身份验证、授权和审核的工作原理
身份验证,授权和审核允许任何具有适当凭据的客户端从互联网上的任意位置安全地连接到受保护的应用程序服务器,从而为分布式网络环境提供了安全性。此功能融合了身份验证、授权和审核这三个安全功能。身份验证使Citrix ADC能够在本地或使用第三方身份验证服务器验证客户端的凭据,并且仅允许批准的用户访问受保护的服务器。授权使adc能够验证允许每位用户访问受保护的服务器上的哪些内容。通过审核,adc能够在受保护的服务器上记录每位用户的活动。
要了解身份验证,授权和审核在分布式环境中的工作原理,请假设一个使用内部网的组织,该组织的员工可以在办公室,家中和出差时进行访问。内网上的内容是机密的,需要安全访问。任何想要访问内网的用户都必须具有有效的用户名和密码。为了满足这些要求,adc将执行以下操作:
- 如果用户在未登录的情况下访问内网,则将用户重定向到登录页面。
收集用户的凭据、将其传送到身份验证服务器、然后将其缓存在可通过ldap访问的目录中。有关更多信息,请参阅确定ldap目录中的属性。
- 在将用户的请求发送到应用程序服务器之前,验证用户是否有权访问特定的内网内容。
- 保持会话超时时间,超过该时间后,用户必须再次进行身份验证才能重新获得对内部网的访问权限。(您可以配置超时)。
- 将用户的访问情况(包括无效的登录尝试)记录在审核日志中。
配置身份验证授权和审核策略
设置用户和组后,接下来,您将配置身份验证策略,授权策略和审核策略,以定义允许哪些用户访问内部网,允许每个用户或组访问哪些资源以及身份验证,授权和审核以何种详细级别保留在审核日志中。身份验证策略定义了用户尝试登录时要应用的身份验证类型。如果使用外部身份验证,策略还会指定外部身份验证服务器。授权策略指定用户和组在登录后可以访问的网络资源。审核策略定义审核日志类型和位置。
您必须绑定每个策略才能使其生效。可以将身份验证策略绑定到身份验证虚拟服务器,将授权策略绑定到一个或多个用户帐户或组,并将全局审核策略绑定到一个或多个用户帐户或组。
绑定策略时,您需要为其分配优先级。优先级决定了您定义的策略的评估顺序。可以将优先级设置为任何正整数。在Citrix ADC操作系统中,策略优先级的工作顺序相反:数字越大,优先级越低。例如,如果您有三个策略的优先级分别为 10、100 和 1000,则首先执行分配的优先级为 10 的策略,然后执行分配的优先级为 100 的策略,最后执行分配的优先级为 1000 的策略。身份验证、授权和审核功能仅实施请求匹配的每种策略类型中的第一种策略,而不实施请求可能也匹配的任何其他类型的策略,因此策略优先级对于获取预期结果至关重要。
可以为自己留出足够的空间来按任何顺序添加其他策略,也可以将其设置为按所需顺序进行评估,方法是在绑定策略时,在每个策略之间设置间隔为 50 或 100 的优先级。然后,您可以随时添加其他策略,而无需重新分配现有策略的优先级。
有关Citrix ADC设备上绑定策略的其他信息,请参阅Citrix ADC产品文档。
配置No_Auth策略以绕过特定流量
现在,您可以将No_Auth策略配置为在流量管理虚拟服务器上启用基于401的身份验证时绕过身份验证中的某些流量。对于此类流量,您必须绑定" No_Auth "策略。
使用CLI将No_Auth策略配置为绕过特定流量
在命令提示符下,键入:
添加认证策略 -rule -action 示例:
添加认证策略ldap -rule ldapAct1 -action No_Auth