身份验证策略

当用户登录 Citrix ADC或 Citrix网关设备时，将根据您创建的策略对他们进行身份验证。身份验证策略由表达式和操作组成。身份验证策略使用 Citrix ADC表达式。

创建身份验证操作和身份验证策略后，将其绑定到身份验证虚拟服务器并为其分配优先级。绑定它时，还要将其指定为主策略或辅助策略。首先评估主策略，然后再评估辅助策略。在使用这两种策略类型的配置中，主策略通常是更具体的策略，而辅助策略通常是更常规的策略。它旨在处理不符合更具体标准的任何用户帐户的身份验证。策略定义了身份验证类型。单个身份验证策略可用于简单的身份验证需求，并且通常绑定在全局级别。您还可以使用默认身份验证类型（本地）。如果配置本地身份验证，则还必须在设备上配置用户和组。

您可以配置多个身份验证策略并将其绑定以创建详细的身份验证过程和虚拟服务器。例如，您可以通过配置多个策略来配置级联和双重身份验证。您还可以设置身份验证策略的优先级，以确定哪些服务器以及设备检查用户凭据的顺序。身份验证策略包括表达式和操作。例如,如果将表达式设置为真值,则在用户登录时,操作将用户登录评估为真的,然后用户可以访问网络资源。

创建身份验证策略后，您可以在全局级别或将策略绑定到虚拟服务器。将至少一个身份验证策略绑定到虚拟服务器时，除非全局身份验证类型的优先级高于绑定到虚拟服务器的策略的优先级，否则用户登录到虚拟服务器时，将不使用绑定到全局级别的任何身份验证策略。

当用户登录到设备时，将按以下顺序评估身份验证：

• 将检查虚拟服务器是否存在任何绑定的身份验证策略。
• 如果身份验证策略未绑定到虚拟服务器，设备将检查全局身份验证策略。
• 如果身份验证策略未绑定到虚拟服务器或全局，则会通过默认身份验证类型对用户进行身份验证。

如果配置LDAP和半径身份验证策略,并希望为双重身份验证全局绑定策略,则可以在配置实用程序中选择策略,然后选择策略是主身份验证类型还是辅助身份验证类型。您还可以配置组提取策略。

注意：

Citrix ADC或 Citrix网关设备仅对 UTF-8字符进行编码以进行身份验证，与使用 ISO-8859-1字符的服务器不兼容。

创建身份验证策略

使用GUI创建身份验证策略

1. 导航到“安全”>“AAA——应用程序流量”>“策略”>“身份验证”，然后选择要创建的策略类型。对于Citrix网关,请导航到Citrix网关>策略>身份验证。

2. 在详细信息窗格中的政策（策略）选项卡上，执行以下操作之一：

   • 要创建新策略，请单击添加（添加）。
   • 要修改现有策略,请选择操作,然后单击”编辑”。

3. 在“创建身份验证策略”或“配置身份验证策略”对话框中，键入或选择参数的值。

   • 名称— 策略名称（无法更改先前配置的操作）
   • 身份验证类型- - - - - -authtype
   • 服务器- - - - - -authVsName
   • 表达式——规则(首先在“表达式”窗口下方最左侧的下拉列表中选择表达式的类型,然后直接在表达式文本区域中键入表达式,或者单击“添加“打开“添加表达式”对话框并使用下降——下列表来构造您的表达式)。
4. 单击创造（创建）或好啊（确定）。您创建的策略将显示在“策略”页面中。

5. 单击”服务器“选项卡,然后在详细信息窗格中执行以下操作之一:

   • 若要使用现有服务器，请选择该服务器，然后单击。
   • 要创建服务器，请单击添加，然后按照说明进行操作。
6. 如果要将此策略指定为辅助身份验证策略，请在“身份验证”选项卡上单击“辅助”。如果要将此策略指定为主身份验证策略，请跳过此步骤。
7. 单击插入策略。
8. 从下拉列表中选择要绑定到身份验证虚拟服务器的策略。
9. 在左侧的优先级（优先级）列中，修改默认优先级以确保按照正确的顺序评估策略。
10. 单击好啊（确定）。状态栏中将显示一条消息，指出策略已成功配置。

使用GUI修改身份验证策略

您可以修改已配置的身份验证策略和配置文件,例如身份验证服务器的IP地址或表达式。

1. 在配置实用程序中的配置选项卡上，展开Citrix网关>策略>身份验证。 注意：您还可以从 “安全”>“AAA——应用程序流量”>“策略”>“身份验证“配置策略,然后选择要修改的策略类型。
2. 在导航窗格中的身份验证下，选择身份验证类型。
3. 在详细信息窗格中的“服务器”选项卡上，选择一个服务器，然后单击“打开”。

使用GUI删除身份验证策略

如果从网络中更改或删除了身份验证服务器,请从Citrix网关中删除相应的身份验证策略。

1. 在配置实用程序中的配置选项卡上，展开Citrix网关>策略\ >身份验证。注意:要从ADC进行配置,请导航安全> AAA -应用程序流量>策略>身份验证，然后选择要删除的策略类型。
2. 在导航窗格中的身份验证下，选择身份验证类型。
3. 在详细信息窗格的“策略”选项卡上,选择一个策略,然后单击“删除”。

使用CLI创建身份验证策略

在命令提示符下，键入以下命令：

add authentication negotiatePolicy    show authentication localPolicy  bind authentication vserver  -policy  [-priority ][-secondary]] show authentication vserver  

示例：

>添加身份验证localPolicy Authn-Pol-1 ns_true做>显示身份验证localPolicy 1)名称:Authn-Pol-1规则:ns_true请求行动:当地做>绑定验证vserver Auth-Vserver-2政策Authn-Pol-1做>显示身份验证vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL类型:内容状态:UP Client Idle Timeout: 180 sec Down state flush: DISABLED DISABLED主Vserver On Down: DISABLED Authentication: On Current AAA Users: 0 Authentication Domain: myCompany.employee.com 1)主认证策略名称:authn - pol1优先级:0 Done 

使用CLI修改现有身份验证策略

在命令提示符下，键入以下命令以修改现有身份验证策略：

set authentication localPolicy   [-reqaction ]

示例 

设置认证localPolicy Authn-Pol-1 ' ns_true '

# # #使用CLI删除身份验证策略在命令提示符下,键入以下命令以删除身份验证策略:< !——NeedCopy >

rm认证localPolicy

示例 

rm authentication localPolicy Authn-Pol-1

### 绑定身份验证策略 配置身份验证策略后，您可以将策略全局绑定或绑定到虚拟服务器。您可以使用配置实用程序来绑定身份验证策略。要使用配置实用程序全局绑定身份验证策略，请执行以下操作： 1.在配置实用程序中的配置选项卡上,展开* * Citrix网关>策略\ >身份验证* *。注意:要从ADC进行配置,请导航* *安全> AAA -应用程序流量>策略>身份验证* * 1。单击身份验证类型。1.在详细信息窗格的“策略”选项卡上,单击服务器,然后在“操”作中,单击“全局绑定”。1.在“主”或“辅助“选项卡上的“详细信息”下,单击“插入策略”。1. 在策略名称下，选择策略，然后单击确定。 **注意：** 选择策略时，Citrix Gateway 会自动将表达式设置为 True 值。 要使用配置实用程序取消绑定全局身份验证策略，请执行以下操作： 1. 在配置实用程序中的配置选项卡上，展开 **Citrix Gateway > 策略\ > 身份验证**。 注意：要从 ADC 进行配置，请导航**安全 > AAA-应用程序流量 > 策略 > 身份验证** 1. 在“策略”选项卡上的“操作”中，单击“全局绑定”。 1. 在将身份验证策略绑定/取消绑定到全局对话框的主要或辅助选项卡上的策略名称中，选择策略，单击取消绑定策略，然后单击确定。 ## 添加身份验证操作 ### 使用命令行界面添加身份验证操作 如果不使用本地身份验证，则需要添加显式身份验证操作。在命令提示符下，键入以下命令： 

添加身份验证tacacsAction -serverip [-serverPort ] [-authTimeout ][ ... ]

示例 

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret " minotaur " -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup " users "

### 使用命令行界面配置身份验证操作 要配置现有身份验证操作，请在命令提示符处键入以下命令： 

设置身份验证tacacsAction -serverip [-serverPort ] [-authTimeout ][ ... ]

示例 

设置身份验证tacacsaction Authn-Act-1-服务器IP 10.218.24.65-服务器端口1812-身份验证超时15-tacacsSecret“minotaur”-授权关闭-记帐打开-审核失败CMDS关闭-默认身份验证组“用户”

# # #使用命令行界面删除身份验证操作若要删除现有半径操作,请在命令提示符下键入以下命令:< !——NeedCopy >

rm认证radiusAction

示例 

rm认证tacacsaction认证- act -1

##诺亚斯身份验证 Citrix ADC设备支持 诺亚斯身份验证功能，该功能使客户能够在用户执行此策略时在 `没有行动`命令中配置 DefaultauthenticationGroup参数。管理员可以检查用户组中是否存在此组，以确定用户通过 诺亚斯策略进行导航。 ### 使用命令行界面配置 诺亚斯身份验证 在命令提示窗口中，键入： 

添加身份验证noAuthAction [-defaultAuthenticationGroup ］

**示例：** 

add authentication noAuthAction noauthact -defaultAuthenticationGroup mynoauthgroup

# #默认全局认证类型安装Citrix网关并运行Citrix网关向导时,您可以在向导中配置身份验证。此身份验证策略将自动绑定到Citrix网关全局级别。在Citrix网关向导中配置的身份验证类型是默认身份验证类型。您可以通过再次运行Citrix网关向导更改默认授权类型,也可以在配置实用程序中修改全局身份验证设置。如果需要添加其他身份验证类型,则可以使用配置实用程序在Citrix网关上配置身份验证策略并将策略绑定到Citrix网关。在全局配置身份验证时，您可以定义身份验证类型、配置设置并设置可以进行身份验证的最大用户数。配置和绑定策略后，您可以设置优先级以定义哪种身份验证类型优先。例如,您配置LDAP和半径身份验证策略。如果LDAP策略的优先级数为10,半径策略的优先级数为15,则无论您在何处绑定每个策略,LDAP策略都优先级。这称为级联身份验证。您可以选择从Citrix网关内存缓存或从Citrix网关上运行的HTTP服务器传递登录页。如果选择从内存中缓存传送登录页面,则Citrix网关的登录页面的传送速度比从HTTP服务器传送的速度快。选择从内存缓存传送登录页面可减少多个用户同时登录时的等待时间。作为全局身份验证策略的一部分，您只能配置从缓存传递登录页。您还可以配置作为身份验证的特定IP地址的网络地址转换(NAT) IP地址。此IP地址对于身份验证是唯一的,不是Citrix网关子网,映射或虚拟IP地址。这是一个可选设置。* *注意* *:> >无法使用Citrix网关向导配置SAML身份验证。 您可以使用快速配置向导配置 LDAP、RADIUS 和客户端证书身份验证。运行向导时，可以从 Citrix Gateway 上配置的现有 LDAP 或 RADIUS 服务器中进行选择。您还可以配置 LDAP 或 RADIUS 的设置。如果使用双重身份验证，Citrix 建议使用 LDAP 作为主身份验证类型。 ### 配置默认的全局验证类型 1. 在配置实用程序中的“Configuration”（配置）选项卡上的导航窗格中，展开“Citrix Gateway”，然后单击“Global Settings”（全局设置）。 1. 在详细信息窗格的“设置”下，单击“更改身份验证设置”。 1. 在“最大用户数”中，键入可以使用此身份验证类型进行身份验证的用户数。 1. 在 NAT IP 地址中，键入用于身份验证的唯一 IP 地址。 1. 选择“启用静态缓存”以更快地传递登录页面。 1. 选择“启用增强型身份验证反馈”，以便在身份验证失败时向用户提供消息。用户收到的消息包括密码错误、帐户禁用或锁定或找不到用户等。 1. 在“默认身份验证类型”中，选择身份验证类型。 1. 配置身份验证类型的设置，然后单击确定。