Benutzeridentitätsverwaltung
Eine zunehmende Anzahl von Sicherheitsverletzungen und die wachsende Beliebtheit mobiler Geräte haben die Notwendigkeit unterstrichen, sicherzustellen, dass die Nutzung des externen Internets den Unternehmensrichtlinien entspricht und nur autorisierte Benutzer auf externe Ressourcen zugreifen, die vom Unternehmenspersonal bereitgestellt werden. Das Identitätsmanagement ermöglicht dies, indem es die Identität einer Person oder eines Geräts überprüft. Es bestimmt nicht, welche Aufgaben die Person ausführen oder welche Dateien die Person sehen kann.
Eine Secure Web Gateway (SWG)-Bereitstellung identifiziert den Benutzer, bevor der Zugriff auf das Internet erlaubt wird. Alle Anfragen und Antworten des Benutzers werden überprüft. Die Benutzeraktivität wird protokolliert und die Aufzeichnungen werden zur Berichterstattung an Citrix® Application Delivery Management (ADM) exportiert. In Citrix ADM können Sie die Statistiken über Benutzeraktivitäten, Transaktionen und Bandbreitennutzung anzeigen.
Standardmäßig wird nur die IP-Adresse des Benutzers gespeichert, aber Sie können die Citrix SWG Appliance so konfigurieren, dass weitere Details über den Benutzer aufgezeichnet werden, und diese Identitätsinformationen verwenden, um umfassendere Internetnutzungsrichtlinien für bestimmte Benutzer zu erstellen.
Die Citrix ADC Appliance unterstützt die folgenden Authentifizierungsmodi für eine explizite Proxy-Konfiguration.
- Lightweight Directory Access Protocol (LDAP). Authentifiziert den Benutzer über einen externen LDAP-Authentifizierungsserver. Weitere Informationen finden Sie unter LDAP-Authentifizierungsrichtlinien.
- RADIUS. Authentifiziert den Benutzer über einen externen RADIUS-Server. Weitere Informationen finden Sie unter RADIUS-Authentifizierungsrichtlinien.
- TACACS+. Authentifiziert den Benutzer über einen externen Terminal Access Controller Access-Control System (TACACS)-Authentifizierungsserver. Weitere Informationen finden Sie unter Authentifizierungsrichtlinien.
- Negotiate. Authentifiziert den Benutzer über einen Kerberos-Authentifizierungsserver. Wenn bei der Kerberos-Authentifizierung ein Fehler auftritt, verwendet die Appliance die NTLM-Authentifizierung. Weitere Informationen finden Sie unter Negotiate-Authentifizierungsrichtlinien.
Für transparente Proxys wird derzeit nur die IP-basierte LDAP-Authentifizierung unterstützt. Wenn eine Client-Anfrage empfangen wird, authentifiziert der Proxy den Benutzer, indem er einen Eintrag für die Client-IP-Adresse im Active Directory überprüft und eine Sitzung basierend auf der Benutzer-IP-Adresse erstellt. Wenn Sie jedoch das ssoNameAttribute in einer LDAP-Aktion konfigurieren, wird eine Sitzung unter Verwendung des Benutzernamens anstelle der IP-Adresse erstellt. Klassische Richtlinien werden für die Authentifizierung in einer transparenten Proxy-Einrichtung nicht unterstützt.
Hinweis
Für explizite Proxys müssen Sie den LDAP-Anmeldenamen auf
sAMAccountNamesetzen. Für transparente Proxys müssen Sie den LDAP-Anmeldenamen aufnetworkAddressundattribute1aufsAMAccountNamesetzen.
Beispiel für expliziten Proxy:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
Beispiel für transparenten Proxy:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
Einrichten der Benutzerauthentifizierung mithilfe der Citrix SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
Argumente:
Vserver name:
Name des Authentifizierungs-Virtual-Servers, an den die Richtlinie gebunden werden soll.
Maximale Länge: 127
serviceType:
Protokolltyp des Authentifizierungs-Virtual-Servers. Immer SSL.
Mögliche Werte: SSL
Standardwert: SSL
Action name:
Name für die neue LDAP-Aktion. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und die Zeichen Bindestrich (-), Punkt (.), Raute (#), Leerzeichen ( ), At (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstrich enthalten. Kann nach dem Hinzufügen der LDAP-Aktion nicht mehr geändert werden. Die folgende Anforderung gilt nur für die CLI:
Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “my authentication action” oder ‘my authentication action’).
Maximale Länge: 127
serverIP:
Dem LDAP-Server zugewiesene IP-Adresse.
ldapBase:
Basis (Knoten), von der aus LDAP-Suchen gestartet werden sollen. Wenn der LDAP-Server lokal ausgeführt wird, ist der Standardwert der Basis dc=netscaler®, dc=com. Maximale Länge: 127
ldapBindDn:
Vollständiger Distinguished Name (DN), der zum Binden an den LDAP-Server verwendet wird.
Standard: cn=Manager,dc=netscaler,dc=com
Maximale Länge: 127
ldapBindDnPassword:
Passwort, das zum Binden an den LDAP-Server verwendet wird.
Maximale Länge: 127
ldapLoginName:
LDAP-Anmeldenamenattribut. Die Citrix ADC Appliance verwendet den LDAP-Anmeldenamen, um externe LDAP-Server oder Active Directories abzufragen. Maximale Länge: 127
Policy name:
Name für die erweiterte AUTHENTIFIZIERUNGSrichtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur Buchstaben, Zahlen und die Zeichen Bindestrich (-), Punkt (.), Raute (#), Leerzeichen ( ), At (@), Gleichheitszeichen (=), Doppelpunkt (:) und Unterstrich enthalten. Kann nach dem Erstellen der AUTHENTIFIZIERUNGSrichtlinie nicht mehr geändert werden. Die folgende Anforderung gilt nur für die CLI:
Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “my authentication policy” oder ‘my authentication policy’).
Maximale Länge: 127
rule:
Name der Regel oder ein Standard-Syntaxausdruck, den die Richtlinie verwendet, um zu bestimmen, ob versucht werden soll, den Benutzer mit dem AUTHENTIFIZIERUNGSServer zu authentifizieren.
Maximale Länge: 1499
action:
Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
Maximale Länge: 127
priority:
Positive Ganzzahl, die die Priorität der Richtlinie angibt. Eine niedrigere Zahl gibt eine höhere Priorität an. Richtlinien werden in der Reihenfolge ihrer Prioritäten ausgewertet, und die erste Richtlinie, die der Anforderung entspricht, wird angewendet. Muss innerhalb der Liste der an den Authentifizierungs-Virtual-Server gebundenen Richtlinien eindeutig sein.
Mindestwert: 0
Maximalwert: 4294967295
Beispiel:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
Aktivieren der Benutzernamenprotokollierung mithilfe der Citrix SWG CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Argumente:
AAAUserName
AppFlow® AAA-Benutzernamenprotokollierung aktivieren.
Mögliche Werte: ENABLED, DISABLED
Standardwert: DISABLED
Beispiel:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->