面向系统用户和外部用户的双重身份验证
思杰(Citrix) ADC仅在通过两个级别的身份验证成功验证密码后,设备才向用户授予访问权限。齐格、齐格、齐格、齐格、齐格、齐格、齐格。如果用户在外部进行身份验证,则用户名和密码必须与在外部身份验证服务器中注册的用户身份相匹配。
注意
Citrix ADC 12.1 Build 51.16
双重身份验证的工作原理
Citrix ADC请求的应用程序服务器将用户名和密码发送到第一个外部身份验证服务器(RADIUS, TACACS、LDAP或广告)。验证用户名和密码后,系统会提示用户进行第二级身份验证。用户现在可以提供第二个密码。思杰(Citrix) ADC思杰(Citrix)
以下是为外部和系统用户配置双重身份验证的不同用例。
Citrix ADCCitrix ADC
- Citrix ADC、GUI、CLI、API、SSH (2FA)。
- 为系统用户启用了外部身份验证并禁用了本地身份验证。
- 为系统用户启用基于策略的本地身份验证的外部身份验证。
- 已启用本地身份验证的系统用户禁用外部身份验证。
- 为系统用户启用了外部身份验证和启用了本地身份验证。
- http://www.tingclass.com/ http://www.tingclass.com/
用例1:跨Citrix ADC, GUI, CLI、API和SSH接口进行双重身份验证(2 fa)
双重身份验证已启用,并可用于对GUI, API和SSH的所有Citrix ADC管理访问。
使用案例2:在外部身份验证服务器(如LDAP、半径,Active Directory和TACACS)上支持双重身份验证
您可以在以下外部身份验证服务器上为一级和二级用户身份验证配置双重身份验证。
- 半径
- LDAP
- 活动目录
- TACACS
用例 3:为系统用户启用外部身份验证并禁用本地身份验证
通过启用外部身份验证选项并禁用系统用户的本地身份验证来开始身份验证过程。
使用命令行界面完成以下步骤:
- “ldap”
- 目录:ldap
- .半径
- “半径”
- 添加身份验证登录架构
- 对,就是这样
- ldap
- 在系统参数中禁用本地身份验证
“”“”“”“”“”
在命令提示符下,键入:
add authentication ldapaction
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn名称-ldapbindDNpassword密码- ldapploginname名称-groupAttrName名称-subAttributeName名称-ssoNameAttribute名称
“”“”“”“”“”“”
在命令提示符下,键入:添加认证策略
示例:添加认证策略pol1 -rule true -action ldapact1
(2)、半径
在命令提示符下,键入:
add authentication radiusaction
示例:
add authentication radusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2 .使用实例
“半径”、“半径”
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略radpol11 -rule true -action radact1
添加身份验证登录架构
您可以使用系统用户的“SingleAuth.xml”登录架构为Citrix ADC设备提供第二个密码。在命令提示符下,键入:
add authentication loginSchema <登录模式名> -authenticationSchema loginSchema /SingleAuth.xml
例如:
add authentication loginSchema radschema -authenticationSchema loginSchema /SingleAuth.xml
对,就是这样
在命令提示符下,键入:
add authentication policylabel
bind authentication policylabel
示例:
add authentication policylabel label1 -type RBA_REQ -loginSchema radschema
bind authentication policylabel label1 -policyName radpol11 -priority
ldap
在命令提示符下,键入:
bind system global ldappolicy -priority <优先级> -nextFactor <策略标签名称>
示例:
bind system global pol11 -priority 1 -nextFactor label1
在系统参数中禁用本地身份验证
在命令提示符下,键入:
设置系统参数-localauth disabled
用例 4:为附加了本地身份验证策略的系统用户启用外部身份验证
在这种情况下,允许用户使用双重身份验证和本地身份验证策略评估在用户标识的二级登录到设备。
使用命令行界面完成以下步骤。
- http://www.ldap.cn/cn/
- 目录:ldap
- 添加本地身份验证策略
- 添加身份验证策略标签
- 【翻译
- 在系统参数中禁用本地身份验证
“”“”“”“”“”
在命令提示符下,键入:
add authentication ldapaction
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn名称-ldapbindDNpassword密码- ldapploginname名称-groupAttrName名称-subAttributeName名称-ssoNameAttribute名称-ssoNameAttribute名称
“”“”“”“”“”“”
在命令提示符下,键入:
添加认证策略
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn名称-ldapbindDNpassword密码- ldapploginname名称-groupAttrName名称-subAttributeName名称-ssoNameAttribute名称
为系统用户添加本地身份验证策略(二级身份验证)
在命令提示符下,键入:
add authentication radiusaction
示例:
add authentication radusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2 .使用实例
添加和绑定身份验证策略标签
在命令提示符下,键入:
add authentication policylabel bind authentication policylabel
示例:
add authentication policylabel label1 -type RBA_REQ -loginSchema radschemabind authentication policylabel label1 -policyName radpol11 -priority 1 -gotoPriorityExpression NEXT
在系统参数中禁用本地身份验证
在命令提示符下,键入:
设置系统参数-localauth disabled
用例 5:禁用外部身份验证并为系统用户启用本地身份验证
“外部auth”、“外部auth”、“外部auth”。即使外部身份验证服务器上存在具有相同用户名的用户,用户也不会通过外部身份验证服务器进行身份验证。用户在本地进行身份验证。
启用系统用户密码并禁用外部身份验证
在命令提示符下,键入以下内容:
add system user
示例:
add system user user1 password1 -externalAuth DISABLED
用例 6:已启用外部身份验证并为系统用户启用本地身份验证
将设备配置为使用本地密码对系统用户进行身份验证。如果此身份验证失败,则通过在两个级别的外部身份验证服务器上使用外部身份验证密码对用户进行身份验证。
http://www.cso.com/ http://www.cso.com/ http://www.cso.com/。
- http://www.ldap.cn/cn/
- 目录:ldap
- .半径
- “半径”
- 添加身份验证登录架构
- 添加身份验证策略标签
- 绑定登录架构的验证策略标签
- 半径
- ldap
http://www.ldap.cn/cn/
在命令提示符下,键入:
add authentication ldapaction
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn名称-ldapbindDNpassword密码- ldapploginname名称-groupAttrName名称-subAttributeName名称-ssoNameAttribute名称
目录:ldap
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略pol1 -rule true -action ldapact1
半径
在命令提示符下,键入:
add authentication radiusaction
示例:
add authentication radusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2 .使用实例
半径
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略radpol11 -rule true -action radact1
添加身份验证登录架构
您可以使用SingleAuth.xml登录架构显示登录页面并在第二级身份验证时对系统用户进行身份验证。
在命令提示符下,键入:
add authentication loginSchema
示例:
add authentication loginSchema radschema -authenticationSchema loginSchema /SingleAuth.xml
微信号:镭射镭射
在命令提示符下,键入:
add authentication policylabel
示例:
add authentication policylabel label1 -type RBA_REQ -loginSchema radschemabind authentication policylabel
示例:
bind authentication policylabel label1 -policyName rad pol11 -priority
全局绑定验证策略
在命令提示符下,键入:
bind system global [
示例:
bind system global radpol11 -priority 1 -nextFactor label11
用例 7:仅为选定的外部用户启用外部身份验证
根据LDAP操作中配置的搜索筛选器,使用双因素身份验证来配置选择性外部用户,同时使用单因素身份验证对其他系统用户进行身份验证。
http://www.cso.com/ http://www.cso.com/ http://www.cso.com/。
- http://www.ldap.cn/cn/
- 目录:ldap
- .半径
- “半径”
- 添加身份验证登录架构
- 添加身份验证策略标签
- 绑定登录架构的验证策略标签
- 半径
http://www.ldap.cn/cn/
在命令提示符下,键入:
add authentication ldapaction
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn名称-ldapbindDNpassword密码- ldapploginname名称-groupAttrName名称-subAttributeName名称-ssoNameAttribute名称
目录:ldap
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略pol1 -rule true -action ldapact1
半径
在命令提示符下,键入:
add authentication radiusaction
示例:
add authentication radusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2 .使用实例
半径
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略radpol11 -rule true -action radact1
添加身份验证登录架构
您可以使用SingleAuth.xml登录架构为设备提供登录页面,以便在第二级身份验证中对系统用户进行身份验证。
在命令提示符下,键入:
add authentication loginSchema
示例:
add authentication loginSchema radschema -authenticationSchema loginSchema /SingleAuth.xml
微信号:镭射镭射
在命令提示符下,键入:
add authentication policylabel
示例:
add authentication policylabel label1 -type RBA_REQ -loginSchema radschemabind authentication policylabel
示例:
bind authentication policylabel label1 -policyName radpol11 -priority
全局绑定验证策略
在命令提示符下,键入:
bind system global [
示例:
bind system global radpol11 -priority 1 -nextFactor label11
要使用搜索筛选器为组用户进行配置而不使用双重身份验证:
- http://www.ldap.cn/cn/
- “ldap”
- http://www.gege.ac.cn/cn/或http://www.gege.ac.cn/cn/
http://www.ldap.cn/cn/
在命令提示符下,键入:
add authentication ldapaction
示例:
add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base - ldapbinddn名称- ldapbinddnpassword密码- ldapploginname名称- groupattrname名称- subattributename名称- searchFilter "memberOf=CN=grp4,CN=Users,DC= aaatom -test,DC=com"
“ldap”
在命令提示符下,键入:
添加认证策略
示例:
添加认证策略pol1 -rule true -action ldapact1
ldap
在命令提示符下,键入:
bind system global ldappolicy -priority <优先级> -nextFactor <策略标签名称>
示例:
bind system global pol11 -priority 1 -nextFactor label11
显示双重身份验证的自定义提示消息
中文名称:http://www.chinesewords.xml/ flash / nsconfig / loginschema / loginschema)配置双因素密码字段时
以下是SingleAuth.xml文件的片段,其中“SecondPassword:“是提示用户输入第二个密码的第二个密码字段名称。
< ?xml version="1.0" encoding="UTF-8"?> success more-info /nf/auth/doAuthentication.do /nf/auth/doLogoff.do Cancel login ExplicitForms-Username username singleauth_please_supply_either_domain\username_or_user@fully.qualified.domain false false .+ passwd ExplicitForms-Password password true false .+ none saveCredentials savecredentials false loginBtn none Citrix ADC GUI
- Citrix ADC
- 转到系统>身份验证>高级策略>策略。
- “笨笨”、“笨笨”、“笨笨”。
- 在“创建身份验证策略“i’’”,“i’’”。
- 名称。保单的名称
- 操作类型。LDAP, Active Directory, RADIUS, TACACS
- 操作。要与策略关联的身份验证操作(配置文件)。可以选择现有的身份验证操作,也可以单击加号并创建正确类型的操作。
- 表达式。提供高级策略表达式。
- 单击创建,然后关闭。
- 表达式。提供高级策略表达式。
- 单击创建。
- "添加“有,有。”
- 在“创建身份验证策略“i’’”,“i’’”
- 名称。保单的名称
- 操作类型。LDAP, Active Directory, RADIUS, TACACS
- 操作。要与策略关联的身份验证操作(配置文件)。您可以选择现有的身份验证操作,或单击 + 图标创建正确类型的操作。
- 表达式。提供高级策略表达式
- 单击创建,然后关闭。
- 表达式。提供高级策略表达式。
- 单击创建。
- 在身份验证策略页中,单击全局绑定。
- 在“创建全局身份验证策略绑定“我的意思是,我的意思是我的意思。添加绑定。
- 在“策略绑定“。
- 下一个因素。选择第二级身份验证策略标签。
单击绑定和关闭。
![【翻译]()
- 单击完成。
- Citrix ADC用户现在可以提供第二个密码。思杰(Citrix) ADC
注意:
为第二因素身份验证配置的TACACS不支持授权和记帐,即使您在“TacacsAction”命令中启用它也是如此。第二个因素仅用于身份验证目的。
另外,请参阅Citrix ADC nFactor。