol -priority 65345
Casos basados en la configuración de directiva de sesión:
add tmsessionaction tm_act -SSO ON add tmsession policy tm_act add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol tf_act 分destacar:
El usuario o grupo AAA de NetScaler de la directiva de sesión anterior debe sustituirse por una directiva de tráfico.
Vincule la siguiente directiva a los servidores virtuales de equilibrio de carga de la directiva de sesión anterior,
bind lb vserver [LB VS Name] -policy tf_pol -priority 65345 - 如果se configura una directiva de trafico con一部分prioridad, el comando anterior no funciona correctamente.
La siguiente sección trata de los casos basados en conflictos con varias directivas de tráfico asociadas a un tráfico:
Para un tráfico de TM en particular, solo se aplica una directiva de tráfico de TM. Debido a la configuración global de los cambios en las funciones de SSO, es posible que no se aplique una directiva de tráfico de TM adicional con baja prioridad si ya se aplica una directiva de tráfico de TM con alta prioridad (que no tenga la configuración de SSO requerida). En la siguiente sección se describe el método para garantizar que se gestionen estos casos.
Tenga en cuenta que las siguientes tres directivas de tráfico con mayor prioridad se aplican al servidor virtual de equilibrio de carga (LB):
add tm trafficaction tf_act1 add tm trafficaction tf_act2 add tm trafficaction tf_act3 add tm trafficpolicy tf_pol1 tf_act1 add tm trafficpolicy tf_pol2 tf_act2 add tm trafficpolicy tf_pol3 tf_act3 bind lb vserver -policy tf_pol1 -priority 100 bind lb vserver -policy tf_pol2 -priority 200 bind lb vserver -policy tf_pol3 -priority 300
Método propenso a errores: para resolver la configuración de SSO global, agregue la siguiente configuración:
add tm trafficaction tf_act_default -SSO ON add tm trafficpolicy tf_pol_default true tf_act_default bind lb vserver -policy tf_pol_default -priority 65345
Nota:La modificación anterior puede interrumpir el SSO para el tráfico
Método correcto: para mitigar esto, la propiedad SSO debe aplicarse individualmente para cada una de las acciones de tráfico correspondientes:
Por ejemplo, en el caso anterior, para que se produzca un SSO para el tráfico que llega a tf_pol1/tf_pol3, se debe aplicar la siguiente configuración junto con
add tm trafficaction tf_act1 -SSO ON add tm trafficaction tf_act3 -SSO ON Casos de NetScaler Gateway
Escenarios basados en la configuración global:
set vpnparameter -SSO ON Solución temporal:
add vpn trafficaction vpn_tf_act http -SSO ON add vpn trafficpolicy vpn_tf_pol true vpn_tf_act bind the following traffic policy to all VPN virtual server where SSO is expected: bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345 Casos basados en la configuración de directiva de sesión:
add vpn sessionaction vpn_sess_act -SSO ON add vpnsession policy vpn_sess_act Puntos a tener en cuenta:
El usuario o grupo AAA de NetScaler de la directiva de sesión anterior debe sustituirse por una directiva de tráfico.
Vincule la siguiente directiva a los servidores virtuales de la LB para la directiva de sesión anterior,
bind lb virtual server [LB VS Name] -policy tf_pol -priority 65345.如果se configura una directiva de trafico con一部分prioridad, el comando anterior no funciona correctamente. La siguiente sección trata de los casos basados en conflictos con varias directivas de tráfico asociadas al tráfico.
Escenarios funcionales basados en conflictos con varias directivas de tráfico asociadas a un tráfico:
Para un tráfico de NetScaler Gateway en particular, solo se aplica una directiva de tráfico de VPN. Debido a la configuración global de los cambios en las funciones de SSO, es posible que no se aplique una directiva de tráfico de VPN adicional con baja prioridad si hay otras directivas de tráfico de VPN de alta prioridad que no tienen una configuración de SSO requerida.
En la siguiente sección se describe el método para garantizar que se gestionen estos casos:
Tenga en cuenta que hay tres directivas de tráfico con mayor prioridad que se aplican a un servidor virtual VPN:
add vpn trafficaction tf_act1 add vpn trafficaction tf_act2 add vpn trafficaction tf_act3 add vpn trafficpolicy tf_pol1 tf_act1 add vpn trafficpolicy tf_pol2 tf_act2 add vpn trafficpolicy tf_pol3 tf_act3 bind vpn vserver -policy tf_pol1 -priority 100 bind vpn vserver -policy tf_pol2 -priority 200 bind vpn vserver -policy tf_pol3 -priority 300 Método propenso a errores:para resolver la configuración de SSO global, agregue la siguiente configuración:
add vpn trafficaction tf_act_default -SSO ON add vpn trafficpolicy tf_pol_default true tf_act_default bind vpn vserver -policy tf_pol_default -priority 65345 Nota:La modificación anterior puede interrumpir el SSO para el tráfico que afecta
Método correcto:Para mitigar esto, la propiedad SSO debe aplicarse individualmente para cada una de las acciones de tráfico correspondientes.
Por ejemplo, en el caso anterior, para que se produzca un SSO para el tráfico que llega a tf_pol1/tf_pol3, se debe aplicar la siguiente configuración junto con
add vpn trafficaction tf_act1 [Additional config] -SSO ON add vpn trafficaction tf_act3 [Additional config] -SSO ON