TACACS-Authentifizierung
Die TACACS-Authentifizierungsrichtlinie authentifiziert sich bei einem externen Terminal Access Controller Access-Control System (TACACS) -Authentifizierungsserver. Nachdem sich ein Benutzer bei einem TACACS-Server authentifiziert hat, stellt der NetScaler für alle nachfolgenden Autorisierungen eine Verbindung zu demselben TACACS-Server her. Wenn ein primärer TACACS-Server nicht verfügbar ist, verhindert diese Funktion jegliche Verzögerung, während der ADC auf das Timeout des ersten TACACS-Servers wartet. Dies geschieht, bevor die Autorisierungsanfrage erneut an den zweiten TACACS-Server gesendet wird.
Hinweis:
Der TACACS-Autorisierungsserver unterstützt keine Befehle, deren Zeichenkettenlänge 255 Zeichen überschreitet.
Problemumgehung: Verwenden Sie die lokale Autorisierung anstelle eines TACACS-Autorisierungsservers.
Bei der Authentifizierung über einen TACACS-Server werden in den Protokollen zur Authentifizierung, Autorisierung und Überwachung des Verkehrsmanagements nur TACACS-Befehle erfolgreich ausgeführt. Es verhindert, dass in den Protokollen TACACS-Befehle angezeigt werden, die von Benutzern eingegeben wurden, die nicht autorisiert waren, sie auszuführen.
Ab NetScaler 12.0 Build 57.x blockiert das Terminal Access Controller Access-Control System (TACACS) beim Senden der TACACS-Anfrage nicht den Authentifizierungs-, Autorisierungs- und Überwachungsdaemon. Sie ermöglichen die LDAP- und RADIUS-Authentifizierung, um mit der Anfrage fortzufahren. Die TACACS-Authentifizierungsanfrage wird fortgesetzt, sobald der TACACS-Server die TACACS-Anfrage bestätigt hat.
Wichtig:
Citrix empfiehlt, keine TACACS-bezogenen Konfigurationen zu ändern, wenn Sie einen Befehl “clear ns config” ausführen.
TACACS-bezogene Konfigurationen, die sich auf erweiterte Richtlinien beziehen, werden gelöscht und erneut angewendet, wenn der Parameter „rbaConfig“ im Befehl „clear ns config“ für erweiterte Richtlinien auf NO gesetzt ist.
Unterstützung von Name-Wert-Attributen für die TACACS-Authentifizierung
Sie können jetzt TACACS-Authentifizierungsattribute mit einem eindeutigen Namen zusammen mit Werten konfigurieren. Die Namen werden im TACACS-Aktionsparameter konfiguriert und die Werte werden durch Abfragen der Namen abgerufen. Durch Angabe des Attributwerts für den Namen können Administratoren einfach nach dem Attributwert suchen, der dem Attributnamen zugeordnet ist. Außerdem müssen sich Administratoren das Attribut nicht mehr nur anhand seines Wertes merken.
Wichtig
- Im Befehl tacacsAction können Sie maximal 64 durch Kommas getrennte Attribute mit einer Gesamtgröße von weniger als 2048 Byte konfigurieren.
So konfigurieren Sie die Name-Wert-Attribute mit der CLI
Geben Sie in der Befehlszeile Folgendes ein:
add authentication tacacsAction <name> [-Attributes <string>]
<!--NeedCopy-->
Beispiel:
add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”
<!--NeedCopy-->
So fügen Sie mithilfe der Befehlszeilenschnittstelle eine Authentifizierungsaktion hinzu
Wenn Sie die LOCAL-Authentifizierung nicht verwenden, müssen Sie eine explizite Authentifizierungsaktion hinzufügen. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Beispiel
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->
So konfigurieren Sie eine Authentifizierungsaktion mithilfe der Befehlszeilenschnittstelle
Um eine vorhandene Authentifizierungsaktion zu konfigurieren, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Beispiel
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
<!--NeedCopy-->
So entfernen Sie eine Authentifizierungsaktion mithilfe der Befehlszeilenschnittstelle
Um eine vorhandene RADIUS-Aktion zu entfernen, geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
rm authentication radiusAction <name>
<!--NeedCopy-->
Beispiel
rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->