Citrix SD-WAN

Administrative Schnittstelle

Sie können Ihre Citrix SD-WAN-Appliances mit den folgenden Verwaltungsoptionen über Citrix SD-WAN Orchestrator Service verwalten und warten. Weitere Informationen finden Sie unter Appliance-Einstellungen.

  • Benutzerkonten
  • RADIUS-Server
  • TACACS+ Server
  • HTTPS Cert
  • HTTPS-Einstellungen
  • Sonstiges

Benutzerkonten

Sie können neue Benutzerkonten hinzufügen und die vorhandenen Benutzerkonten verwalten unter Konfiguration > Appliance-Einstellungen > Seite Administratorschnittstelle > Registerkarte Benutzerkonten.

Sie können die neu hinzugefügten Benutzerkonten entweder lokal von der SD-WAN-Appliance oder remote authentifizieren. Benutzerkonten, die remote authentifiziert werden, werden über RADIUS- oder TACACS+-Authentifizierungsserver authentifiziert.

User-Rollen

Die folgenden Benutzerrollen werden unterstützt:

  • Viewer: Viewer-Konto ist ein schreibgeschütztes Konto mit Zugriff auf Dashboard, Reporting und Monitoring-Seiten.

  • Admin: Das Admin-Konto verfügt über die Administratorrechte und den Lese-/Schreibzugriff auf alle Abschnitte.

    Ein Superadministrator (admin) hat die folgenden Berechtigungen:

    • Kann die Konfiguration in den Posteingang zur Änderungsverwaltung exportieren, um eine Konfiguration und ein Softwareupdate im Netzwerk durchzuführen.
    • Kann auch den Lese-/Schreibzugriff der Netzwerk- und Sicherheits-Admins umschalten.
    • Behält sowohl Netzwerk- als auch sicherheitsbezogene Einstellungen bei.
  • Sicherheitsadministrator: Ein Sicherheitsadministrator hat Lese-/Schreibzugriff nur für die Firewall und sicherheitsbezogene Einstellungen, während er schreibgeschützten Zugriff auf die verbleibenden Abschnitte hat. Der Sicherheitsadministrator hat auch die Möglichkeit, den Schreibzugriff auf die Firewall für andere Benutzer außer dem Superadministrator (Admin) zu aktivieren oder zu deaktivieren.

  • Netzwerkadministrator: Ein Netzwerkadministrator verfügt über Lese- und Schreibberechtigungen für alle Abschnitte und kann eine Zweigstelle mit Ausnahme der Firewall- und sicherheitsbezogenen Einstellungen vollständig bereitstellen. Der gehostete Firewallknoten ist für den Netzwerkadministrator nicht verfügbar. In diesem Fall muss der Netzwerkadministrator eine neue Konfiguration importieren.

Sowohl der Netzwerkadministrator als auch der Sicherheitsadministrator können Änderungen an der Konfiguration vornehmen und diese auch im Netzwerk bereitstellen.

HINWEIS

Der Netzwerkadministrator und Sicherheitsadministrator können keine Benutzerkonten hinzufügen oder löschen. Sie können nur die Kennwörter ihrer eigenen Konten bearbeiten.

Benutzereinstellungen

Benutzer hinzufügen

Um einen Benutzer hinzuzufügen, klicken Sie im Abschnitt Benutzerverwalten auf Benutzerhinzufügen. Geben Sie den Benutzernamen und das Kennwort ein. Wählen Sie die Benutzerrolle aus der Dropdownliste Benutzerebene aus und klicken Sie auf Übernehmen.

Sie können bei Bedarf auch ein Benutzerkonto löschen. Durch das Löschen eines Benutzers werden auch die lokalen Dateien gelöscht, die diesem Benutzer gehören. Um zu löschen, wählen Sie im Abschnitt Benutzer verwalten den Benutzer aus der Dropdownliste Benutzername aus und klicken Sie auf Ausgewählten Benutzer löschen.

Benutzereinstellungen

Kennwort eines Benutzers ändern

Die Administratorrolle kann das Kennwort eines Benutzerkontos ändern, das lokal von der SD-WAN-Appliance authentifiziert wird.

Um das Kennwort zu ändern, wählen Sie im Abschnitt Lokales Benutzerkennwort ändern den Benutzer aus der Dropdownliste Benutzername aus. Geben Sie das aktuelle Kennwort und das neue Kennwort ein. Klicken Sie auf Kennwort ändern.

RADIUS-Server

Sie können eine SD-WAN-Appliance so konfigurieren, dass der Benutzerzugriff bei einem oder maximal drei RADIUS-Servern authentifiziert wird. Der Standardport ist 1812.

So konfigurieren Sie den RADIUS-Server:

  1. Navigieren Sie zu Konfiguration > Appliance-Einstellungen > Administratorschnittstelle > RADIUS.

  2. Aktivieren Sie das Kontrollkästchen Radius aktivieren.

  3. Geben Sie die Server-IP-Adresse und den Authentifizierungsport ein. Es können maximal drei Server-IP-Adressen konfiguriert werden.

    HINWEIS

    Um eine IPv6-Adresse zu konfigurieren, stellen Sie sicher, dass der RADIUS-Server auch mit einer IPv6-Adresse konfiguriert ist.

  4. Geben Sie den Server-Schlüssel ein und bestätigen Sie.

  5. Geben Sie den Timeout-Wert in Sekunden ein.

  6. Klicken Sie auf Speichern.

Sie können auch die RADIUS-Serververbindung testen. Geben Sie den Benutzernamen und das Kennwort ein. Klicken Sie auf Verify.

Legacy-UI RADIUS-Server

TACACS+ Server

Sie können einen TACACS+-Server für die Authentifizierung konfigurieren. Ähnlich wie bei der RADIUS-Authentifizierung verwendet TACACS+ einen geheimen Schlüssel, eine IP-Adresse und die Portnummer. Die Standardportnummer ist 49.

So konfigurieren Sie den TACACS+-Server:

  1. Navigieren Sie zu Konfiguration > Appliance-Einstellungen > Administratorschnittstelle > TACACS+.

  2. Aktivieren Sie das Kontrollkästchen Enable TACACS+.

  3. Geben Sie die Server-IP-Adresse und den Authentifizierungsport ein. Es können maximal drei Server-IP-Adressen konfiguriert werden.

    HINWEIS

    Um eine IPv6-Adresse zu konfigurieren, stellen Sie sicher, dass der TACACS+-Server auch mit einer IPv6-Adresse konfiguriert ist.

  4. Wählen Sie PAP oder ASCII als Authentifizierungstyp aus.

    • PAP: Verwendet PAP (Password Authentication Protocol), um die Benutzerauthentifizierung zu stärken, indem dem TACACS+-Server ein starkes gemeinsames Geheimnis zugewiesen wird.

    • ASCII: Verwendet den ASCII-Zeichensatz, um die Benutzerauthentifizierung zu stärken, indem dem TACACS+-Server ein starkes gemeinsames Geheimnis zugewiesen wird.

  5. Geben Sie den Server-Schlüssel ein und bestätigen Sie.

  6. Geben Sie den Timeout-Wert in Sekunden ein.

  7. Klicken Sie auf Speichern.

Sie können auch die TACACS+-Serververbindung testen. Geben Sie den Benutzernamen und das Kennwort ein. Klicken Sie auf Verify.

Legacy-UI TACACS+ Server

Administrative Schnittstelle