LDAP身份验证

与其他类型的身份验证策略一样,轻量级目录访问协议(LDAP)身份验证策略由表达式和操作组成。创建身份验证策略后，将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时，您还将其指定为主策略或辅助策略。除了标准身份验证功能外,LDAP还可以在其他活动目录(广告)服务器中搜索本地不存在的用户帐户。这个功能被称为推荐支持或推荐追逐。

通常，您可以将citrix adc和在身份身份晚期使用身份身份仪的IP地址。验证验证器可以更多个IP地址中的任何任何，但但使用个fqdn的环境中，使用fqdn可简化更复杂的身份验证，授权和审核配置。授权通与审核配置。身份验证，请请正交的配置程，除非除非创建身份验证作用。创建创建作业时，您可口使用服务器名称参数而不是serverip.参数,并将服务器的FQDN替换为其IP地址。

在决定是否将ADC配置为使用LDAP服务器的IP还是FQDN对用户进行身份验证之前,请考虑配置身份验证,授权和审核以对FQDN进行身份验证而不是IP地址的身份验证过程会增加额外的步骤。每次ADC对用户进行身份验证时,都必须解析FQDN。如果许多用户尝试同时进行身份验证,则生成的DNS查找可能会减慢身份验证过程。

默认默认下，LDAP引用支持支持处于，无法全局启用。Binddn凭据服务器。若要启用引用支持,您可以配置LDAP操作以跟踪引用,并指定要遵循的引用的最大数量。

如果启用了引用支持,并且Citrix ADC接收到对请求的LDAP_RATE响应,则身份验证,授权和审核将遵循引用包含在引用中的活动目录(广告)服务器并在该服务器上执行更新。首先,身份验证,授权和审核在DNS中查找引用服务器,并连接到该服务器。如果引用策略需要SSL / TLS,它将通过SSL / TLS进行连接。然后，它将与之前的服务器一起使用Binddn凭据的服务器绑定到新服务器，然后执行生成引用的操作。此功能对用户是透明的。

LDAP连接的端口号为:

• 389年用于不安全的LDAP连接(用于纯文本LDAP)
• 636年用于安全的LDAP连接(用于SSL LDAP)
• 3268年对于微软不安全LDAP连接(纯文本全局编录服务器)
• 3269年用于微软安全LDAP连接(对于SSL全局编录服务器)

下表包含LDAP服务器的用户属性字段示例:

此表包含基本DN的示例:

下表包含绑定DN的示例:

有关设置一般身份验证策略的详细信息，请参阅身份验证策略。有关策略规则中间使用的citrix adc and and and的详细信息，请请策略和达达式。

使用命令行界面创建LDAP身份验证服务器的步骤

在命令提示符下，键入键入下命令：

add authentication ldapAction  {-serverIP}  | {-serverName }}

示例

add authentication ldapAction ldap_server -serverip 1.1.1.1 -serverName ldap_test

使用配置实用程序创建ldap身份验证服务器的步骤

1. 导航到系统>身份验证>基本策略> LDAP >服务器>添加。

2. 在创建身份验证LDAP输送器页面上，配置LDAP服务仪的次数。
3. 单一创建。

使用命令行界面启用身份验证策略

add authentication ldappolicy   []说明

示例：

添加身份验证LdAppolicy LDAP-Service-Policy NS_TRUE LDAP_SERVER

使用配置实用程序创建LDAP身份验证策略

1. 导航到系统>身份验证>基本策略> LDAP >策略>添加

2. 在“创建身份验证LDAP策略“页上，配置ldap策略的数。

3. 单一创建。

注意

您可以通讯“安克“选项卡配置ldap服务器/策略。导航导航安全> AAA-antiving程序热量>身份身份>基本策略> LDAP>仪器/策略。

使用命令行界面启用LDAP引用支持

在命令提示符下，键入键入下命令：

• 设置认证ldapAction -followReferrals ON
• 设置身份验证ldapaction -maxldapreferrals <！ - CentCopy - >

示例

>设置身份验证LDAPACTION LDAPACTION-1 -FOPLOPREFERRALS ON> SET认证LDAPACTION LDAPACTION-1 -MAXLDAPREFERS 2

为LDAP使用提供基于的身份验证支持

使用基于密钥的身份验证,您现在可以通过SSH获取存储在LDAP服务器中用户对象上的公钥列表。在基于角色的身份验证 (RBA) 过程中，Citrix ADC 设备必须从 LDAP 服务器中提取 SSH 公钥。检索到的与 SSH 兼容的公钥必须允许您通过 RBA 方法登录。

在“添加身份验证LDAPACTION”和“SEL验证LDAPACCTIONACTION”命令中引入了一个新闻“SSHPUBLICKEY”。通讯使使属性，您可以获得下优势：

• 可以存储检索到的公钥,并且LDAP操作使用此属性从LDAP服务器检索SSH密钥信息。
• 可提取最多24 KB的属性名称。

注意

外部身份身份仪器（如ldap）仅用作检索ssh密钥函数。

下面是通过SSH进行的事件流的示例:

• SSH守护程程向身份验证，授权和审核守护程端口发育术为之为的aaa_authenticate请求。
• 如果LDAP配置为存储SSH公钥,则身份验证,授权和审核将使用“sshPublicKey”属性以及其他属性进行响应。
• SSH守护进程使用客户端密钥验证这些密钥。
• SSH守护守护程在请求负载中传递用名，身份验证，授权和审核将特性此此此此此密钥密钥以及通用密钥。

要配置sshpublickey属性，请在命令提示符处键入下命令：

• 通讯加入操作品，您可在配置ldapaction命令时加加“sshpublickey”属性。

  add authentication ldapAction {-serverIP | {-serverName ]…[-Attribute1 ]…[-sshPublicKey ][-authentication off]

• 通讯设置操作用，您可以“SSHPublicKey”属性配置为已添加的LDapaction命令。

  set authentication ldapAction [-sshPublicKey ][-authentication off]

LDAP身份验证的名称值属性支持

您现在可以使用唯一名称和值配置LDAP身份验证的属性。名称在LDAP操作参数中进行配置,并通过查询名称获取值。通过使用此功能,Citrix ADC设备管理员现在可以获得以下好处:

• 通过按名称（而不仅仅是按值）记住属性，最大限度地减少管理员的工作量
• 增强搜索以查询与名称关联的属性值
• 提供用于提取多个属性的选项

要在Citrix ADC设备命令提示符处配置此，请键入：

```添加身份验证ldapaction [attribute1 ］

示例````添加身份验证ldapaction ldapact1属性1mail <！ -  caltcopy  - >

支持验证端到端LDAP身份验证

Citrix ADC制定目前可通过通讯GUI验证端到端到端到端到端到端到端到端身份验证。为什么此验证此，在gui中引入了一代新的“测试”按钮“按钮.citrix adc设备管理机构可用此此功能实现实现实现下面

• 整合完整流程(数据包引擎——Citrix ADC AAA级守护进程——外部服务器)以提供更好的分析
• 缩短验证和故障排除与单个场景相关的问题的时间

您有两个可以可以使用gui配置和查看ldap端到端身份验证的测试结果。

从系统选项

1. 导航到系统>身份验证>基本策略> LDAP、单一服务器选项卡。
2. 从列表中选择可用的LDAP作品。
3. 在“配置身份验证LDAP服务器“页上，在”连接设置“部分下有两个选项。
4. 若要检查LDAP服务器连接,请单击测试LDAP可达性选项卡。您可以查看成功连接到LDAP服务器的弹出消息,其中包含TCP端口详细信息和有效凭据的真实性。
5. 要查看端到端LDAP身份验证,请单击测试最终用手连接链接。
6. 在“测试最终用手连接“页上，单位”测试“。
   • 在身份验证页面上，输入要登录的有效凭据。将显示成功屏幕。
   • 如果身份验证失败，将显示错误屏幕。

从身份验证选项

1. 导航到身份验证 > 仪表板，从列表中选择可用的ldap作品。
2. 在“配置身份验证LDAP服务器“页上，在”连接设置“部分下有两个选项。
3. 若要检查LDAP服务器连接,请单击测试LDAP可达性选项卡。您可以查看成功连接到LDAP服务器的弹出消息,其中包含TCP端口详细信息和有效凭据的真实性。
4. 要查看端到端ldap身份验证状态，请单击测试最终用手连接链接。

5. 在“测试最终用手连接“页上，单位”测试“。

   • 在身份验证页面上，输入要登录的有效凭据。将显示成功屏幕。
   • 如果身份验证失败，将显示错误屏幕。

LDAP身份验证的14天密码过期通知

Citrix ADC设备现在支持对基于LDAP的身份验证的14天密码过期通知。通过使用此功能，管理员可以通知最终用户密码到期阈值时间（以天为单位）。14天密码过期通知是自助服务密码重置(SSPR)的前兆。

注意

密码到期通知的最大值或阈值时间（以天为单位）为 255 天。

密码到期通知的优点

• 允许用自行行密码，并为代理员提供的方向，以便在天天内通知最终密码密码到寿命。
• 消除了最终用户对密码到期日的依赖性。
• 将通知发育到vpn门户门户给用词（基位天数），以便在周期前更改密码。

注意

此功能仅适用于基于LDAP的身份验证方案,不适用于半径或TACACS。

了解 14 天密码通知

Citrix ADC设备从LDAP身份身份验证仪获取两个（Max-Pwd-Age和Pwd-Last-Set）。

• Max-Pwd-Age。此属性表示密码有条不相会之外之迹时间（以100为单位）。该值存储为一个个大数次数，表示从密码密码密码前密码的时间开的的100空间次数。
• PWD-LAST-SET。此属性确定上次更改帐户密码密码的日期和时间。

通讯从LDAP身份身份身份验证验证验证验证个属性，Citrix ADC设备可确定特价用途密码到到时空。

在设置AAA参数命令中引入了一个新的分数“pwdexpirynovey”。通过使使此数，管管可以跟踪密码到剩余天数.citrix adc设备.Citrix ADC设备。

注意

目前,此功能仅适用于具有带LDAP实施的微软广告服务器的身份验证服务器。对基于OpenLDAP的服务器的支持稍后的目标是。

下面是用于设置 14 天密码到期通知的事件流的示例：

1. 管理员通过使用Citrix ADC设备设置密码过期的时间(14天)。
2. 用来发票HTTP或https请求请求访问后端服务器上的资源。
3. 在提供访问权限之前,Citrix ADC设备会使用LDAP身份验证服务器上配置的内容验证用户凭据。
4. 除了对身份验证服务器的查询外,Citrix ADC设备还会承载获取两个属性详细信息的请求(Max-Pwd-Age和Pwd-Last-Set）。
5. 根据密码到期的剩余时间，将显示到期通知。
6. 然后，用药将采取相应的助线来新密码。

使用命令行界面14天到期通讯的步骤

注意

可以为无客户端VPN和完整VPN使用案例配置14天到期通知,而不是ICA代理。

在命令提示符下，键入键入下命令：

• set aaa parameter -pwdExpiryNotificationDays
• 显示AAA参数<！ - CentCopy - >

示例

> aaa级参数设置-pwdExpiryNotificationDays 14做>显示aaa EnableStaticPageCaching aaa参数配置参数:是的EnableEnhancedAuthFeedback:没有DefaultAuthType:本地MaxAAAUsers:无限AAAD nat ip:没有EnableSessionStickiness:没有aaaSessionLoglevel:信息AAAD日志级别:信息动态地址:关闭GUI模式:ON Max Saml Deflate Size: 1024密码到期通知天数:14

使用GUI配置14天窗期通知

1. 导航到安全> AAA-应用程序销量>身份验证设置。
2. 单一更改身份验证aaa设置。

3. 在“配置aaa数“页上，在”密码到期通知（天）“字段中指定天数。

4. 单击”确定“。

   该通讯在vpn门户页面的右上角。