Tacacs身份验证
TACACS身份验证策略向外部终端访问控制器访问控制系统(TACACS)认证服务器进行身份验证。用户对TACACS服务器进行身份验证后,Citrix ADC将连接到同一台TACACS服务器进行所有后续授权。当主TACACS服务器不可用时,此功能可防止在ADC等待第一台TACACS服务器超时时出现任何延迟。它发生在将授权请求重新发送到第二个tacacs服务器之前。
注意:
Tacacs授权服务器不支持字符串长度超过255个字符的命令。
解决办法:使用本地授权而不是tacacs授权服务器。
通过TACACS服务器进行身份验证时,身份验证,授权和审核流量管理日志只能成功运行TACACS命令。它会阻止日志显示未授权运行它们的用户输入的tacacs命令。
从NetScaler 12.0 Build 57。x开始,端点访问控制器访问控制系统(TACACS)在发送TACACS请求时不会阻止身份验证,授权和审核守护进程。允许ldap和radius身份验证继续处理请求。Tacacs身份验证请求在 TACACS 服务器确认 TACACS 请求后恢复。
重要:
Citrix建议您在运行“明确ns配置”命令时不要修改任何与TACACS相关的配置。
当高级策略的“明确ns配置”命令中的“RBAconfig”参数设置为没有时,将清除并重新应用与高级策略相关的TACACS配置。
Tacacs身份验证的名称值属性支持
现在,您可以使用唯一名称和值配置tacacs身份验证属性。名称在tacacs操作参数中进行配置,并通过查询名称获取值。通过指定名称属性值,管理员可以轻松搜索与属性名称关联的属性值。此外,管理员不再需要单独记住属性的值。
重要
- 在tacacsAction命令中,最多可配置64个属性,用逗号分隔,总大小小于2048字节。
使用cli配置名称-值属性
在命令提示符下,键入:
add authentication tacacsAction [-Attributes ]
示例:
add authentication tacacsAction tacacsAct1 -attributes " mail,sn,userprincipalName "
使用命令行界面添加身份验证操作
如果不使用本地身份验证,则需要添加显式身份验证操作。在命令提示符下,键入以下命令:
add authentication tacacsAction -serverip [-serverPort ][-authTimeout ][…]) < !——NeedCopy >
示例
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
使用命令行界面配置身份验证操作
要配置现有身份验证操作,请在命令提示符处键入以下命令:
set authentication tacacsAction -serverip [-serverPort ][-authTimeout ][…]) < !——NeedCopy >
示例
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
使用命令行界面删除身份验证操作
若要删除现有半径操作,请在命令提示符下键入以下命令:
rm authentication radiusAction
示例
rm authentication tacacsaction Authn-Act-1