Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen
Danke für das Feedback

Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)

  Auf Englisch anzeigen

Authentifizierung aushandeln

May 11, 2023
Beitrag von: 
C

Wie bei anderen Arten von Authentifizierungsrichtlinien besteht eine Negotiate-Authentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie.

Zusätzlich zu den Standardauthentifizierungsfunktionen kann der Befehl Negotiate Action jetzt Benutzerinformationen aus einer Keytab-Datei extrahieren, anstatt dass Sie diese Informationen manuell eingeben müssen. Wenn ein Keytab mehr als einen SPN hat, wählen Authentifizierung, Autorisierung und Überwachung den richtigen SPN aus. Sie können diese Funktion über die Befehlszeile oder mithilfe des Konfigurationsprogramms konfigurieren.

Hinweis

Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits mit dem LDAP-Protokoll vertraut sind und Ihren ausgewählten LDAP-Authentifizierungsserver bereits konfiguriert haben.

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung zum Extrahieren von Benutzerinformationen aus einer Keytab-Datei mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile den entsprechenden Befehl ein:

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

Parameter description

  • Name — Name der Verhandlungsaktion, die verwendet werden soll.
  • domain — Domänenname des Serviceprinzips, der NetScaler darstellt.
  • DomainUser — Der Benutzername des Kontos, das dem NetScaler-Prinzip zugeordnet ist. Dies kann zusammen mit Domain und Passwort angegeben werden, wenn die Keytab-Datei nicht verfügbar ist. Wenn der Benutzername zusammen mit der Keytab-Datei angegeben wird, wird diese Keytab-Datei nach den Anmeldeinformationen dieses Benutzers durchsucht. Maximale Länge: 127
  • domainUserPasswd — Passwort des Kontos, das dem NetScaler-Prinzip zugeordnet ist.
  • DefaultAuthenticationGroup — Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist, zusätzlich zu den extrahierten Gruppen. Maximale Länge: 63
  • keytab — Der Pfad zur Keytab-Datei, die zum Entschlüsseln von Kerberos-Tickets verwendet wird, die NetScaler präsentiert werden. Wenn Keytab nicht verfügbar ist, können Domäne/Benutzername/Passwort in der Konfiguration der Verhandlungsaktion angegeben werden. Maximale Länge: 127
  • ntlmPath — Der Pfad zu der Site, die für die NTLM-Authentifizierung aktiviert ist, einschließlich des FQDN des Servers. Dies wird verwendet, wenn Clients auf NTLM zurückgreifen. Maximale Länge: 127

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung zum Extrahieren von Benutzerinformationen aus einer Keytab-Datei mithilfe des Konfigurationsprogramms

Hinweis

Im Konfigurationsdienstprogramm wird der Begriff Server anstelle von Aktion verwendet, bezieht sich jedoch auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Authentifizierung > Erweiterte Richtlinien > Aktionen > NEGOTIE-Aktionen.

  2. Führen Sie im Detailbereich auf der Registerkarte Server einen der folgenden Schritte aus:

    • Wenn Sie eine neue Verhandlungsaktion erstellen möchten, klicken Sie auf Hinzufügen.
    • Wenn Sie eine bestehende Negotiate-Aktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann auf Bearbeiten.
  3. Wenn Sie eine neue **Negotiate-Aktion** erstellen, geben Sie im Textfeld Name einen Namen für Ihre neue Aktion ein. Der Name kann ein bis 127 Zeichen lang sein und aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrichen (-) und Unterstrichen (_) bestehen. Wenn Sie eine bestehende Negotiate-Aktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt; Sie können ihn nicht ändern.
  4. Falls das Kontrollkästchen Keytab-Datei verwenden unter Negotiatenoch nicht aktiviert ist, aktivieren Sie es.
  5. Geben Sie in das Textfeld Keytab-Dateipfad den vollständigen Pfad und den Dateinamen der Keytab-Datei ein, die Sie verwenden möchten.
  6. Geben Sie in das Textfeld Standardauthentifizierungsgruppe die Authentifizierungsgruppe ein, die Sie als Standard für diesen Benutzer festlegen möchten.
  7. Klicken Sie auf Erstellen oder OK, um Ihre Änderungen zu speichern.

Hinweise, die bei der Verwendung erweiterter Verschlüsselungen für die Kerberos-Authentifizierung zu beachten sind

  • Beispielkonfiguration bei Verwendung von Keytab: Authentifizierung hinzufügen NegotiateAction neg_act_aes256 -keytab „/nsconfig/krb/lbvs_aes256.keytab“
  • Verwenden Sie den folgenden Befehl, wenn keytab über mehrere Verschlüsselungstypen verfügt. Der Befehl erfasst zusätzlich Domänenbenutzerparameter: add authentication negotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
  • Verwenden Sie die folgenden Befehle, wenn Benutzeranmeldeinformationen verwendet werden: add authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “HTTP/lbvs.aaa.local” -domainUserPasswd <password>
  • Stellen Sie sicher, dass die richtigen domainUser-Informationen bereitgestellt werden. Sie können in AD nach dem Benutzeranmeldenamen suchen.
Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.
Authentifizierung aushandeln
May 11, 2023
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.