用于基本,摘要和NTLM身份验证的sso
Citrix ADC和Citrix网关中的单点登录(SSO)配置可以在全局级别以及按流量级别启用。默认情况下,所以配置为关,管理员可以按流量或全局启用sso。从安全角度来看,Citrix建议管理员全局关登录并按流量启用。此增强功能是通过在全球范围内使用某些类型的sso方法来提高sso配置的安全性。
注意:
从Citrix ADC功能版本13.0构建64.35及更高版本中,以下SSO类型将在全球范围内受到侮辱。
- 基本认证
- 摘要访问身份验证
- NTLM没有谈判ntlm2密钥或协商标志
未受影响的sso类型
以下sso类型不受此增强的影响。
- Kerberos身份验证
- Saml身份验证
- 基于表单的身份验证
- OAuth持有者身份验证
- NTLM与谈判ntlm2密钥或谈判标志
受影响的sso配置
以下是受影响的(失调),因此配置。
全局配置
set tmsessionparam -SSO ON set vpnparameter -SSO ON add tmsessionaction tm_act -SSO ON add vpn sessionaction tm_act -SSO ON每个流量配置add vpn traffic tf_act http -SSO ON add tm traffic tf_act -SSO ON 每个流量配置
add vpn traffic tf_act http -SSO ON add tm traffic tf_act -SSO ON 您可以作为一个整体启用/禁用sso,而且不能修改单个sso类型。
应用的安全措施
作为安全措施的一部分,安全敏感的sso类型在全局配置中会被污辱,但只能通过流量操作配置允许。因此,如果后端服务器期望没有协商NTLM2密钥或协商签名的基本,摘要或NTLM,管理员只能通过以下配置允许SSO。
流量操作
add vpn traffic tf_act http -SSO ON add tm traffic tf_act -SSO ON 流量策略
Add tm trafficpolicy tf_act Add VPN trafficpolicy tf-act 管理员必须为流量策略配置适当的规则,以确保仅为受信任的后端服务器启用sso。
AAA-TM
基于全局配置的场景:
set tmsessionparam -SSO ON 解决办法:
add tm trafficpolicy tf_act -SSO ON add tm trafficpolicy tf_pol true tf_act 将以下流量策略绑定到需要sso的所有lb虚拟服务器:
绑定lb vserver < lb VS Name> -policy tf_pol -priority 65345 基于会话策略配置的场景:
add tmsessionaction tm_act -SSO ON add tmsession policy tm_act add tm trafficaction tf_act -SSO ON add tm trafficpolicy tf_pol tf_act 需要注意的要点:
必须将之前会话策略的Citrix ADC AAA用户/组替换为流量策略。
将以下策略绑定到上一会话策略的负载平衡虚拟服务器,
绑定lb vserver [lb VS Name] -policy tf_pol -priority 65345 - 如果配置了具有其他优先级的流量策略,则前面的命令不起作用。
以下部分介绍基于与流量关联的多个流量策略冲突的场景:
对于特定的tm流量,只应用一个tm流量策略。由于SSO功能更改的全局设置,在已应用具有高优先级的TM流量策略(不需要SSO配置)的情况下,应用额外低优先级的TM流量策略可能不适用。以下部分介绍了确保处理此类案例的方法。
考虑以下三个优先级较高的流量策略适用于负载平衡(lb)虚拟服务器:
add tm trafficaction tf_act1 < add config> add tm trafficaction tf_act2 < add config> add tm trafficpolicy tf_pol1 tf_act1 add tm trafficpolicy tf_pol2 tf_act2 add tm trafficpolicy tf_pol3 tf_act3 bind lb vserver < lb VS Name> -policy tf_pol1 -priority 100 bind lb vserver < lb VS Name> -policy tf_pol2 -priority 200 bind lb vserver < lb VS Name> -policy tf_pol3 -priority 300 容易出错的方法-要解析全局sso配置,请添加以下配置:
add tm trafficpolicy tf_act_default -SSO ON add tm trafficpolicy tf_pol_default true tf_act_default bind lb vserver < lb VS Name> -policy tf_pol_default -priority 65345 注意:前面的修改可能会中断流量的SSO, < tf_pol1 / tf_pol2 / tf_pol3 >就这些流量而言,流量策略< tf_pol_default >未应用。
正确的方法-为了缓解这种情况,必须为每个相应的流量操作单独应用sso属性:
例如,在上述情况中,要使通信点击tf_pol1 / tf_pol3时发生SSO,必须与以下配置一起应用< tf_pol_default >。
add tm trafficaction tf_act1 < add config> -SSO ON add tm trafficaction tf_act3 < add config> -SSO ON Citrix Gateway案例
基于全局配置的场景:
set vpnparameter -SSO ON 解决办法:
add vpn traffic vpn_tf_act http -SSO ON add vpn trafficpolicy vpn_tf_pol true vpn_tf_act将以下流策略绑定到所有需要单点登录的vpn虚拟服务器上:bind vpn vserver vpn_vs -policy vpn_tf_pol -priority 65345 基于会话策略配置的场景:
add vpn sessionaction vpn_sess_act -SSO ON add vpnsession policy vpn_sess_act 注意事项:
必须将之前会话策略的Citrix ADC AAA用户/组替换为流量策略。
将上一会话策略的以下策略绑定到lb虚拟服务器
bind lb virtual server [lb VS Name] -policy tf_pol -priority 65345 .使用实例。如果配置了具有其他优先级的流量策略,则前面的命令不起作用。以下部分介绍基于与流量关联的多个流量策略冲突的场景。
基于与流量关联的多个流量策略冲突的功能场景:
对于特定Citrix网关流量,只应用一个VPN流量策略。由于SSO功能的全局设置更改,如果存在其他具有高优先级且没有所需SSO配置的高优先级的VPN流量策略,则应用额外的低优先级VPN流量策略可能不适用。
以下部分介绍了确保处理此类案例的方法:
考虑一下,对VPN虚拟服务器应用了三个具有更高优先级的流量策略:
add vpn traffic tf_act1 < add config> add vpn traffic tf_act2 < add config> add vpn traffic tf_act3 < add config> add vpn traffic tf_pol1 tf_act1 add vpn traffic tf_pol2 tf_act2 add vpn traffic tf_pol3 tf_act3 bind vpn vserver < vpn VS Name> -policy tf_pol1 -priority 100 bind vpn vserver < vpn VS Name> -policy tf_pol2 -priority 200 bind vpn vserver < vpn VS Name> -policy tf_pol3 -priority 300 容易出错的方法:要解析全局sso配置,请添加以下配置:
add vpn traffic tf_act_default -SSO ON add vpn trafficpolicy tf_pol_default true tf_act_default bind vpn vserver < vpn VS Name> -policy tf_pol_default -priority 65345 注意:前面的修改可能会中断流量的SSO, < tf_pol1 / tf_pol2 / tf_pol3 >因为这些流量,流量策略< tf_pol_default >未应用。
正确的方法:为了缓解这种情况,必须为每个相应的流量操作单独应用sso属性。
例如,在前面的情况中,为了使流量击中tf_pol1 / tf_pol3时发生SSO,必须与以下配置一起应用< tf_pol_default >。
add vpn traffic tf_act1[附加配置]-SSO ON add vpn traffic tf_act3[附加配置]-SSO ON