在Citrix ADC设备上配置Kerberos身份验证

本主题提供了使用CLI和GUI在Citrix ADC设备上配置Kerberos身份验证的详细步骤。

在CLI上配置Kerberos身份验证

1. 启用身份验证、授权和审核功能，以确保对设备上的流量进行身份验证。

   ns-cli-prompt >启用ns特性AAA

2. 将密钥选项卡文件添加到Citrix ADC设备。密钥选项卡文件对于解密Kerberos身份验证期间从客户端收到的密钥是必需的。单个键选项卡文件包含绑定到Citrix ADC设备上流量管理虚拟服务器的所有服务的身份验证详细信息。

   首先在Active Directory服务器上生成密钥选项卡文件,然后将其传输到Citrix ADC设备。

   • 登录到活动目录服务器,并为Kerberos身份验证添加用户。例如,要添加名为“KUB-SVC帐户”的用户:

     net user Kerb-SVC-Account freebsd!@ # 456 /添加

     注意

     在“用户属性“部分中,确保未选择”下次登录时更改密码”选项,并选择“密码未过期”选项。

   • 将HTTP服务映射到上述用户并导出keytab文件。例如，在 Active Directory 服务器上运行以下命令：

     ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass freebsd!@#456 /mapuser newacp\dummy /ptype KRB5_NT_PRINCIPAL . ptype KRB5_NT_PRINCIPAL . ptype KRB5_NT_PRINCIPAL . ptype

     注意

     如果需要对多个服务进行身份验证，则可以映射多个服务。如果要映射更多服务，请为每个服务重复上述命令。您可以为输出文件指定相同的名称或不同的名称。

   • 使用unixftp命令或您选择的任何其他文件传输实用程序将密钥选项卡文件传输到Citrix ADC设备。

3. Citrix ADC设备必须从完全限定的域名(FQDN)获取域控制器的IP地址。因此,Citrix建议使用DNS服务器配置Citrix ADC。

   ns-cli-prompt >添加dns命名服务器< ip地址>

   注意

   或者,您可以添加静态主机条目或使用任何其他方法,以便Citrix ADC设备可以将域控制器的FQDN名称解析为IP地址。

4. 配置身份验证操作，然后将其关联到身份验证策略。

   • 配置协商操作。

     ns-cli-Pass添加身份验证协商操作> - <名称>域名<域名用户<域用户名称>域域用户密码> < UserPasswd——默认认证组<默认验证组> keytab <字符串> -ntlmPath <字符串>

     注意:对于域用户和域名配置,请转到客户端并使用中命令,如以下示例所示:

     客户端:客户:用户名@ AAA.LOCAL

     服务器:HTTP / ONPREM_IDP.AAA.AA.Local

     添加身份验证negotiateAction<名称>域 -domainUser \ < HTTP / onprem_idp.aaa.local >

   • 配置协商策略并将协商操作与此策略关联。

     ns-cli-prompt >添加身份验证negotiatePolicy<名称> <规定> < reqAction >

5. 创建身份验证虚拟服务器并将协商策略与其关联。

   • 创建身份验证虚拟服务器。

     ns-cli-prompt >添加身份验证vserver SSL 443 -authenticationDomain . SSL

   • 将协商策略绑定到身份验证虚拟服务器。

     ns-cli-prompt >绑定验证vserver<名称>政策< negotiatePolicyName >

6. 将身份验证虚拟服务器与流量管理（负载平衡或内容交换）虚拟服务器关联。

   ns-cli-prompt >设置磅vserver -authn401 ON -authnVsName . properties . properties . properties

   注意

   类似的配置也可以在内容交换虚拟服务器上完成。

7. 通过执行以下操作验证配置：

   • 使用FQDN访问流量管理虚拟服务器。例如，示例

   • 在CLI上查看会话的详细信息。

     ns-cli-prompt >显示aaa会话

在GUI上配置Kerberos身份验证

1. 启用身份验证、授权和审核功能。

   导航到”系统“>”设置”,单击”配置基本功能”,然后启用身份验证,授权和审核功能。

2. 按照上面提到的CLI过程的步骤2中的详细说明添加密钥选项卡文件。

3. 添加DNS服务器。

   导航到流量管理> DNS >名称服务器,并指定DNS服务器的IP地址。

4. 配置协商操作和策略。

   导航到安全> AAA -应用程序流量>策略>身份验证>高级策略>策略，并创建以协商作为操作类型的策略。单击”添加“以创建新的身份验证协商服务器,或单击”编辑“配置现有详细信息。

5. 将协商策略绑定到身份验证虚拟服务器。

   导航到”安全”>“AAA——应用程序流量”>“虚拟服务器”,并将“协商”策略与身份验证虚拟服务器关联。

6. 将身份验证虚拟服务器与流量管理（负载平衡或内容交换）虚拟服务器关联。

   导航到流量管理 > 负载平衡 > 虚拟服务器，并指定相关的身份验证设置。

   注意

   类似的配置也可以在内容交换虚拟服务器上完成。

7. 验证上述CLI过程步骤7中详细介绍的配置。