身份验证虚拟服务器

流量管理虚拟服务器（负载平衡或内容切换）将所有身份验证请求重定向到身份验证虚拟服务器。此虚拟服务器处理关联的身份验证策略并相应地提供对应用程序的访问。

注意：不能将流量管理策略绑定到身份验证、授权和审计虚拟服务器。

设置身份验证虚拟服务器

设置身份验证虚拟服务器所涉及的步骤如下：

1. 启用身份验证、授权和审核功能。

   enable ns feature AAA 

2. 配置身份验证虚拟服务器。它必须是SSL类型,并确保将SSL证书密钥对绑定到虚拟服务器。

   add authentication vserver  SSL   bind SSL certkey   

3. 为身份验证虚拟服务器指定域的FQDN。

   设置认证vserver  -authenticationDomain  

4. 将身份验证虚拟服务器与相关流量管理虚拟服务器关联。

   注意事项：

   • 流量管理虚拟服务器的FQDN必须与身份验证虚拟服务器的FQDN位于同一域中,才能正常运行域会话饼干。在流量管理虚拟服务器上：
     • 启用身份验证。
     • 指定身份验证虚拟服务器的FQDN作为流量管理虚拟服务器的身份验证主机。
     • [可选] 指定流量管理虚拟服务器上的身份验证域。
     • 如果未配置身份验证域,设备将分配一个FQDN,该FQDN由身份验证虚拟服务器的FQDN组成,而不包含主机名部分。例如，如果身份验证虚拟服务器的域名是tm.xyz.bar.com，则设备会将xyz.bar.com分配为身份验证域。
       • 对于负载平衡：

       设置lb vserver  -authentication ON -authenticationhost  [-authenticationdomain ] 

       • 对于内容切换：

       set cs vserver     

   • 如果必须为身份验证域设置域范围Cookie,则必须在负载平衡虚拟服务器上启用身份验证配置文件。

5. 验证两个虚拟服务器都已启动并正确配置。

   显示认证vserver  

使用GUI设置身份验证虚拟服务器

1. 启用身份验证、授权和审核功能。

   导航到系统 > 设置，单击配置基本功能，然后启用身份验证、授权和审核。

2. 配置身份验证虚拟服务器。

   导航到安全> AAA -应用程序流量>虚拟服务器，然后根据需要进行配置。

3. 配置流量管理虚拟服务器进行身份验证。

   • 对于负载平衡：

     导航到流量管理 > 负载平衡 > 虚拟服务器，然后根据需要配置虚拟服务器。

   • 对于内容切换：

     导航到流量管理 > 内容交换 > 虚拟服务器，然后根据需要配置虚拟服务器。

4. • 验证身份验证设置。

     导航到”安全”>“AAA——应用程序流量”>“虚拟服务器”,并检查相关身份验证虚拟服务器的详细信息。

配置身份验证虚拟服务器

要配置身份验证、授权和审核，请首先配置身份验证虚拟服务器以处理身份验证流量。接下来,将SSL证书密钥对绑定到虚拟服务器,以使其能够处理SSL连接。有关配置SSL和创建证书密钥对的其他信息,请参阅SSL证书。

使用CLI配置身份验证虚拟服务器

要配置身份验证虚拟服务器并验证配置，请在命令提示符下按相同顺序键入以下命令：

dd authentication vserver  ssl  show authentication vserver  bind ssl certkey  show authentication vserver  set authentication vserver  show authentication vserver  

示例：

添加身份验证vserver Auth-Vserver-2 SSL 10.102.29.77 443做显示认证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0完成绑定ssl certkey Auth-Vserver-2 Auth-Cert-1完成显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - ssl类型:内容:客户端闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0完成显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:[Certkey决不能]客户闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0做< !——NeedCopy >

注意

“身份验证域”参数已弃用。使用身份验证配置文件设置域范围的饼干。

使用GUI配置身份验证虚拟服务器

1. 导航到安全(安全)> AAA -应用程序流量(AAA -应用程序流量)>虚拟服务器(虚拟服务器)。

2. 在详细信息窗格中，执行以下操作之一：

   • 要创建新的身份验证虚拟服务器,请单击”添加"。
   • 若要修改现有身份验证虚拟服务器,请选择虚拟服务器,然后单击”编辑"。此时将打开“配置”对话框,并展开“基本设置”区域。

3. 指定参数的值，如下所示（星号表示必填参数）：

   • 名称* -名称(无法为之前创建的虚拟服务器更改)
   • IP地址类型*——身份验证虚拟服务器的IP地址类型
   • IP地址*——身份验证虚拟服务器的IP地址
   • 端口*——虚拟服务器接受连接的TCP端口。
   • 登录失败超时-failedLoginTimeout(在登录失败之前允许秒数,用户必须重新启动登录过程)。
   • 最大登录尝试maxLoginAttempts(用户被锁定之前允许的登录尝试次数)

   注意：身

   份验证虚拟服务器仅使用SSL协议和端口443,因此这些选项显示为灰色。任何未提及的选项都可以忽略。

4. 单击”继续”“以显示证书”区域。

5. 在“证书“区域中,配置要与此虚拟服务器一起使用的任何SSL证书。

   • 要配置CA证书,请单击CA证书右侧的箭头以显示“CA证书密钥”对话框,选择要绑定到此虚拟服务器的证书,然后单击”保存"。
   • 要配置服务器证书,请单击服务器证书右侧的箭头,然后执行与CA证书相同的过程。
6. 单击继续显示高级身份验证策略区域。
7. 如果要将高级身份验证策略绑定到虚拟服务器,请单击行右侧的箭头以显示”身份验证策略“对话框,选择要绑定到服务器的策略,设置优先级,然后单击”确定"。
8. 单击继续显示”基本身份验证策略“区域。
9. 如果要创建基本身份验证策略并将其绑定到虚拟服务器,请单击加号以显示”策略“对话框,然后按照提示配置策略并将其绑定到此虚拟服务器。
10. 单击继续显示基于 401 的虚拟服务器区域。

11. 在基于 401 的虚拟服务器区域中，配置要绑定到此虚拟服务器的任何负载平衡或内容交换虚拟服务器。

    • 要绑定负载平衡虚拟服务器，请单击负载平衡虚拟服务器右侧的箭头以显示负载平衡虚拟服务器对话框，然后按照提示进行操作。
    • 要绑定内容交换虚拟服务器,请单击内容交换虚拟服务器右侧的箭头以显示内容切换虚拟服务器对话框,然后按照绑定磅虚拟服务器相同的过程进行操作。
12. 如果要创建或配置组,请在“组”区域中单击箭头以显示“组”对话框,然后按照提示操作。
13. 检查您的设置,完成后,单击”完成"。此对话框将关闭。如果您创建了新的身份验证虚拟服务器,它现在会显示在“配置“窗口列表中。

流量管理虚拟服务器

创建并配置身份验证虚拟服务器后，接下来创建或配置流量管理虚拟服务器，然后将身份验证虚拟服务器与其关联。您可以将负载平衡或内容交换虚拟服务器用于流量管理虚拟服务器。有关创建和配置任一类型的虚拟服务器的详细信息，请参阅流量管理中的Citrix流量管理指南。

注意：

流量管理虚拟服务器的FQDN必须与身份验证虚拟服务器的FQDN位于同一域,中域会话饼干才能正常运行。

通过启用身份验证,然后将身份验证服务器的FQDN分配给流量管理虚拟服务器,可以配置流量管理虚拟服务器进行身份验证,授权和审核。您还可以当前在流量管理虚拟服务器上配置身份验证域。如果未配置此选项,Citrix ADC设备会为流量管理虚拟服务器分配一个FQDN,该FQDN由身份验证虚拟服务器的FQDN组成,而不包含主机名部分。例如,如果身份验证虚拟服务器的域名是tm.xyz.bar.com,则设备会将xyz.bar.com.bar.com。分配为身份验证域。

使用CLI配置流量管理虚拟服务器

在命令提示符下，键入以下命令集之一：

set lb vserver  -authentication ON -authenticationhost  [-authenticationdomain ] show lb vserver  set cs vserver  -authentication ON -authenticationhost  [-authenticationdomain ] show cs vserver  

示例：

设置磅vserver vs-cont-sw认证-AuthenticationHost mywiki.index.com做节目磅vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP类型:地址状态:最后的状态变化是在2009年8月19日10:03:15结婚(+ 410 ms)自去年状态变化时间:5天,20:00:40.290有效状态:客户端闲置超时:9000秒下状态刷新:ENABLED禁用主Vserver On Down:禁用否绑定服务:0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com Done 

使用GUI配置流量管理虚拟服务器

1. 在导航窗格中，执行以下操作之一。

   • 导航到流量管理 > 负载平衡 > 虚拟服务器。
   • 导航到流量管理 > 内容切换 > 虚拟服务器
   • 在详细信息窗格中,选择要在其上启用身份验证的虚拟服务器,然后单击”编辑"。
   • 在“域”文本框中,键入身份验证域。
   • 在右侧的”高级“菜单中,选择”身份验证"。

   • 选择基于表单的身份验证或基于 401 的身份验证，然后填写身份验证信息。

     • 对于基于表单的身份验证,输入身份验证FQDN(身份验证服务器的完全限定域名),身份验证虚拟服务器(身份验证虚拟服务器的IP地址)和身份验证配置文件(用于身份验证的配置文件)。
     • 对于基于 401 的身份验证，仅输入验证虚拟服务器和身份验证配置文件。
   • 单击好吧（确定）。状态栏中将显示一条消息，指出虚拟服务器已成功配置。

对身份验证、授权和审核的简化登录协议支持

身份验证、授权和审核流量管理虚拟服务器与身份验证、授权和审核虚拟服务器之间的登录协议被简化为使用内部机制，而不是通过查询参数发送加密数据。使用此功能，请求的重放将被阻止。

配置DNS

要使身份验证过程中使用的域会话饼干正常运行,必须将DNS配置为将身份验证和流量管理虚拟服务器分配给同一域中的FQDN。有关如何配置DNS地址记录的信息,请参阅域名系统。

验证验证虚拟服务器

在配置身份验证和流量管理虚拟服务器之后,在创建用户帐户之前,必须验证两个虚拟服务器配置正确且处于上升状态。

使用CLI配置NoAuth身份验证

在命令提示符下，键入以下命令：

显示认证vserver  

示例：

显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容:客户端闲置超时:180秒下状态刷新:禁用禁用主要vserver:禁用认证:对当前AAA用户:0认证域:myCompany.employee.com做< !——NeedCopy >

使用GUI配置NoAuth身份验证

1. 导航到安全> Citrix ADC AAA -应用程序流量>虚拟服务器。注意:从Citrix网关中,导航到Citrix网关>虚拟服务器。
2. 查看AAA虚拟服务器窗格中的信息，以验证您的配置是否正确以及身份验证虚拟服务器是否接受流量。您可以选择特定虚拟服务器以在详细信息窗格中查看详细信息。