这些内容已被机器动态翻译。
内燃机内燃机发动机Übersetzung, die dynamic erstellt wurde。(Haftungsausschluss)
文章一été传统自动化的manière动态。(非条款responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica。(通报法律)
此内容已动态机器翻译。放弃
このコンテンは動的に機械翻訳されています。免責事項
이콘텐츠는동적으로기계번역되었습니다。책임부
这些内容已被机器动态翻译。
这些内容已被机器动态翻译。
这篇文章是机器翻译的。
Dieser Artikel wurde maschinell übersetzt。(Haftungsausschluss)
Ce文章été传统自动化。(非条款responsabilité)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。책임부
Este artigo foi traduzido automaticamente。
这篇文章已经过机器翻译.放弃
翻译失败!
用户身份管理
越来越多的安全漏洞和移动设备的日益普及都强调了确保外部互联网的使用符合公司政策的必要性。只有经过授权的用户才能访问公司人员配置的外部资源。身份管理通过验证个人或设备的身份来实现这一目标。它不确定个人可以执行哪些任务或个人可以看到哪些文件。
SSL转发代理部署在允许访问互联网之前识别用户。检查用户的所有请求和响应。系统会记录用户活动,并将记录导出到 Citrix Application Delivery Management (ADM) 进行报告。在 Citrix ADM 中,您可以查看有关用户活动、事务和带宽消耗的统计信息。
默认情况下,只保存用户的IP地址,但是您可以配置该功能以记录有关用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的互联网使用策略。
Citrix ADC设备支持以下身份验证模式进行显式代理配置。
- 轻量级目录访问协议(ldap)。通过外部ldap身份验证服务器对用户进行身份验证。有关详细信息,请参阅Ldap身份验证策略。
- 半径。通过外部radius服务器对用户进行身份验证。有关更多信息,请参阅半径验证策略
- TACACS +。通过外部端点访问控制器访问控制系统(tacacs)身份验证服务器对用户进行身份验证。有关详细信息,请参阅验证策略。
- 谈判。通过Kerberos身份验证服务器对用户进行身份验证。如果Kerberos身份验证有错误,设备将使用NTLM身份验证。有关详细信息,请参阅协商验证策略。
对于透明代理,仅支持基于IP的ldap身份验证。收到客户端请求后,代理会通过检查活动目录中客户端IP地址的条目来验证用户身份。然后,它会根据用户IP地址创建会话。但是,如果在LDAP操作中配置SSonameAttribute,则会使用用户名而不是IP地址来创建会话。在透明代理设置中,不支持传统策略进行身份验证。
注意
对于显式代理,必须将ldap登录名设置为SamAccountName。对于透明代理,必须将ldap登录名设置为NetworkAddress,将属性 1 设置为SamAccountName。
显式代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - lddaploginname sAMAccountName
透明代理的示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
使用cli设置用户身份验证
在命令提示符下,键入:
add authentication vserver SSL bind SSL vserver -certkeyName add authentication ldapAction <动作名称> -serverIP -ldapBase -ldapBindDn -ldapBindDnPassword - lddaploginname add authentication Policy <策略名称> -rule -action bind authentication vserver -policy -priority set cs vserver -authn401 ON -authnVsName
参数:
虚拟服务器名称:
要绑定策略的身份验证虚拟服务器的名称。
最大长度:127
服务类型:
身份验证虚拟服务器的协议类型。始终使用ssl。
可能的值:ssl
默认值:ssl
操作名称:
新ldap操作的名称。必须以字母,数字或下划线字符(_)开的头,并且必须只包含字母,数字和连字符(-),句点(.)井号(#),空格(),在(@),等号(=),冒号(:)和下划线字符。添加ldap操作后无法更改。以下要求仅适用于cli:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证操作”或“我的身份验证操作”)。
最大长度:127
ServerIP:
分配给ldap服务器的IP地址。
ldapBase:
从中启动ldap搜索的基础(节点)。如果LDAP服务器在本地运行,则base的默认值为dc=netscaler
, dc = com。最大长度:127
ldapBindDN:
用于绑定到ldap服务器的完整可分辨名称(dn)。
默认值:CN =管理器,dc=netscaler
, dc = com
最大长度:127
ldapbindDN密码:
用于绑定到ldap服务器的密码。
最大长度:127
ldAPLoginName:
Ldap登录名属性。Citrix ADC设备使用 LDAP 登录名查询外部 LDAP 服务器或活动目录。最大长度:127
策略名称:
高级身份验证策略的名称。必须以字母,数字或下划线字符(_)开的头,并且必须只包含字母,数字和连字符(-),句点(.)井号(#),空格(),在(@),等号(=),冒号(:)和下划线字符。创建身份验证策略后无法更改。以下要求仅适用于cli:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证策略”或“我的身份验证策略”)。
最大长度:127
规则:
策略用于确定是否尝试使用验证服务器对用户进行身份验证的规则或高级策略表达式的名称。
最大长度:1499
操作:
策略匹配时要执行的身份验证操作的名称。
最大长度:127
优先级:
正整数,用于指定策略的优先级。较小的数字表示较高的优先级。按照策略的优先级顺序评估策略,然后应用与请求匹配的第一个策略。在绑定到身份验证虚拟服务器的策略列表中必须是唯一的。
最小值:0
最大值:4294967295
示例:
add authentication vserver swg-auth-vs SSL Done bind SSL vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey Done add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName Done add authenticationpolicy swg-auth-policy -rule true -action swg-auth- explicit Done bind authentication vserver swg-auth-vs -policyswg-auth-policy -priority 1 Done set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs Done
使用cli启用用户名日志记录
在命令提示符下,键入:
设置appflow参数-AAAUserName ENABLED
参数:
aaa用户名
启用AppFlow身份验证,授权和审核用户名日志记录。
可能的值:启用,禁用
默认值: 禁用
示例:
设置appflow参数-AAAUserName ENABLED
分享:
分享:
本文中包含的内容
本预览版产品文档为Citrix机密文档。
您同意根据Citrix Beta/技术预览协议的条款对该文档进行保密。
预览版文档中描述的任何特性或功能的开发、发布和时间仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考,不是交付任何材料、代码或功能的承诺、承诺或法律义务,在做出思杰产品购买决定时不应依赖该文档。
如果不同意,选择“不同意”退出。