策略d 'authentification

Lorsque les utilisateurs ouvrent une session sur l 'appliance Citrix ADC ou Citrix Gateway, ils sont authentifiés conformément à une stratégie que vous créez。政治认同包括表达和行动。Les stratégies d ' authentication utilent des expressions Citrix ADC。

Après avoir créé une action d ' authentication et une stratégie d ' authentication, liez-la à un servur virtuel d ' authentication et attribuez-lui une priorité。Lors de la liaison, désignez-la également en tant que stratégie principale ou seconaire。Les politiques primares sont évaluées先锋派Les politiques secondaires。Dans les configurations qui utilent les deux types de stratégie, les stratégies principales sont normalement des stratégies + spécifiques tandis que les stratégies seconaires sont normalement des stratégies + générales。法国认证destiné à gérer法国认证répondent pas aux critères + spécifiques。La stratégie définit le type d’认证。Une stratégie d ' authentication unique peut être utilisée pour des besoins d ' authentication simples et est généralement liée au niveau global。Vous pouvez également utiliser le type d ' authentication par défaut, qui est local。Si vous configurez l ' authentication locale, vous devez également configurer les utilisateurs et les groupes sur l 'appliance。

Vous pouvez configurer plusieurs stratégies d ' authentication et les lier pour créer une procédure d ' authentication détaillée et des servers virtuels。例如，vous pouvez configurer l’authentication en cascade et à deux facteurs en configurant plusieurs stratégies。Vous pouvez également définir la priorité des stratégies d ' authentication afin de déterminer quels servurs et l ' order dans level l 'appliance vérifie les information d 'identification des utilisateurs。Une stratégie d’authentication包括Une expression和Une action。举例来说，是你définissez对价值的正确表达，对会话的正确利用，行为évalue会话的正确利用，对资源的正确利用accès资源réseau。

Après avoir créé une stratégie d ' authentication, vous liez la stratégie au niveau global ou aux serveurs virtuels。正版您在天堂stratégie d ' authentication à un server virtuel, les stratégies d ' authentication que vous avez liées au niveau global ne sont pas utilisées正版les utilisateurs ouvrent une session sur le server virtuel, sauf si le type d ' authentication global a une priorité supérieure à la stratégie liée au server virtuel。

Lorsqu 'un utilisateur ouvre une session sur l 'appliance, l ' authentication est évaluée使用命令:

• Le server virtuel est vérifié pour détecter toute stratégie d ' authentication liée。
• Si les stratégies d ' authenticationne sont pas liées au server virtuel, l 'appliance vérifie les stratégies d ' authenticationglobales。
• Si une stratégie d ' authentication n 'est pas liée à un server virtuel ou globalement, l 'utilisateur est authentifié via le type d ' authentication par défaut。

Si vous configure des stratégies d ' authentication LDAP et RADIUS et que que vous souhaitez lier les stratégies globalement pour l ' authentication à deux facteurs, vous pouvez sélectionner la stratégie dans l 'utilitaire de configuration, puis choisir Si la stratégie est le type d ' authentication principal ou seconaire。Vous pouvez également configurer une stratégie d 'extraction de groupe。

标记:

L 'appliance Citrix ADC ou Citrix Gateway code uniquement les caractères UTF-8 pour L ' authentication et n 'est pas compatible avec les server qui utilent des caractères ISO-8859-1。

Création d 'une stratégie d ' authentication

Créer une stratégie d ' authentication à l 'aide de l 'interface graphique

1. Accedez一Sécurité > AAA - traffic des applications > Stratégies >认证， puis sélectionnez le type de stratégie que vous souhaitez créer。Pour Citrix Gateway, accédez àCitrix Gateway > Stratégies >认证．

2. Dans le volet d’information，苏l 'onglet策略，有效的l 'une des opérations suivantes:

   • 倒créer une nouvelle stratégie, cliquez surAjouter．
   • 倾注修饰语une stratégie existante, sélectionnez l 'action, puis cliquez sur修饰符．

3. 丹斯拉boîte de对话Créer une stratégie d ' authentication ou Configurer une stratégie d ' authentication, tapez ou sélectionnez les valeurs des paramètres。

   • 笔名:笔名la stratégie (ne peut pas être modifié pour une action précédemment configurée)
   • d型'authentification：authtype
   • Serveur- - - - - -authVsName
   • 表达式: règle (Vous entrez des Expression en choisissant d 'abord le type d 'expression dan la liste déroulante la + à gauche sous la fenêtre Expression, puis en saisissant votre Expression directement dans la zone de texte de l 'expression, ou en cliquant sur Ajouter pour ouvrir la boîte de dialogue Ajouter une Expression et en utilisant la liste déroulante pour contrire votre Expression)
4. 双击苏尔克里尔欧在好了．La stratégie que vous avez créée s 'affiche sur La page Stratégies。

5. 克莱克斯sur l 'ongletServeursEt, dans le volet d ' information, effectuez l 'une de opérations suivantes:

   • Pour utiliser un servur existant, sélectionnez-le, puis cliquez sur。
   • 倒créer un servur, cliquez sur Ajouter et suivez les指示。
6. Si vous souhaitez désigner cette stratégie en tant que stratégie d ' authentication secondaire, sous l 'onglet authentication, cliquez sur secondaire。Si vous souhaitez désigner cette stratégie en tant que stratégie d ' authentication principale, ignorez cette étape。
7. 双击苏尔Insérer une stratégie．
8. 美味佳肴stratégie美味佳肴，美味佳肴déroulante。
9. dan la colonne钇易解石De gauche, modifiez la priorité par défaut pour vous assureque la stratégie est évaluée dans le bon order。
10. 双击苏尔好吧．Un message apparaît dans la barre d ' état, indiquant que la stratégie a été correctement configurée。

修饰符une stratégie d ' authentication à l 'aide de l 'interface graphique

Vous pouvez modifier les stratégies et profils d ' authentication configurés, tels que l ' address IP du serveur d ' authentication ou l 'expression。

1. 配置实用手册，sous l 'onglet配置，développezCitrix Gateway > Stratégies >认证．备注:Vous pouvez également configurer la stratégie dansSécurité > AAA - traffic des applications > Stratégies >认证， puis sélectionner le type de stratégie que vous souhaitez修饰语。
2. Dans le volet de navigation, sous authentication, sélectionnez un type d ' authentication。
3. 信息部，服务器部，sélectionnez在乌夫里的服务器部。

供应商une stratégie d ' authentication à l 'aide de l 'interface graphique

Si vous avez modifié ou supprimé un server d ' authentication de votre réseau, suprimez la stratégie d ' authentication correspondent de Citrix Gateway。

1. 配置实用手册，sous l 'onglet配置，développezCitrix Gateway > Stratégies >认证．备注:倒配置à partir d 'ADC, accédez àSécurité > AAA - traffic des applications > Stratégies >认证， puis sélectionnez le type de stratégie que vous souhaitez供应商。
2. Dans le volet de navigation, sous authentication, sélectionnez un type d ' authentication。
3. 信息站Stratégies, sélectionnez une stratégie, supriprimer的情人节。

Créer une stratégie d’authentication à l’aide de la CLI

À l 'invite de commands, tapez les commandes suivantes:

add authentication negotiatePolicy    show authentication localPolicy  bind authentication vserver  -policy  [-priority ][-secondary]] show authentication vserver  

为例:

add authentication localPolicy Authn-Pol-1 ns_true Done show authentication localPolicy 1)名称:Authn-Pol-1规则:ns_true请求动作:LOCAL Done bind authentication vserver Auth-Vserver-2 Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down State flush: DISABLED Disable Primary vserver On Down: DISABLED authentication: On Current AAA Users: 0 authentication Domain: 01)主认证策略名称:Authn-Pol-1优先级:0 Done 

修改符une stratégie d ' authentication à l 'aide de la CLI

À l 'invite de commandes, tapez les commandes suivantes pour modifier une stratégie d ' authentication existante:

set authentication localPolicy   [-reqaction ] 

为例

set authentication localPolicy Authn-Pol-1 'ns_true' 

Supprimer une stratégie d ' authentication à l 'aide de la CLI

À l 'invite de commands, tapez la command suivante pour supprimer une stratégie d ' authentication:

rm authentication localPolicy  

为例

rm authentication localPolicy authn - pol1 

Lier une stratégie d’authentication

Après avoir configuré les stratégies d ' authentication, vous les liez globalement ou à un server virtuel。Vous pouvez utiliser l 'utilitaire de configuration pour lier une stratégie d ' authentication。

Pour lier une stratégie d ' authentication globalement à l 'aide de l 'utilitaire de configuration:

1. 配置实用手册，sous l 'onglet配置，développezCitrix Gateway > Stratégies >认证．备注:倒配置à partir d 'ADC, accédez àSécurité > AAA - traffic des applications > Stratégies >认证
2. Cliquez sur un type d ' authentication。
3. 信息部，信息部Stratégies，信息部，行动部，信息部联络人全球．
4. 主副合伙人Détails, cliquez surInsérer une stratégie．

5. Sous Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur好吧．

   标记:Lorsque vous sélectionnez la stratégie, Citrix Gateway définit automatiquement l 'expression sur la valeur True。

倒游离une stratégie d ' authentication globale à l 'aide de l 'utilitaire de configuration:

1. 配置实用手册，sous l 'onglet配置，développezCitrix Gateway > Stratégies >认证．备注:倒配置à partir d 'ADC, accédez àSécurité > AAA - traffic des applications > Stratégies >认证
2. dan l 'onglet Stratégies, dan行动，cliquez sur联络人全球．
3. Dans la boîte de对话Lier/délier les stratégies d ' authentication à Global, sous l 'onglet Principal ou seconaire, Dans Nom de la stratégie, sélectionnez la stratégie, cliquez sur游离la stratégie， puis cliquez sur好吧．

Ajouter une action d ' authentication

Ajouter une action d ' authentication à l 'aide de la CLI

i vous n 'utilisez pas l ' authentication LOCALE, vous devez ajouter une action d ' authentication explicit。À l 'invite de commands, tapez la command suivante:

add authentication tacacsAction  -serverip  [-serverPort ][-authTimeout ][…]) < !——NeedCopy >

为例

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" 

配置une action d ' authentication à l 'aide de la CLI

Pour configurer une action d ' authentication existante, tapez la command suivante à l 'invite de commandes:

set authentication tacacsAction  -serverip  [-serverPort ][-authTimeout ][…]) < !——NeedCopy >

为例

set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" 

认证的辅助者à命令的辅助者

Pour supmer une行动RADIUS existante, tapez la command suivante à l 'invite de commands

rm authentication radiusAction  

为例

rm authentication tacacsaction Authn-Act-1 

L 'authentification NoAuth

L 'appliance Citrix ADC prend en charge la fonctionnalité d ' authentication NoAuth qui permet au client de configure un paramètre DefaultAuthenticationGroup dans la commandnoAuthAction， lorsqu 'UN utilisateur exécute cette stratégie。L ' administreur peut vérifier la présence de ce groupe danans le groupe de L 'utilisateur afin de déterminer la navigation de L 'utilisateur danans la stratégie NoAuth。

Pour configurer une authentication NoAuth à l 'aide de l 'interface de ligne de command

À l 'invite de commands, tapez;

add authentication noAuthAction  [-defaultAuthenticationGroup ] 

为例

add authentication noAuthAction noauthact -defaultAuthenticationGroup mynoauthgroup 

类型d ' authentication global par défaut

Lorsque vous avez installé Citrix Gateway et exécuté l 'assistant Citrix Gateway, vous avez configuré l ' authentication dans l 'assistant。Cette stratégie d ' authentication est automatiquement liée au niveau global de Citrix Gateway。Le type d ' authentication que vous configurez dans l 'assistant Citrix Gateway est Le type d ' authentication par défaut。Vous pouvez modifier le type d 'autorisation par défaut en exécutant à nouveau l 'assistant Citrix Gateway ou Vous pouvez modifier les paramètres d ' authentication global dans l 'utilitaire de configuration。

Si vous devez ajouter d ' aures type d ' authentication, vous pouvez configurer des stratégies d ' authentication sur Citrix Gateway et lier les stratégies à Citrix Gateway à l 'aide de l 'utilitaire de configuration。Lorsque vous configurez l ' authentication globalement, vous définissez le type d ' authentication, configurez les paramètres et définissez le nombre maximal d 'utilisateurs pouvant être authentifiés。

Après avoir configuré et lié la stratégie, vous pouvez définir la priorité pour définir le类型d '认证优先级。例如，vous configurez les stratégies d’authentication LDAP et RADIUS。Si la stratégie LDAP a un numéro de priorité de 10 et que la stratégie RADIUS a un numéro de priorité de 15, la stratégie LDAP est priitaire, quel que soit l ' enroit où vous liez chque stratégie。这是一级认证。

Vous pouvez choisir de fournir des page d 'ouverture de session à partir du cache en mémoire Citrix Gateway ou du server HTTP exécuté sur Citrix Gateway。对话对话页面à缓存对话页面mémoire，对话对话页面à对话对话页面配置对话页面à对话对话页面连接服务器HTTP。时间转移的选择之道à时间转移之道mémoire réduit时间转移之道même时间。您的独特之处，会议管理页面à会议管理人员stratégie全球认证。

Vous pouvez également configurer l ' Address IP NAT(网络地址转换)qui est une Address IP spécifique pour l ' authentication。Cette address IP est unique pour l ' authentication et n 'est pas le sous-réseau Citrix Gateway, les address IP mappées ou virtuelles。Ce paramètre est教职工。

标记:

• Vous ne pouvez pas utiliser l 'assistant Citrix Gateway pour configure l ' authentication SAML。

• 提供LDAP, RADIUS等客户端的配置和认证服务。Lorsque vous exécutez l 'Assistant, vous pouvez sélectionner un server LDAP ou RADIUS existant configuré sur Citrix Gateway。Vous pouvez également configurer les paramètres de LDAP ou de RADIUS。Si vous utilisez l ' authentication à deux facteurs, Citrix推荐d 'utiliser LDAP comme type d ' authentication principal。

配置les类型d '认证全球par défaut

1. Dans l 'interface graphic, sous l 'onglet Configuration, Dans le volet de navigation, développezCitrix网关,Puis cliquez sur产品globaux．
2. Dans le volet d ' information, sous Paramètres, cliquez sur修饰符les paramètres d ' authentication．
3. 在Nombre maximum d 'utilisateurs， tapez le nombre d 'utilisateurs qui peuvent être authentifiés à l 'aide de ce type d ' authentication。
4. 在地址IP NAT， saisissez l ' address IP唯一倒l '认证。
5. Sélectionnez积极行动在缓存静态倒扩散les页面的过渡过程加加速．
6. Selectionnez身份验证活动评论améliorée身份验证信息代理échec身份验证．Les messages que Les utilisateurs reçoivent包括Les errors de mot de pass, le compte désactivé ou verrouillé， ou l 'utilisateur est trouble, pour n 'en nommer que quelquesuns。
7. 在键入d '身份验证参数défaut， sélectionnez le type d '鉴权。
8. Configurez les paramètres de votre type d ' authentication, puis cliquez sur好吧．

负责国家事务récupération关于实际使用的试验

L 'appliance Citrix ADC fournit une option permeant de récupérer la valeur des tentatives de connection actuelles d 'un utilisateur par une nouvelle expressionaaa.user.login_attempts．表达prend soit un argument(笔名)，soit aucun argument。S 'il n 'y a aucun argument, l 'expression récupère le nom d 'utilisateur à partir deaaa_session欧aaa_info．

Vous pouvez utiliser l 'expressionaaa.user.login_attemptsAvec des stratégies d’authentication pour UN traitement ultérieur。

倒配置器的名称和使用的连接à的接口和命令的辅助

À l 'invite de commands, tapez:

添加表达式er aaa.user.login_attempts