Web-Authentifizierung
Authentifizierung, Autorisierung und Überwachung ist nun in der Lage, einen Benutzer bei einem Webserver zu authentifizieren, indem er die Anmeldeinformationen bereitstellt, die der Webserver in einer HTTP-Anforderung benötigt, und die Antwort des Webservers analysieren, um festzustellen, dass die Benutzerauthentifizierung erfolgreich war. Wie bei anderen Arten von Authentifizierungsrichtlinien besteht eine Webauthentifizierungsrichtlinie aus einem Ausdruck und einer Aktion. Nachdem Sie eine Authentifizierungsrichtlinie erstellt haben, binden Sie sie an einen virtuellen Authentifizierungsserver und weisen ihm eine Priorität zu. Wenn Sie es binden, bezeichnen Sie es auch als primäre oder sekundäre Richtlinie.
Um die webbasierte Authentifizierung mit einem bestimmten Webserver einzurichten, erstellen Sie zunächst eine Webauthentifizierungsaktion. Da bei der Authentifizierung bei Webservern kein starres Format verwendet wird, müssen Sie beim Erstellen der Aktion genau angeben, welche Informationen der Webserver benötigt und in welchem Format. Zu diesem Zweck erstellen Sie einen Ausdruck in der NetScaler-Appliance Advanced-Richtlinie, der die folgenden Elemente enthält:
- Server-IP— Die IP-Adresse des Authentifizierungs-Webservers.
- Serverport— Der Port des Authentifizierungs-Webservers.
- Authentifizierungsregel— Ein Ausdruck in der NetScaler-Appliance Advanced-Richtlinie, der die Anmeldeinformationen des Benutzers in dem vom Webserver erwarteten Format enthält.
- Schema—HTTP (für unverschlüsselte Webauthentifizierung) oder HTTPS (für verschlüsselte Webauthentifizierung).
- Erfolgsregel— Ein Ausdruck in der NetScaler-Appliance Advanced-Richtlinie, der der Webserver-Antwortzeichenfolge entspricht, die angibt, dass sich der Benutzer erfolgreich authentifiziert
Befolgen Sie für alle anderen Parameter die normalen Regeln für den Befehl zum Hinzufügen der Authentifizierung.
Als Nächstes erstellen Sie eine Richtlinie, die mit dieser Aktion verknüpft ist. Die Richtlinie ähnelt einer LDAP-Richtlinie und verwendet wie LDAP-Richtlinien die NetScaler-Appliance-Syntax.
Hinweis
Bei diesen Anweisungen wird davon ausgegangen, dass Sie bereits mit den Authentifizierungsanforderungen der Webserver vertraut sind, bei denen Sie sich authentifizieren möchten, und den Webauthentifizierungsserver bereits konfiguriert haben.
So konfigurieren Sie eine Webauthentifizierungsaktion über die Befehlszeile
Um eine Webauthentifizierungsaktion an der Befehlszeile zu erstellen, geben Sie an der Befehlszeile den folgenden Befehl ein:
add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->
Beispiel
add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"
add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"
add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->
So konfigurieren Sie eine Webauthentifizierungsaktion mithilfe des Konfigurationsprogramms
Hinweis
Im Konfigurationsdienstprogramm wird der Begriff Server anstelle von Aktion verwendet, bezieht sich jedoch auf dieselbe Aufgabe.
- Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > LDAP.
-
Führen Sie im Detailbereich auf der Registerkarte Server einen der folgenden Schritte aus:
- Wenn Sie eine neue Webauthentifizierungsaktion erstellen möchten, klicken Sie auf Hinzufügen.
- Wenn Sie eine vorhandene Webauthentifizierungsaktion ändern möchten, wählen Sie im Datenbereich die Aktion aus, und klicken Sie dann auf Bearbeiten.
- Wenn Sie eine neue Webauthentifizierungsaktion erstellen, geben Sie im Dialogfeld Authentifizierungs-Webserver erstellen im Textfeld Name einen Namen für die neue Webauthentifizierungsaktion ein. Der Name kann ein bis 127 Zeichen lang sein und aus Groß- und Kleinbuchstaben, Zahlen sowie Bindestrich (-) und Unterstrichen (_) bestehen. Wenn Sie eine bestehende Webauthentifizierungsaktion ändern, überspringen Sie diesen Schritt. Der Name ist schreibgeschützt; Sie können ihn nicht ändern.</span>
- Geben Sie im Textfeld Webserver-IP-Adresse die IPv4- oder IPv6-IP-Adresse des Authentifizierungs-Webservers ein. Handelt es sich bei der Adresse um eine IPv6-IP-Adresse, aktivieren Sie zuerst das Kontrollkästchen IPv6.
- Geben Sie im Textfeld Port die Portnummer ein, auf der der Webserver Verbindungen akzeptiert.
- Wählen Sie in der Dropdownliste Protokoll die Option HTTP oder HTTPS aus.
- Geben Sie im Textbereich HTTP-Request-Ausdruck einen regulären Ausdruck im PCRE-Format ein, der die Webserver-Anforderung erstellt, die die Anmeldeinformationen des Benutzers in dem vom Authentifizierungs-Webserver erwarteten Format enthält.
- Geben Sie im Textbereich Ausdruck zur Überprüfung des Textbereichs Authentifizierung einen erweiterten Richtlinienausdruck der NetScaler-Appliance ein, der die Informationen in der Webserverantwortung beschreibt, die darauf hinweisen, dass die Benutzerauthentifizierung erfolgreich war.
- Füllen Sie die verbleibenden Felder aus, wie in der Dokumentation zur allgemeinen Authentifizierungsaktion beschrieben.
- Klicken Sie auf OK.