Konfigurieren der Kerberos-Authentifizierung auf der NetScaler-Appliance
In diesem Thema werden ausführliche Schritte zum Konfigurieren der Kerberos-Authentifizierung auf der NetScaler-Appliance mithilfe der CLI und der GUI beschrieben.
Konfigurieren der Kerberos-Authentifizierung auf der CLI
-
Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion, um die Authentifizierung von Datenverkehr auf der Appliance
ns-cli-prompt ns-funktion aktivieren AAA
-
Fügen Sie die Keytab-Datei der NetScaler-Appliance hinzu. Eine Keytab-Datei ist erforderlich, um das während der Kerberos-Authentifizierung vom Client erhaltene Geheimnis zu entschlüsseln. Eine einzelne Keytab-Datei enthält Authentifizierungsdetails für alle Dienste, die an den virtuellen Verkehrsverwaltungsserver auf der NetScaler-Appliance gebunden sind.
Generieren Sie zuerst die Keytab-Datei auf dem Active Directory-Server und übertragen Sie sie dann auf die NetScaler-Appliance.
-
Melden Sie sich mit dem folgenden Befehl beim Active Directory-Server an und fügen Sie einen Benutzer für die Kerberos-Authentifizierung hinzu.
net user <username> <password> /add
Hinweis
Stellen Sie im Abschnitt Benutzereigenschaften sicher, dass die Option “Kennwort bei der nächsten Anmeldung ändern” nicht ausgewählt ist und die Option “Kennwort läuft nicht ab” ausgewählt ist.
-
Ordnen Sie den HTTP-Dienst dem obigen Benutzer zu und exportieren Sie die Keytab-Datei. Führen Sie beispielsweise den folgenden Befehl auf dem Active Directory-Server aus:
ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass <user password> /mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL
Hinweis
Sie können mehr als einen Dienst zuordnen, wenn eine Authentifizierung für mehr als einen Dienst erforderlich ist. Wenn Sie weitere Dienste zuordnen möchten, wiederholen Sie den obigen Befehl für jeden Dienst. Sie können denselben Namen oder unterschiedliche Namen für die Ausgabedatei angeben.
-
Übertragen Sie die Keytab-Datei mit dem Unix-Befehl ftp oder einem anderen Dateiübertragungsprogramm Ihrer Wahl auf die NetScaler-Appliance. Laden Sie die Keytab-Datei in das Verzeichnis /nsconfig/krb/auf die NetScaler-Appliance hoch.
-
-
Die NetScaler-Appliance muss die IP-Adresse des Domänencontrollers aus dem vollqualifizierten Domänennamen (FQDN) beziehen. Citrix empfiehlt daher, den NetScaler mit einem DNS-Server zu konfigurieren.
ns-cli-prompt> add dns nameserver <ip-address>
Hinweis
Alternativ können Sie statische Hosteinträge hinzufügen oder andere Mittel verwenden, damit die NetScaler-Appliance den FQDN-Namen des Domänencontrollers in eine IP-Adresse auflösen kann.
-
Konfigurieren Sie die Authentifizierungsaktion und ordnen Sie sie anschließend einer Authentifizierungsrichtlinie zu.
-
Konfigurieren Sie die Aushandlungsaktion. Diese Konfiguration erstellt eine Aktion (Profil) für einen Active Directory Directory-Server, der als Kerberos Key Distribution Center (KDC) verwendet wird. Das Profil enthält alle Konfigurationsdaten, die für die Kommunikation mit diesem AD KDC-Server erforderlich sind.
ns-cli-prompt> add authentication negotiateAction <name> -domain <domain name> -domainUser <domain user name> -domainUserPasswd <domain user password> -defaultAuthenticationGroup <default authentication group> -keytab <string> -NTLMPath <string>
Hinweis: Wechseln Sie für die Konfiguration von Domänenbenutzern und Domänennamen zum Client und verwenden Sie den Befehl klist wie im folgenden Beispiel gezeigt:
Client: username @ AAA.LOCAL
Server: HTTP/onprem_idp.aaa.local @ AAA.LOCAL
add authentication negotiateAction <name> -domain
-domainUser <HTTP/onprem_idp.aaa.local> -
Konfigurieren Sie die Verhandlungsrichtlinie, und ordnen Sie die Verhandlungsaktion dieser Richtlinie zu.
ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>
-
-
Erstellen Sie einen virtuellen Authentifizierungsserver und verknüpfen Sie die Verhandlungsrichtlinie damit.
-
Erstellen Sie einen virtuellen Authentifizierungsserver.
ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>
-
Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.
ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>
-
-
Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).
ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>
Hinweis
Ähnliche Konfigurationen können auch auf dem virtuellen Content Switching-Server vorgenommen werden.
-
Überprüfen Sie die Konfigurationen, indem Sie Folgendes tun:
-
Greifen Sie mit dem FQDN auf den virtuellen Server zur Datenverkehrsverwaltung zu. Beispiel: Sample
-
Zeigen Sie die Details der Sitzung auf der CLI an.
ns-cli-prompt> show aaa session
-
Konfigurieren der Kerberos-Authentifizierung auf der GUI
-
Aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.
Navigieren Sie zu System > Einstellungen, klicken Sie auf Grundfunktionen konfigurieren und aktivieren Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion.
-
Fügen Sie die Keytab-Datei hinzu, wie in Schritt 2 des oben genannten CLI-Verfahrens beschrieben.
-
Fügen Sie einen DNS-Server hinzu.
Navigieren Sie zu Traffic Management > DNS > Nameserver, und geben Sie die IP-Adresse für den DNS-Server an.
-
Konfigurieren Sie die Aktion und Richtlinie Aushandeln .
Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und erstellen Sie eine Richtlinie mit Aushandeln als Aktionstyp. Klicken Sie auf HINZUFÜGEN, um einen neuen Authentifizierungsverhandlungsserver zu erstellen, oder klicken Sie auf Bearbeiten, um die vorhandenen Details zu konfigur
-
Binden Sie die Aushandlungsrichtlinie an den virtuellen Authentifizierungsserver.
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und verknüpfen Sie die Aushandlungsrichtlinie mit dem virtuellen Authentifizierungsserver.
-
Verknüpfen Sie den virtuellen Authentifizierungsserver mit dem virtuellen Server der Verkehrsverwaltung (Load Balancing oder Content Switching).
Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server, und geben Sie die entsprechenden Authentifizierungseinstellungen an.
Hinweis
Ähnliche Konfigurationen können auch auf dem virtuellen Content Switching-Server vorgenommen werden.
-
Überprüfen Sie die Konfigurationen wie in Schritt 7 der oben genannten CLI-Prozedur beschrieben.