ADC

Authentifizierung aushandeln

Wie bei anderen Arten von Authentifizierungsrichtlinien besteht eine Negotiate-Authentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie.

Zusätzlich zu den Standardauthentifizierungsfunktionen kann der Befehl Negotiate Action jetzt Benutzerinformationen aus einer Keytab-Datei extrahieren, anstatt dass Sie diese Informationen manuell eingeben müssen. Wenn ein Keytab mehr als einen SPN hat, wählen Authentifizierung, Autorisierung und Überwachung den richtigen SPN aus. Sie können diese Funktion über die Befehlszeile oder mithilfe des Konfigurationsprogramms konfigurieren.

Hinweis

Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits mit dem LDAP-Protokoll vertraut sind und Ihren ausgewählten LDAP-Authentifizierungsserver bereits konfiguriert haben.

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung zum Extrahieren von Benutzerinformationen aus einer Keytab-Datei mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile den entsprechenden Befehl ein:

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • Name — Name der Verhandlungsaktion, die verwendet werden soll.
  • domain — Domänenname des Serviceprinzips, der NetScaler darstellt.
  • DomainUser — Der Benutzername des Kontos, das dem NetScaler-Prinzip zugeordnet ist. Dies kann zusammen mit Domain und Passwort angegeben werden, wenn die Keytab-Datei nicht verfügbar ist. Wenn der Benutzername zusammen mit der Keytab-Datei angegeben wird, wird diese Keytab-Datei nach den Anmeldeinformationen dieses Benutzers durchsucht. Maximale Länge: 127
  • domainUserPasswd — Passwort des Kontos, das dem NetScaler-Prinzip zugeordnet ist.
  • DefaultAuthenticationGroup — Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung erfolgreich ist, zusätzlich zu den extrahierten Gruppen. Maximale Länge: 63
  • keytab — Der Pfad zur Keytab-Datei, die zum Entschlüsseln von Kerberos-Tickets verwendet wird, die NetScaler präsentiert werden. Wenn Keytab nicht verfügbar ist, können Domäne/Benutzername/Passwort in der Konfiguration der Verhandlungsaktion angegeben werden. Maximale Länge: 127
  • ntlmPath — Der Pfad zu der Site, die für die NTLM-Authentifizierung aktiviert ist, einschließlich des FQDN des Servers. Dies wird verwendet, wenn Clients auf NTLM zurückgreifen. Maximale Länge: 127

So konfigurieren Sie Authentifizierung, Autorisierung und Überwachung zum Extrahieren von Benutzerinformationen aus einer Keytab-Datei mithilfe des Konfigurationsprogramms

Hinweis

Im Konfigurationsdienstprogramm wird der Begriff Server anstelle von Aktion verwendet, bezieht sich jedoch auf dieselbe Aufgabe.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Authentifizierung > Erweiterte Richtlinien > Aktionen > NEGOTIE-Aktionen.
  2. Führen Sie im Detailbereich auf der Registerkarte Server einen der folgenden Schritte aus:

    • Wenn Sie eine neue Verhandlungsaktion erstellen möchten, klicken Sie auf Hinzufügen.
    • Wenn Sie eine bestehende Negotiate-Aktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann auf Bearbeiten.
  3. Wenn Sie eine neue **Negotiate-Aktion** erstellen, geben Sie im Textfeld Name einen Namen für Ihre neue Aktion ein. Der Name kann ein bis 127 Zeichen lang sein und aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrichen (-) und Unterstrichen (_) bestehen. Wenn Sie eine bestehende Negotiate-Aktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt; Sie können ihn nicht ändern.
  4. Falls das Kontrollkästchen Keytab-Datei verwenden unter Negotiatenoch nicht aktiviert ist, aktivieren Sie es.
  5. Geben Sie in das Textfeld Keytab-Dateipfad den vollständigen Pfad und den Dateinamen der Keytab-Datei ein, die Sie verwenden möchten.
  6. Geben Sie in das Textfeld Standardauthentifizierungsgruppe die Authentifizierungsgruppe ein, die Sie als Standard für diesen Benutzer festlegen möchten.
  7. Klicken Sie auf Erstellen oder OK, um Ihre Änderungen zu speichern.

Hinweise, die bei der Verwendung erweiterter Verschlüsselungen für die Kerberos-Authentifizierung zu beachten sind

  • Beispielkonfiguration bei Verwendung von Keytab: Authentifizierung hinzufügen NegotiateAction neg_act_aes256 -keytab „/nsconfig/krb/lbvs_aes256.keytab“
  • Verwenden Sie den folgenden Befehl, wenn keytab über mehrere Verschlüsselungstypen verfügt. Der Befehl erfasst zusätzlich Domänenbenutzerparameter: add authentication negotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -domainUser “HTTP/lbvs.aaa.local”
  • Verwenden Sie die folgenden Befehle, wenn Benutzeranmeldeinformationen verwendet werden: add authentication negotiateAction neg_act_user -domain AAA.LOCAL -domainUser “HTTP/lbvs.aaa.local” -domainUserPasswd <password>
  • Stellen Sie sicher, dass die richtigen domainUser-Informationen bereitgestellt werden. Sie können in AD nach dem Benutzeranmeldenamen suchen.