从物理服务器卸载Kerberos身份验证

Citrix ADC设备可以从服务器卸载身份验证任务。Citrix ADC在将所有客户端请求转发到绑定到客户端的任何物理服务器之前，对所有客户端请求进行身份验证，而不是对客户端请求进行身份验证的物理服务器。用户身份验证基于 Active Directory 令牌。

Citrix ADC与物理服务器之间没有身份验证,并且身份验证卸载对最终用户是透明的。初始登录到Windows计算机后,最终用户不必在弹出窗口或登录页面上输入任何其他身份验证信息。

在当前Citrix ADC设备版本中,Kerberos身份验证仅适用于身份验证,授权和审核流量管理虚拟服务器。Citrix Gateway Advanced Edition 设备中的 SSL VPN 或 Citrix ADC 设备管理不支持 Kerberos 身份验证。

Kerberos身份验证需要在Citrix ADC设备和客户端浏览器上进行配置。

在Citrix ADC设备上配置Kerberos身份验证的步骤

1. 在活动目录上创建用户帐户。创建用户帐户时,请验证”用户属性”部分中的以下选项:

   • 请确保您没有选择下次登录时更改密码选项。
   • 请务必选择密码不过期选项。

2. 在广告服务器上的CLI命令提示符下,键入:

   • ktpass -princ HTTP/kerberos.crete.lab.net@crete.lab.net -ptype KRB5_NT_PRINCIPAL -mapuser kerbuser@crete.lab.net -mapop set -pass Citrix1 -out C:\kerbtabfile.txt

   注意

   请确保在单行上键入上述命令。上述命令的输出被写入到C: Kerbtabfile.txt文件中。

3. 使用安全副本(SCP)客户端将kerbtabfile.txt文件上传到Citrix ADC设备的/ etc目录。

4. 运行以下命令将DNS服务器添加到Citrix ADC设备。

   • 添加DNS名称服务器为1.2.3.4

   Citrix ADC设备无法在没有DNS服务器的情况下处理Kerberos请求。请确保使用在Microsoft Windows域中使用的相同DNS服务器。

5. 切换到Citrix ADC的命令行界面。

6. 运行以下命令创建Kerberos身份验证服务器:

   • 添加身份验证negotiateAction KerberosServer域“crete.lab.net”-domainUser kerbuser -domainUserPasswd Citrix1 keytab /var/mykcd.keytab

   注意

   如果键选项卡不可用,则可以指定参数:域、域用户和-域用户密码。

7. 运行以下命令创建协商策略：

   • add authentication negotiatePolicy Kerberos-Policy "REQ.IP. add authentication negotiatePolicy "REQ.IP. add authenticationDESTIP == 192.168.17.200" KerberosServer

8. 运行以下命令以创建身份验证虚拟服务器。

   • add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net

9. 运行以下命令将Kerberos策略绑定到身份验证虚拟服务器:

   • 绑定认证vserver Kerb-Auth -policy Kerberos-Policy -priority 100

10. 运行以下命令将SSL证书绑定到身份验证虚拟服务器。您可以使用其中一个测试证书,您可以从GUI Citrix ADC设备安装该证书。运行以下命令以使用服务器测试证书示例证书。

    • bind ssl vserver Kerb-Auth -certkeyName ServerTestCert

11. 使用IP地址192.168.17.200创建HTTP负载平衡虚拟服务器。

    确保从NetScaler 9.3版本的命令行界面创建虚拟服务器(如果它们的版本超过9.3.47.8)。

12. 运行以下命令来配置身份验证虚拟服务器：

    • set lb vserver -authn401 ON -authnVsName Kerb-Auth

13. 在网页浏览器的地址栏中输入主机名示例。

    网页浏览器显示一个身份验证对话框,因为在浏览器中未设置Kerberos身份验证。

    注意

    Kerberos身份验证需要客户端上的特定配置。确保客户端可以解析主机名,这会导致网络浏览器连接到HTTP虚拟服务器。

14. 在客户端计算机的网络浏览器上配置Kerberos。

    • 要在Internet Explorer上进行配置,请参阅为Kerberos身份验证配置Internet Explorer。
    • 要在Mozilla Firefox上进行配置,请参阅为Kerberos身份验证配置互联网浏览器

15. 验证是否可以在没有身份验证的情况下访问后端物理服务器。

为Kerberos身份验证配置网络资源管理器

1. 从工具菜单中选择网上选项。
2. 激活”安全“选项卡。
3. 从“选择要查看更改安全设置的区域”部分选择”本地内部网”。
4. 单击站点。
5. 单击高级。
6. 指定网址,示例，然后单击添加。
7. 重新启动Internet Explorer。

配置Mozilla Firefox进行Kerberos身份验证

1. 在浏览器的地址栏中输入:配置。
2. 单击警告免责声明。
3. 在筛选器框中键入Network.Negotiate-auth.trusted-uris。

4. 双击Network.Negotiate-auth.trusted-uris。示例屏幕如下所示。

5. 在“输入字符串值”对话框中,指定www.crete.lab.net。
6. 重新启动火狐浏览器。