Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
Viele Unternehmen beschränken den Website-Zugriff nur auf gültige Benutzer und kontrollieren die für jeden Benutzer zulässige Zugriffsebene. Die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion ermöglicht es einem Standortadministrator, Zugriffskontrollen mit der Citrix ADC Appliance zu verwalten, anstatt diese Steuerelemente für jede Anwendung separat zu verwalten. Die Authentifizierung auf der Appliance ermöglicht auch die Weitergabe dieser Informationen auf allen Websites innerhalb derselben Domäne, die durch die Appliance geschützt sind.
Um Authentifizierung, Autorisierung und Überwachung zu verwenden, müssen Sie virtuelle Authentifizierungsserver so konfigurieren, dass sie den Authentifizierungsprozess und die virtuelle Datenverkehrsverwaltung verarbeiten, um den Datenverkehr zu Webanwendungen zu verarbeiten, die eine Authentifizierung erfordern. Sie konfigurieren Ihr DNS auch so, dass jedem virtuellen Server FQDNs zugewiesen werden. Nach der Konfiguration der virtuellen Server konfigurieren Sie für jeden Benutzer, der sich über die Citrix ADC Appliance authentifiziert, ein Benutzerkonto. Optional erstellen Sie Gruppen und weisen Benutzerkonten Gruppen zu. Nach dem Erstellen von Benutzerkonten und Gruppen konfigurieren Sie Richtlinien, die der Appliance mitteilen, wie Benutzer authentifiziert werden, auf welche Ressourcen Benutzer zugreifen können und wie Benutzersitzungen protokolliert werden. Um die Richtlinien in Kraft zu setzen, binden Sie jede Richtlinie global, an einen bestimmten virtuellen Server oder an die entsprechenden Benutzerkonten oder -gruppen. Nachdem Sie Ihre Richtlinien konfiguriert haben, passen Sie Benutzersitzungen an, indem Sie Sitzungseinstellungen konfigurieren und Ihre Sitzungsrichtlinien an den virtuellen Server für die Datenverkehrsverwaltung binden. Wenn Ihr Intranet Clientzertifikate verwendet, richten Sie schließlich die Clientzertifikatkonfiguration ein.
Um zu verstehen, wie Authentifizierung, Autorisierung und Auditing in einer verteilten Umgebung funktioniert, sollten Sie eine Organisation mit einem Intranet berücksichtigen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Der Inhalt im Intranet ist vertraulich und erfordert einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, führt der ADC folgende Schritte aus:
- Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
-
Sammelt die Anmeldeinformationen des Benutzers, liefert sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis im Cache, auf das über das Lightweight Directory Access Protocol (LDAP) zugegriffen werden kann. Weitere Informationen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.
- Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
- Behält ein Sitzungszeitlimit bei, nach dem sich Benutzer erneut authentifizieren müssen, um den Zugriff auf das Intranet wiederherzustellen. (Sie können das Timeout konfigurieren.)
- Protokolliert die Zugriffsberechtigung des Benutzers, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.
Unterstützte Authentifizierungsarten
- Lokal
- LDAP
- RADIUS
- SAML
- TACACS+
- Clientzertifikatauthentifizierung (einschließlich Smartcard-Authentifizierung)
- Web-Site
- Fortgeschrittene Authentifizierung
- Formularbasierte Authentifizierung
- 401-basierte Authentifizierung
- Natives OTP
- Push-Benachrichtigung
- E-Mail OTP
- reCAPTCHA
Citrix Gateway unterstützt auch RSA SecurID, Gemalto Protiva und SafeWord. Sie verwenden einen RADIUS-Server, um diese Authentifizierungstypen zu konfigurieren.
Bevor Sie Authentifizierung, Autorisierung und Auditing konfigurieren, müssen Sie mit der Konfiguration von Load Balancing, Content Switching und SSL auf der Citrix ADC Appliance vertraut sein.
Authentifizierung ohne Autorisierung
Die Autorisierung gibt die Netzwerkressourcen an, auf die Benutzer Zugriff haben, wenn sie sich bei der Appliance anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können.
Sie konfigurieren die Autorisierung auf der Appliance mithilfe einer Autorisierungsrichtlinie und Ausdrücke. Nachdem Sie eine Autorisierungsrichtlinie erstellt haben, können Sie sie an die Benutzer oder Gruppen binden, die Sie auf der Appliance konfiguriert haben.
Sie können die Appliance so konfigurieren, dass sie nur die Authentifizierung ohne Autorisierung verwendet. Wenn Sie die Authentifizierung ohne Autorisierung konfigurieren, führt die Appliance keine Gruppenautorisierungsprüfung durch. Die Richtlinien, die Sie für den Benutzer oder die Gruppe konfigurieren, werden dem Benutzer zugewiesen.
Aktivieren von Authentifizierung, Autorisierung und Überwachung
Um die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion verwenden zu können, müssen Sie sie aktivieren. Sie können Authentifizierungs-, Autorisierungs- und Auditing-Entitäten wie die virtuellen Server für Authentifizierung und Verkehrsmanagement konfigurieren, bevor Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion aktivieren, aber die Entitäten funktionieren erst, wenn die Funktion aktiviert ist.
So aktivieren Sie Authentifizierung, Autorisierung und Auditing mit der CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um Authentifizierung, Autorisierung und Überwachung zu aktivieren und die Konfiguration zu überprüfen:
enable ns feature AAA
<!--NeedCopy-->
So aktivieren Sie Authentifizierung, Autorisierung und Auditing mit der GUI
- Navigieren Sie zu System > Einstellungen.
- Klicken Sie im Detailbereich unter Modi und Featuresauf Grundfunktionen ändern.
- Aktivieren Sie im Dialogfeld Grundfunktionen konfigurieren das Kontrollkästchen Authentifizierung, Autorisierung und Überwachung.
- Klicken Sie auf OK.
Deaktivieren der Authentifizierung
Wenn Ihre Bereitstellung keine Authentifizierung erfordert, können Sie sie deaktivieren. Sie können die Authentifizierung für jeden virtuellen Server deaktivieren, für den keine Authentifizierung erforderlich ist.
Wichtig:
Wichtig: Citrix empfiehlt, die Authentifizierung mit Vorsicht zu deaktivieren. Wenn Sie keinen externen Authentifizierungsserver verwenden, erstellen Sie lokale Benutzer und Gruppen, damit die Appliance Benutzer authentifizieren kann. Die Deaktivierung der Authentifizierung stoppt die Verwendung von Authentifizierungs-, Autorisierungs- und Buchhaltungsfunktionen, die Verbindungen mit der Appliance steuern und überwachen. Wenn Benutzer eine Webadresse eingeben, um eine Verbindung mit der Appliance herzustellen, wird die Anmeldeseite nicht angezeigt.
So deaktivieren Sie die Authentifizierung
- Navigieren Sie zu Konfiguration > Citrix Gateway > Virtuelle Server.
- Klicken Sie im Detailbereich auf einen virtuellen Server und dann auf Öffnen.
- Deaktivieren Sie auf der Seite Grundeinstellungen das Kontrollkästchen Authentifizierung aktivieren.