-
-
Konfigurieren der Anwendungsauthentifizierung, Autorisierung und Überwachung
-
-
Anwendungsfall: ESI-Unterstützung für dynamisches Abrufen und Aktualisieren von Inhalten
-
Anwendungsfall: Zugriffssteuerung und Authentifizierung
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Ausdrücke zur Identifizierung des Protokolls in einem eingehenden IP-Paket
-
Ausdrücke für HTTP-Statuscodes und numerische HTTP-Nutzlastdaten außer Datumsangaben
-
Operationen für HTTP-, HTML- und XML-Codierung und „Sichere“ Zeichen
-
Ausdrücke zum Auswerten einer DNS-Nachricht und zur Identifizierung ihres Carrier-Protokolls
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für erweiterte Richtlinienausdrücke
-
-
-
-
Verhalten des Content-Length-Headers in einer Rewrite-Richtlinie
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Anwendungsfall: Zugriffskontrolle und Authentifizierung
In Hochsicherheitszonen ist es zwingend erforderlich, den Benutzer extern zu authentifizieren, bevor Clients auf eine Ressource zugreifen. Auf der NetScaler-Appliance können Sie HTTP-Callouts verwenden, um den Benutzer extern zu authentifizieren, indem Sie die bereitgestellten Anmeldeinformationen auswerten. In diesem Beispiel wird davon ausgegangen, dass der Client den Benutzernamen und das Kennwort in der Anfrage über HTTP-Header sendet. Dieselben Informationen könnten jedoch von der URL oder dem HTTP-Body abgerufen werden.
Um diese Konfiguration zu implementieren, müssen Sie die folgenden Aufgaben ausführen:
- Aktivieren Sie die Responder-Funktion auf der NetScaler-Appliance.
- Erstellen Sie ein HTTP-Callout auf der Appliance und konfigurieren Sie es mit Details zum externen Server und anderen erforderlichen Parametern.
- Konfigurieren Sie eine Responder-Richtlinie, um die Antwort zu analysieren, und binden Sie die Richtlinie dann global.
- Erstellen Sie einen Callout-Agenten auf dem Remoteserver.
Responder aktivieren
Die Responder-Funktion muss aktiviert sein, bevor sie auf der NetScaler-Appliance verwendet werden kann.
So aktivieren Sie den Responder mithilfe des Konfigurationsprogramms
- Stellen Sie sicher, dass die Responder-Lizenz installiert ist.
- Erweitern Sie im Konfigurationsprogramm AppExpert, klicken Sie mit der rechten Maustaste auf Responder, und klicken Sie dann auf Responder-Funktion aktivieren.
Erstellen eines HTTP-Callouts auf der NetScaler-Appliance
Erstellen Sie ein HTTP-Callout, HTTP-Callout-3, mit den Parametereinstellungen in der folgenden Tabelle. Weitere Informationen zum Erstellen einer HTTP-Callout finden Sie unter Konfigurieren einer HTTP-Callout.
Tabelle 1. Parameter und Werte für HTTP-Callout-3
Parameter | Wert | Name |
---|---|---|
Name | Policy-Responder-3 |
Parameter
Wert
Name
HTTP-Callout-3
Server für den Empfang einer Callout-Anforderung:
IP-Adresse
10.103.9.95
Port
80
Anfrage zum Senden an den Server:
Methode
GET
Ausdruck des Hosts
10.102.3.95
URL-Stammausdruck
„/cgi-bin/authenticate.pl“
Kopfzeilen:
Name
Anfrage
Werteausdruck
Callout-Anfrage
Parameter:
Name
Benutzername
Werteausdruck
HTTP.REQ.HEADER („Benutzername“) .VALUE (0)
Name
Kennwort
Werteausdruck
HTTP.REQ.HEADER („Kennwort“) .VALUE (0)
Serverantwort:
Art der Rückgabe
TEXT
Ausdruck zum Extrahieren von Daten aus der Antwort
HTTP.RES.BODY(100)
Erstellen einer Responder-Richtlinie zur Analyse der Antwort
Erstellen Sie eine Responder-Richtlinie, Policy-Responder-3, die die Antwort vom Callout-Server überprüft und die Verbindung ZURÜCKSETZT, wenn die Quell-IP-Adresse auf die schwarze Liste gesetzt wurde. Erstellen Sie die Richtlinie mit den in der folgenden Tabelle aufgeführten Parametereinstellungen. Sie können zwar im Unterknoten Richtlinien eine Responder-Richtlinie erstellen und sie dann mithilfe des Responder-Policy-Managers global binden. In dieser Demonstration wird jedoch der Responder-Policy-Manager verwendet, um die Responder-Richtlinie zu erstellen und die Richtlinie global zu binden.
Tabelle 2. Parameter und Werte für Policy-Responder-3
Parameter | Wert |
---|---|
Name | Policy-Responder-3 |
Aktion | RESET |
Aktion mit undefiniertem Ergebnis | -Global undefined-result action- |
Ausdruck | „HTTP.REQ.HEADER (\” Anfrage\“) .EQ (\ “Callout-Anforderung\“) .NOT && SYS.HTTP_CALLOUT (HTTP-Callout-3) .CONTAINS (\ “Authentifizierung fehlgeschlagen\“)“ |
Um eine Responder-Richtlinie zu erstellen und sie global zu binden, verwenden Sie das Konfigurationsdienstprogramm
- Navigieren Sie zu AppExpert > Responder.
- Klicken Sie im Detailbereich unter Policy Managerauf Responder Policy Manager.
- Klicken Sie im Dialogfeld Responder Policy Manager auf OverrideGlobal.
- Klicken Sie auf Richtlinie einfügen, und klicken Sie dann in der Spalte Richtlinienname auf Neue Richtlinie.
-
Gehen Sie im Dialogfeld Responder-Richtlinie erstellen wie folgt vor:
- Geben Sie im Feld Name den Wert Policy-Responder-3 ein.
- Wählen Sie unter Aktion die Option ZURÜCKSETZENaus.
- Wählen Sie unter Aktion mit undefiniertem Ergebnis die Option Globale Aktion mit undefiniertem Ergebnis aus.
- Geben Sie in das Textfeld Ausdruck Folgendes ein:
"HTTP.REQ.HEADER("Request").EQ("Callout Request").NOT && SYS.HTTP_CALLOUT(HTTP-Callout-3).CONTAINS("Authentication Failed")" <!--NeedCopy-->
- Klicken Sie auf Erstellenund dann auf Schließen.
- Klicken Sie auf Änderungen übernehmenund dann auf Schließen.
Einen HTTP Callout-Agenten auf dem Remoteserver erstellen
Sie müssen jetzt einen HTTP-Callout-Agenten auf dem Remote-Callout-Server erstellen. Der HTTP-Callout-Agent empfängt Callout-Anfragen von der NetScaler-Appliance und reagiert entsprechend. Der Callout-Agent ist ein Skript, das für jede Bereitstellung unterschiedlich ist und unter Berücksichtigung der Serverspezifikationen, wie z. B. des Datenbanktyps und der unterstützten Skriptsprache, geschrieben werden muss.
Im Folgenden finden Sie ein Beispiel für einen Callout-Agent-Pseudocode, der überprüft, ob der angegebene Benutzername und das angegebene Kennwort gültig sind. Der Agent kann in jeder Programmiersprache Ihrer Wahl implementiert werden. Der Pseudocode darf nur als Richtlinie für die Entwicklung des Callout-Agenten verwendet werden. Sie können zusätzliche Funktionen in das Programm integrieren.
Um den angegebenen Benutzernamen und das Kennwort mithilfe von Pseudocode zu überprüfen
- Akzeptieren Sie den in der Anfrage angegebenen Benutzernamen und das Kennwort und formatieren Sie sie entsprechend.
- Stellen Sie eine Verbindung zu der Datenbank her, die alle gültigen Benutzernamen und Kennwörter enthält.
- Überprüfen Sie die angegebenen Anmeldeinformationen anhand Ihrer Datenbank.
- Formatieren Sie die Antwort so, wie es der HTTP-Callout erfordert.
- Senden Sie die Antwort an die NetScaler Appliance.
Teilen
Teilen
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.