NetScaler SSO einrichten
Sie können NetScaler SSO so konfigurieren, dass es auf eine von zwei Arten funktioniert: durch Identitätswechsel oder durch Delegation. SSO durch Identitätswechsel ist eine einfachere Konfiguration als SSO durch Delegierung und ist daher vorzuziehen, wenn Ihre Konfiguration dies zulässt. Um NetScaler SSO durch Identitätswechsel zu konfigurieren, müssen Sie über den Benutzernamen und das Kennwort des Benutzers verfügen.
Um NetScaler SSO durch Delegierung zu konfigurieren, müssen Sie über die Anmeldeinformationen des delegierten Benutzers in einem der folgenden Formate verfügen: den Benutzernamen und das Kennwort des Benutzers, die Keytab-Konfiguration, die den Benutzernamen und ein verschlüsseltes Kennwort enthält, oder das delegierte Benutzerzertifikat und das entsprechende CA-Zertifikat.
Voraussetzungen für die Konfiguration von NetScaler SSO
Bevor Sie ein NetScaler SSO konfigurieren, muss Ihre NetScaler Appliance vollständig konfiguriert sein, um den Datenverkehr zu und die Authentifizierung für Ihre Webanwendungsserver zu verwalten. Daher müssen Sie entweder Load Balancing oder Content Switching und dann Authentifizierung, Autorisierung und Überwachung für diese Webanwendungsserver konfigurieren. Sie müssen auch das Routing zwischen der Appliance, Ihrem LDAP-Server und Ihrem Kerberos-Server überprüfen.
Wenn Ihr Netzwerk noch nicht auf diese Weise konfiguriert ist, führen Sie die folgenden Konfigurationsaufgaben aus:
- Konfigurieren Sie einen Server und einen Dienst für jeden Webanwendungsserver.
- Konfigurieren Sie einen virtuellen Traffic Management-Server für die Verarbeitung des Datenverkehrs zu und von Ihrem Webanwendungsserver.
Im Folgenden finden Sie kurze Anweisungen und Beispiele für die Ausführung dieser Aufgaben über die NetScaler Befehlszeile. Weitere Unterstützung finden Sie unter Einrichten eines virtuellen Authentifizierungsservers.
Hinweis
Ab NetScaler 13.1 Version wird die Traversierung zwischen Stammdomäne und Baumdomäne während der Kerberos-SSO-Authentifizierung für Backend-Server von der NetScaler-Appliance unterstützt.
So erstellen Sie einen Server und einen Dienst mit der CLI
Damit NetScaler SSO ein TGS (Service-Ticket) für einen Dienst abrufen kann, muss entweder der FQDN, der der Serverentität auf der NetScaler-Appliance zugewiesen ist, mit dem FQDN des Webanwendungsservers übereinstimmen, oder der Name der Serverentität muss mit dem NetBIOS-Namen des Webanwendungsservers übereinstimmen. Sie können einen der folgenden Ansätze wählen:
- Konfigurieren Sie die NetScaler-Serverentität, indem Sie den FQDN des Webanwendungsservers angeben.
- Konfigurieren Sie die NetScaler-Serverentität, indem Sie die IP-Adresse des Webanwendungsservers angeben, und weisen Sie der Serverentität denselben Namen wie den NetBIOS-Namen des Webanwendungsservers zu.
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
- add server name <serverFQDN>
- add service name serverName serviceType port
<!--NeedCopy-->
Ersetzen Sie für die Variablen die folgenden Werte:
- serverName. Ein Name für die NetScaler-Appliance, der verwendet werden soll, um auf diesen Server zu verweisen.
- serverFQDN. Der FQDN des Servers. Wenn dem Server keine Domäne zugewiesen ist, verwenden Sie die IP-Adresse des Servers und stellen Sie sicher, dass der Name der Servereinheit mit dem NetBIOS-Namen des Webanwendungsservers übereinstimmt.
- serviceName. Ein Name für die NetScaler-Appliance, der verwendet werden soll, um auf diesen Dienst zu verweisen.
- Typ. Das vom Dienst verwendete Protokoll, entweder HTTP oder MSSQLSVC.
- Port. Der Port, auf dem der Dienst lauscht. HTTP-Dienste hören normalerweise auf Port 80. Sichere HTTPS-Dienste hören normalerweise auf Port 443.
Beispiel:
In den folgenden Beispielen werden Server- und Diensteinträge auf der NetScaler-Appliance für den Webanwendungsserver was1.example.com hinzugefügt. Das erste Beispiel verwendet den FQDN des Webanwendungsservers; das zweite verwendet die IP-Adresse.
Um den Server und den Dienst mithilfe des Webanwendungsservers FQDN, was1.example.com, hinzuzufügen, geben Sie die folgenden Befehle ein:
add server was1 was1.example.com
add service was1service was1 HTTP 80
<!--NeedCopy-->
Um den Server und den Dienst mithilfe der IP des Webanwendungsservers und des NetBIOS-Namens hinzuzufügen, wobei die IP des Webanwendungsservers 10.237.64.87 und der NetBIOS-Name WAS1 lautet, geben Sie die folgenden Befehle ein:
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 80
<!--NeedCopy-->
So erstellen Sie über die CLI einen virtuellen Traffic Management-Server
Der virtuelle Traffic Management-Server verwaltet den Datenverkehr zwischen dem Client und dem Webanwendungsserver. Sie können entweder einen Lastausgleich- oder einen virtuellen Content Switching-Server als Traffic Management-Server verwenden. Die SSO-Konfiguration ist für beide Typen gleich.
Um einen virtuellen Lastausgleichsserver zu erstellen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add lb vserver <vserverName> <type> <IP> <port>
<!--NeedCopy-->
Ersetzen Sie für die Variablen die folgenden Werte:
- vServerName —Ein Namefür die NetScaler-Appliance, der verwendet werden soll, um auf diesen virtuellen Server zu verweisen.
- type—Das vom Dienst verwendete Protokoll, entweder HTTP oder MSSQLSVC.
- IP—Die dem virtuellen Server zugewiesene IP-Adresse. Dies wäre normalerweise eine von IANA reservierte, nicht öffentliche IP-Adresse in Ihrem LAN.
- port—Der Port, auf dem der Dienst lauscht. HTTP-Dienste hören normalerweise auf Port 80. Sichere HTTPS-Dienste hören normalerweise auf Port 443.
Beispiel:
Um einen virtuellen Lastausgleichsserver namens tmvserver1 zu einer Konfiguration hinzuzufügen, die den HTTP-Verkehr auf Port 80 verwaltet, ihm eine LAN-IP-Adresse von 10.217.28.20 zuzuweisen und dann den virtuellen Lastausgleichsserver an den wasservice1-Dienst zu binden, geben Sie die folgenden Befehle ein:
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
<!--NeedCopy-->
So erstellen Sie über die CLI einen virtuellen Authentifizierungsserver
Der virtuelle Authentifizierungsserver verwaltet den Authentifizierungsverkehr zwischen dem Client und dem Authentifizierungsserver (LDAP). Um einen virtuellen Authentifizierungsserver zu erstellen, geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
add authentication vserver <authvserverName> SSL <IP> 443
<!--NeedCopy-->
Ersetzen Sie für die Variablen die folgenden Werte:
- AuthvServerName —Ein Name für die NetScaler-Appliance, der verwendet werden soll, um auf diesen virtuellen Authentifizierungsserver zu verweisen. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und den Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann geändert werden, nachdem der virtuelle Authentifizierungsserver mithilfe des Befehls rename authentication vserver hinzugefügt wurde.
- IP—Die IP-Adresse, die dem virtuellen Authentifizierungsserver zugewiesen ist. Wie beim virtuellen Server für das Verkehrsmanagement wäre diese Adresse normalerweise eine IANA-reservierte, nicht öffentliche IP in Ihrem LAN.
- domain—Die Domäne, die dem virtuellen Server zugewiesen ist. Dies ist normalerweise die Domäne Ihres Netzwerks. Es ist üblich, wenn auch nicht erforderlich, die Domäne bei der Konfiguration des virtuellen Authentifizierungsservers in Großbuchstaben einzugeben.
Beispiel:
Um einen virtuellen Authentifizierungsserver namens authverver1 zu Ihrer Konfiguration hinzuzufügen und ihm die LAN-IP 10.217.28.21 und die Domäne EXAMPLE.COM zuzuweisen, geben Sie die folgenden Befehle ein:
add authentication vserver authvserver1 SSL 10.217.28.21 443
<!--NeedCopy-->
So konfigurieren Sie einen virtuellen Traffic Management-Server für die Verwendung eines Authentifizierungsprofils
Der virtuelle Authentifizierungsserver kann für die Authentifizierung für eine einzelne Domäne oder für mehrere Domänen konfiguriert werden. Wenn es für die Unterstützung der Authentifizierung für mehrere Domänen konfiguriert ist, müssen Sie auch die Domäne für NetScaler SSO angeben, indem Sie ein Authentifizierungsprofil erstellen und dann den virtuellen Server für die Verkehrsverwaltung für die Verwendung dieses Authentifizierungsprofils konfigurieren.
Hinweis
Der virtuelle Server für das Verkehrsmanagement kann entweder ein virtueller Lastausgleichsserver (lb) oder ein Content Switching (cs) sein. Bei den folgenden Anweisungen wird davon ausgegangen, dass Sie einen virtuellen Lastausgleichsserver verwenden. Um einen virtuellen Content Switching-Server zu konfigurieren, ersetzen Sie einfach set cs vserver durch set lb vserver. Das Verfahren ist ansonsten dasselbe.
Um das Authentifizierungsprofil zu erstellen und dann das Authentifizierungsprofil auf einem virtuellen Traffic Management-Server zu konfigurieren, geben Sie die folgenden Befehle ein:
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver \<vserverName\> -authnProfile <authnprofileName>
<!--NeedCopy-->
Ersetzen Sie für die Variablen die folgenden Werte:
- authnProfileName— Ein Name für das Authentifizierungsprofil. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und muss aus einem bis einunddreißig alphanumerischen oder Bindestrichen (-), Punkt (.) Pfund (#), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstrichen bestehen.
- AuthvServerName—Der Name des virtuellen Authentifizierungsservers, den dieses Profil für die Authentifizierung verwendet.
- AuthenticationHost— Hostname des virtuellen Authentifizierungsservers.
- AuthenticationDomain— Domäne, für die NetScaler SSO die Authentifizierung verarbeitet. Erforderlich, wenn der virtuelle Authentifizierungsserver die Authentifizierung für mehr als eine Domäne durchführt, damit die richtige Domäne enthalten ist, wenn die NetScaler-Appliance das Cookie des virtuellen Servers für die Verkehrsverwaltung festlegt.
Beispiel:
Um ein Authentifizierungsprofil mit dem Namen AuthnProfile1 für die Authentifizierung der Domäne example.com zu erstellen und den virtuellen Lastausgleichsserver vserver1 für die Verwendung des Authentifizierungsprofils AuthnProfile1 zu konfigurieren, geben Sie die folgenden Befehle ein:
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
<!--NeedCopy-->