产品文档
Citrix ADC
当前版本 13.0 12.1 11.1
查看PDF

用户身份管理

2021年10月27日
贡献者:
C

越来越多的安全漏洞和移动设备的日益普及都强调了确保外部互联网的使用符合公司政策的必要性。只有经过授权的用户才能访问公司人员配置的外部资源。身份管理通过验证个人或设备的身份来实现这一目标。它不确定个人可以执行哪些任务或个人可以看到哪些文件。

SSL转发代理部署在允许访问互联网之前识别用户。检查用户的所有请求和响应。系统会记录用户活动,并将记录导出到 Citrix Application Delivery Management (ADM) 进行报告。在 Citrix ADM 中,您可以查看有关用户活动、事务和带宽消耗的统计信息。

默认情况下,只保存用户的IP地址,但是您可以配置该功能以记录有关用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的互联网使用策略。

Citrix ADC设备支持以下身份验证模式进行显式代理配置。

  • 轻量级目录访问协议(ldap)。通过外部ldap身份验证服务器对用户进行身份验证。有关详细信息,请参阅Ldap身份验证策略
  • 半径。通过外部radius服务器对用户进行身份验证。有关更多信息,请参阅半径验证策略
  • TACACS +。通过外部端点访问控制器访问控制系统(tacacs)身份验证服务器对用户进行身份验证。有关详细信息,请参阅验证策略
  • 谈判。通过Kerberos身份验证服务器对用户进行身份验证。如果Kerberos身份验证有错误,设备将使用NTLM身份验证。有关详细信息,请参阅协商验证策略

对于透明代理,仅支持基于IP的ldap身份验证。收到客户端请求后,代理会通过检查活动目录中客户端IP地址的条目来验证用户身份。然后,它会根据用户IP地址创建会话。但是,如果在LDAP操作中配置SSonameAttribute,则会使用用户名而不是IP地址来创建会话。在透明代理设置中,不支持传统策略进行身份验证。

注意

对于显式代理,必须将ldap登录名设置为SamAccountName。对于透明代理,必须将ldap登录名设置为NetworkAddress,将属性 1 设置为SamAccountName

显式代理示例

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ - lddaploginname sAMAccountName

透明代理的示例:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName

使用cli设置用户身份验证

在命令提示符下,键入:

add authentication vserver  SSL bind SSL vserver  -certkeyName  add authentication ldapAction <动作名称> -serverIP  -ldapBase  -ldapBindDn  -ldapBindDnPassword - lddaploginname  add authentication Policy <策略名称> -rule  -action  bind authentication vserver  -policy  -priority  set cs vserver  -authn401 ON -authnVsName

参数

虚拟服务器名称

要绑定策略的身份验证虚拟服务器的名称。

最大长度:127

服务类型

身份验证虚拟服务器的协议类型。始终使用ssl。

可能的值:ssl

默认值:ssl

操作名称

新ldap操作的名称。必须以字母,数字或下划线字符(_)开的头,并且必须只包含字母,数字和连字符(-),句点(.)井号(#),空格(),在(@),等号(=),冒号(:)和下划线字符。添加ldap操作后无法更改。以下要求仅适用于cli:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证操作”或“我的身份验证操作”)。

最大长度:127

ServerIP

分配给ldap服务器的IP地址。

ldapBase

从中启动ldap搜索的基础(节点)。如果LDAP服务器在本地运行,则base的默认值为dc=netscaler, dc = com。最大长度:127

ldapBindDN

用于绑定到ldap服务器的完整可分辨名称(dn)。

默认值:CN =管理器,dc=netscaler, dc = com

最大长度:127

ldapbindDN密码

用于绑定到ldap服务器的密码。

最大长度:127

ldAPLoginName

Ldap登录名属性。Citrix ADC设备使用 LDAP 登录名查询外部 LDAP 服务器或活动目录。最大长度:127

策略名称

高级身份验证策略的名称。必须以字母,数字或下划线字符(_)开的头,并且必须只包含字母,数字和连字符(-),句点(.)井号(#),空格(),在(@),等号(=),冒号(:)和下划线字符。创建身份验证策略后无法更改。以下要求仅适用于cli:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证策略”或“我的身份验证策略”)。

最大长度:127

规则

策略用于确定是否尝试使用验证服务器对用户进行身份验证的规则或高级策略表达式的名称。

最大长度:1499

操作

策略匹配时要执行的身份验证操作的名称。

最大长度:127

优先级

正整数,用于指定策略的优先级。较小的数字表示较高的优先级。按照策略的优先级顺序评估策略,然后应用与请求匹配的第一个策略。在绑定到身份验证虚拟服务器的策略列表中必须是唯一的。

最小值:0

最大值:4294967295

示例

add authentication vserver swg-auth-vs SSL Done bind SSL vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey Done add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName Done add authenticationpolicy swg-auth-policy -rule true -action swg-auth- explicit Done bind authentication vserver swg-auth-vs -policyswg-auth-policy -priority 1 Done set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs Done

使用cli启用用户名日志记录

在命令提示符下,键入:

设置appflow参数-AAAUserName ENABLED

参数

aaa用户名

启用AppFlow身份验证,授权和审核用户名日志记录。

可能的值:启用,禁用

默认值: 禁用

示例

设置appflow参数-AAAUserName ENABLED
用户身份管理
2021年10月27日
贡献者:
C
2021年10月27日
贡献者:
C

本文中包含的内容

站点反馈 | 隐私和法律条款 | Cookie首选项 | 同意设置
©1999 -思杰系统有限公司。保留所有权利。