Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
Viele Unternehmen beschränken den Website-Zugriff nur auf gültige Benutzer und kontrollieren die Zugriffsebene, die jedem Benutzer gestattet ist. Die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion ermöglicht es einem Site-Administrator, Zugriffskontrollen mit der NetScaler-Appliance zu verwalten, anstatt diese Steuerelemente für jede Anwendung separat zu verwalten. Durch die Authentifizierung auf der Appliance können diese Informationen auch über alle Websites innerhalb derselben Domäne weitergegeben werden, die von der Appliance geschützt sind.
Um Authentifizierung, Autorisierung und Überwachung zu verwenden, müssen Sie virtuelle Authentifizierungsserver für die Verarbeitung des Authentifizierungsprozesses und virtuelle Server für das Verkehrsmanagement konfigurieren, um den Datenverkehr zu Webanwendungen zu verarbeiten, die eine Authentifizierung erfordern. Sie konfigurieren Ihr DNS auch so, dass es jedem virtuellen Server FQDNs zuweist. Nach dem Konfigurieren der virtuellen Server konfigurieren Sie ein Benutzerkonto für jeden Benutzer, der sich über die NetScaler-Appliance authentifiziert, und optional erstellen Sie Gruppen und weisen Benutzerkonten Gruppen zu. Nachdem Sie Benutzerkonten und Gruppen erstellt haben, konfigurieren Sie Richtlinien, die der Appliance mitteilen, wie Benutzer authentifiziert werden sollen, auf welche Ressourcen Benutzer zugreifen können und wie Benutzersitzungen protokolliert werden. Um die Richtlinien in Kraft zu setzen, binden Sie jede Richtlinie global, an einen bestimmten virtuellen Server oder an die entsprechenden Benutzerkonten oder Gruppen. Nachdem Sie Ihre Richtlinien konfiguriert haben, passen Sie Benutzersitzungen an, indem Sie Sitzungseinstellungen konfigurieren und Ihre Sitzungsrichtlinien an den virtuellen Server für die Verkehrsverwaltung binden. Wenn Ihr Intranet Clientzertifikate verwendet, richten Sie schließlich die Konfiguration des Clientzertifikats ein.
Um zu verstehen, wie Authentifizierung, Autorisierung und Auditierung in einer verteilten Umgebung funktionieren, sollten Sie eine Organisation mit einem Intranet in Betracht ziehen, auf das ihre Mitarbeiter im Büro, zu Hause und auf Reisen zugreifen. Die Inhalte im Intranet sind vertraulich und erfordern einen sicheren Zugriff. Jeder Benutzer, der auf das Intranet zugreifen möchte, muss über einen gültigen Benutzernamen und ein gültiges Kennwort verfügen. Um diese Anforderungen zu erfüllen, tut der ADC Folgendes:
- Leitet den Benutzer auf die Anmeldeseite um, wenn der Benutzer auf das Intranet zugreift, ohne sich angemeldet zu haben.
-
Sammelt die Anmeldeinformationen des Benutzers, liefert sie an den Authentifizierungsserver und speichert sie in einem Verzeichnis im Cache, auf das über das Lightweight Directory Access Protocol (LDAP) zugegriffen werden kann. Weitere Informationen finden Sie unter Bestimmen von Attributen in Ihrem LDAP-Verzeichnis.
- Überprüft, ob der Benutzer berechtigt ist, auf bestimmte Intranetinhalte zuzugreifen, bevor er die Anforderung des Benutzers an den Anwendungsserver übermittelt.
- Behält ein Sitzungstimeout bei, nach dem sich Benutzer erneut authentifizieren müssen, um wieder auf das Intranet zugreifen zu können. (Sie können das Timeout konfigurieren.)
- Protokolliert die Benutzerzugriffe, einschließlich ungültiger Anmeldeversuche, in einem Überwachungsprotokoll.
Unterstützte Authentifizierungsarten
- Lokal
- LDAP
- RADIUS
- SAML
- TACACS+
- Clientzertifikatauthentifizierung (einschließlich Smartcard-Authentifizierung)
- Web-Site
- Erweiterte Authentifizierung
- Formularbasierte Authentifizierung
- 401-basierte Authentifizierung
- Natives OTP
- Push Benachrichtigung
- E-Mail OTP
- reCaptcha
NetScaler Gateway unterstützt auch RSA SecurID, Gemalto Protiva und SafeWord. Sie verwenden einen RADIUS-Server, um diese Authentifizierungstypen zu konfigurieren.
Bevor Sie Authentifizierung, Autorisierung und Überwachung konfigurieren, müssen Sie mit dem Konfigurieren von Lastenausgleich, Content Switching und SSL auf der NetScaler-Appliance vertraut sein und verstehen.
Authentifizierung ohne Autorisierung
Die Autorisierung gibt die Netzwerkressourcen an, auf die Benutzer Zugriff haben, wenn sie sich an der Appliance anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können.
Sie konfigurieren die Autorisierung auf der Appliance mithilfe einer Autorisierungsrichtlinie und Ausdrücken. Nachdem Sie eine Autorisierungsrichtlinie erstellt haben, können Sie sie an die Benutzer oder Gruppen binden, die Sie auf der Appliance konfiguriert haben.
Sie können die Appliance so konfigurieren, dass sie nur Authentifizierung ohne Autorisierung verwendet. Wenn Sie die Authentifizierung ohne Autorisierung konfigurieren, führt die Appliance keine Gruppenautorisierungsprüfung durch. Die Richtlinien, die Sie für den Benutzer oder die Gruppe konfigurieren, werden dem Benutzer zugewiesen.
Authentifizierung, Autorisierung und Auditing aktivieren
Um die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion verwenden zu können, müssen Sie sie aktivieren. Sie können Authentifizierungs-, Autorisierungs- und Überwachungseinheiten — wie die virtuellen Authentifizierungs- und Verkehrsmanagementserver — konfigurieren, bevor Sie die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion aktivieren, aber die Entitäten funktionieren erst, wenn die Funktion aktiviert ist.
So aktivieren Sie Authentifizierung, Autorisierung und Überwachung über die CLI
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um Authentifizierung, Autorisierung und Überwachung zu aktivieren und die Konfiguration zu überprüfen:
enable ns feature AAA
<!--NeedCopy-->
So aktivieren Sie Authentifizierung, Autorisierung und Überwachung über die GUI
- Navigieren Sie zu System > Einstellungen.
- Klicken Sie im Detailbereich unter Modi und Funktionenauf Grundfunktionen ändern.
- Aktivieren Sie im Dialogfeld Grundfunktionen konfigurieren das Kontrollkästchen Authentifizierung, Autorisierung und Überwachung.
- Klicken Sie auf OK.
Authentifizierung deaktivieren
Wenn für Ihre Bereitstellung keine Authentifizierung erforderlich ist, können Sie sie deaktivieren. Sie können die Authentifizierung für jeden virtuellen Server deaktivieren, für den keine Authentifizierung erforderlich ist.
Wichtig:
Wichtig: Citrix empfiehlt, die Authentifizierung mit Vorsicht zu deaktivieren. Wenn Sie keinen externen Authentifizierungsserver verwenden, erstellen Sie lokale Benutzer und Gruppen, damit die Appliance Benutzer authentifizieren kann. Durch das Deaktivieren der Authentifizierung wird die Verwendung von Authentifizierungs-, Autorisierungs- und Buchhaltungsfunktionen gestoppt, die Verbindungen zur Appliance steuern und überwachen. Wenn Benutzer eine Webadresse eingeben, um eine Verbindung zur Appliance herzustellen, wird die Anmeldeseite nicht angezeigt.
Deaktivieren der Authentifizierung
- Navigieren Sie zu Konfiguration > NetScaler Gateway > Virtuelle Server.
- Klicken Sie im Detailbereich auf einen virtuellen Server und dann auf Öffnen.
- Deaktivieren Sie auf der Seite Grundeinstellungen das Kontrollkästchen Authentifizierung aktivieren .