LDAP身份验证
与其他类型的身份验证策略一样,轻量级目录访问协议(LDAP)身份验证策略由表达式和操作组成。创建身份验证策略后,将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时,您还将其指定为主策略或辅助策略。除了标准身份验证功能外,LDAP还可以在其他活动目录(广告)服务器中搜索本地不存在的用户帐户。这个功能被称为推荐支持或推荐追逐。
通常,您可以将citrix adc和在身份身份晚期使用身份身份仪的IP地址。验证验证器可以更多个IP地址中的任何任何,但但使用个fqdn的环境中,使用fqdn可简化更复杂的身份验证,授权和审核配置。授权通与审核配置。身份验证,请请正交的配置程,除非除非创建身份验证作用。创建创建作业时,您可口使用服务器名称参数而不是serverip.参数,并将服务器的FQDN替换为其IP地址。
在决定是否将ADC配置为使用LDAP服务器的IP还是FQDN对用户进行身份验证之前,请考虑配置身份验证,授权和审核以对FQDN进行身份验证而不是IP地址的身份验证过程会增加额外的步骤。每次ADC对用户进行身份验证时,都必须解析FQDN。如果许多用户尝试同时进行身份验证,则生成的DNS查找可能会减慢身份验证过程。
默认默认下,LDAP引用支持支持处于,无法全局启用。Binddn凭据
服务器。若要启用引用支持,您可以配置LDAP操作以跟踪引用,并指定要遵循的引用的最大数量。
如果启用了引用支持,并且Citrix ADC接收到对请求的LDAP_RATE响应,则身份验证,授权和审核将遵循引用包含在引用中的活动目录(广告)服务器并在该服务器上执行更新。首先,身份验证,授权和审核在DNS中查找引用服务器,并连接到该服务器。如果引用策略需要SSL / TLS,它将通过SSL / TLS进行连接。然后,它将与之前的服务器一起使用Binddn凭据
的服务器绑定到新服务器,然后执行生成引用的操作。此功能对用户是透明的。
LDAP连接的端口号为:
- 389年用于不安全的LDAP连接(用于纯文本LDAP)
- 636年用于安全的LDAP连接(用于SSL LDAP)
- 3268年对于微软不安全LDAP连接(纯文本全局编录服务器)
- 3269年用于微软安全LDAP连接(对于SSL全局编录服务器)
下表包含LDAP服务器的用户属性字段示例:
LDAP仪器 | 用词 | 区分大小写 |
---|---|---|
Microsoft Active Directory服务器 | samaccountname. | 否 |
Novell eDirectory | 欧 | 是 |
IBM Directory Server. | uid | 是 |
Lotus Domino | CN | 是 |
Sun One目录(为iPlanet) | uid或cn | 是 |
此表包含基本DN的示例:
LDAP仪器 | 基本DN |
---|---|
Microsoft Active Directory服务器 | DC =Citrix. , dc =本地 |
Novell eDirectory | ou =用户,ou = dev |
IBM Directory Server. | cn =用户 |
Lotus Domino | ou=城市,O=Citrix ,c =美国 |
Sun One目录(为iPlanet) | ou =人,DC =Citrix. , dc = com |
下表包含绑定DN的示例:
LDAP仪器 | 绑定DN. |
---|---|
Microsoft Active Directory服务器 | CN =管理,CN =用词,DC =Citrix. ,dc =本地 |
Novell eDirectory | cn = admin,o =Citrix. |
IBM Directory Server. | LDAP_dn |
Lotus Domino | C = Notes管理,o =Citrix ,c =美国 |
Sun One目录(为iPlanet) | UID = admin,ou =管理员,ou = topologymanagement,o = netscaperoot |
有关设置一般身份验证策略的详细信息,请参阅身份验证策略。有关策略规则中间使用的citrix adc and and and的详细信息,请请策略和达达式。
使用命令行界面创建LDAP身份验证服务器的步骤
在命令提示符下,键入键入下命令:
add authentication ldapAction {-serverIP} | {-serverName }}
示例
add authentication ldapAction ldap_server -serverip 1.1.1.1 -serverName ldap_test
使用配置实用程序创建ldap身份验证服务器的步骤
导航到系统>身份验证>基本策略> LDAP >服务器>添加。
- 在创建身份验证LDAP输送器页面上,配置LDAP服务仪的次数。
- 单一创建。
使用命令行界面启用身份验证策略
add authentication ldappolicy []说明
示例:
添加身份验证LdAppolicy LDAP-Service-Policy NS_TRUE LDAP_SERVER
使用配置实用程序创建LDAP身份验证策略
- 导航到系统>身份验证>基本策略> LDAP >策略>添加
在“创建身份验证LDAP策略“页上,配置ldap策略的数。
- 单一创建。
注意
您可以通讯“安克“选项卡配置ldap服务器/策略。导航导航安全> AAA-antiving程序热量>身份身份>基本策略> LDAP>仪器/策略。
使用命令行界面启用LDAP引用支持
在命令提示符下,键入键入下命令:
设置认证ldapAction
-followReferrals ON 设置身份验证ldapaction
-maxldapreferrals <! - CentCopy - >
示例
>设置身份验证LDAPACTION LDAPACTION-1 -FOPLOPREFERRALS ON> SET认证LDAPACTION LDAPACTION-1 -MAXLDAPREFERS 2
为LDAP使用提供基于的身份验证支持
使用基于密钥的身份验证,您现在可以通过SSH获取存储在LDAP服务器中用户对象上的公钥列表。在基于角色的身份验证 (RBA) 过程中,Citrix ADC 设备必须从 LDAP 服务器中提取 SSH 公钥。检索到的与 SSH 兼容的公钥必须允许您通过 RBA 方法登录。
在“添加身份验证LDAPACTION”和“SEL验证LDAPACCTIONACTION”命令中引入了一个新闻“SSHPUBLICKEY”。通讯使使属性,您可以获得下优势:
- 可以存储检索到的公钥,并且LDAP操作使用此属性从LDAP服务器检索SSH密钥信息。
- 可提取最多24 KB的属性名称。
注意
外部身份身份仪器(如ldap)仅用作检索ssh密钥函数。
下面是通过SSH进行的事件流的示例:
- SSH守护程程向身份验证,授权和审核守护程端口发育术为之为的aaa_authenticate请求。
- 如果LDAP配置为存储SSH公钥,则身份验证,授权和审核将使用“sshPublicKey”属性以及其他属性进行响应。
- SSH守护进程使用客户端密钥验证这些密钥。
- SSH守护守护程在请求负载中传递用名,身份验证,授权和审核将特性此此此此此密钥密钥以及通用密钥。
要配置sshpublickey属性,请在命令提示符处键入下命令:
通讯加入操作品,您可在配置ldapaction命令时加加“sshpublickey”属性。
add authentication ldapAction
{-serverIP | {-serverName ]…[-Attribute1 ]…[-sshPublicKey ][-authentication off] 通讯设置操作用,您可以“SSHPublicKey”属性配置为已添加的LDapaction命令。
set authentication ldapAction
[-sshPublicKey ][-authentication off]
LDAP身份验证的名称值属性支持
您现在可以使用唯一名称和值配置LDAP身份验证的属性。名称在LDAP操作参数中进行配置,并通过查询名称获取值。通过使用此功能,Citrix ADC设备管理员现在可以获得以下好处:
- 通过按名称(而不仅仅是按值)记住属性,最大限度地减少管理员的工作量
- 增强搜索以查询与名称关联的属性值
- 提供用于提取多个属性的选项
要在Citrix ADC设备命令提示符处配置此,请键入:
```添加身份验证ldapaction
示例````添加身份验证ldapaction ldapact1属性1mail <! - caltcopy - >
支持验证端到端LDAP身份验证
Citrix ADC制定目前可通过通讯GUI验证端到端到端到端到端到端到端到端身份验证。为什么此验证此,在gui中引入了一代新的“测试”按钮“按钮.citrix adc设备管理机构可用此此功能实现实现实现下面
- 整合完整流程(数据包引擎——Citrix ADC AAA级守护进程——外部服务器)以提供更好的分析
- 缩短验证和故障排除与单个场景相关的问题的时间
您有两个可以可以使用gui配置和查看ldap端到端身份验证的测试结果。
从系统选项
- 导航到系统>身份验证>基本策略> LDAP、单一服务器选项卡。
- 从列表中选择可用的LDAP作品。
- 在“配置身份验证LDAP服务器“页上,在”连接设置“部分下有两个选项。
- 若要检查LDAP服务器连接,请单击测试LDAP可达性选项卡。您可以查看成功连接到LDAP服务器的弹出消息,其中包含TCP端口详细信息和有效凭据的真实性。
- 要查看端到端LDAP身份验证,请单击测试最终用手连接链接。
- 在“测试最终用手连接“页上,单位”测试“。
- 在身份验证页面上,输入要登录的有效凭据。将显示成功屏幕。
- 如果身份验证失败,将显示错误屏幕。
从身份验证选项
- 导航到身份验证 > 仪表板,从列表中选择可用的ldap作品。
- 在“配置身份验证LDAP服务器“页上,在”连接设置“部分下有两个选项。
- 若要检查LDAP服务器连接,请单击测试LDAP可达性选项卡。您可以查看成功连接到LDAP服务器的弹出消息,其中包含TCP端口详细信息和有效凭据的真实性。
- 要查看端到端ldap身份验证状态,请单击测试最终用手连接链接。
在“测试最终用手连接“页上,单位”测试“。
- 在身份验证页面上,输入要登录的有效凭据。将显示成功屏幕。
- 如果身份验证失败,将显示错误屏幕。
LDAP身份验证的14天密码过期通知
Citrix ADC设备现在支持对基于LDAP的身份验证的14天密码过期通知。通过使用此功能,管理员可以通知最终用户密码到期阈值时间(以天为单位)。14天密码过期通知是自助服务密码重置(SSPR)的前兆。
注意
密码到期通知的最大值或阈值时间(以天为单位)为 255 天。
密码到期通知的优点
- 允许用自行行密码,并为代理员提供的方向,以便在天天内通知最终密码密码到寿命。
- 消除了最终用户对密码到期日的依赖性。
- 将通知发育到vpn门户门户给用词(基位天数),以便在周期前更改密码。
注意
此功能仅适用于基于LDAP的身份验证方案,不适用于半径或TACACS。
了解 14 天密码通知
Citrix ADC设备从LDAP身份身份验证仪获取两个(Max-Pwd-Age和Pwd-Last-Set
)。
- Max-Pwd-Age。此属性表示密码有条不相会之外之迹时间(以100为单位)。该值存储为一个个大数次数,表示从密码密码密码前密码的时间开的的100空间次数。
- PWD-LAST-SET。此属性确定上次更改帐户密码密码的日期和时间。
通讯从LDAP身份身份身份验证验证验证验证个属性,Citrix ADC设备可确定特价用途密码到到时空。
在设置AAA参数
命令中引入了一个新的分数“pwdexpirynovey”。通过使使此数,管管可以跟踪密码到剩余天数.citrix adc设备.Citrix ADC设备。
注意
目前,此功能仅适用于具有带LDAP实施的微软广告服务器的身份验证服务器。对基于OpenLDAP的服务器的支持稍后的目标是。
下面是用于设置 14 天密码到期通知的事件流的示例:
- 管理员通过使用Citrix ADC设备设置密码过期的时间(14天)。
- 用来发票HTTP或https请求请求访问后端服务器上的资源。
- 在提供访问权限之前,Citrix ADC设备会使用LDAP身份验证服务器上配置的内容验证用户凭据。
- 除了对身份验证服务器的查询外,Citrix ADC设备还会承载获取两个属性详细信息的请求(
Max-Pwd-Age和Pwd-Last-Set
)。 - 根据密码到期的剩余时间,将显示到期通知。
- 然后,用药将采取相应的助线来新密码。
使用命令行界面14天到期通讯的步骤
注意
可以为无客户端VPN和完整VPN使用案例配置14天到期通知,而不是ICA代理。
在命令提示符下,键入键入下命令:
set aaa parameter -pwdExpiryNotificationDays
显示AAA参数<! - CentCopy - >
示例
> aaa级参数设置-pwdExpiryNotificationDays 14做>显示aaa EnableStaticPageCaching aaa参数配置参数:是的EnableEnhancedAuthFeedback:没有DefaultAuthType:本地MaxAAAUsers:无限AAAD nat ip:没有EnableSessionStickiness:没有aaaSessionLoglevel:信息AAAD日志级别:信息动态地址:关闭GUI模式:ON Max Saml Deflate Size: 1024密码到期通知天数:14
使用GUI配置14天窗期通知
- 导航到安全> AAA-应用程序销量>身份验证设置。
- 单一更改身份验证aaa设置。
在“配置aaa数“页上,在”密码到期通知(天)“字段中指定天数。
单击”确定“。
该通讯在vpn门户页面的右上角。