Produktdokumentation
Application Delivery Management
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Authentifizierung

February 5, 2024
Beitrag von: 
C

24. Mai 2018

Benutzer können entweder intern von Citrix Application Delivery Management (ADM), extern von einem Authentifizierungsserver oder von beiden authentifiziert werden. Wenn die lokale Authentifizierung verwendet wird, muss sich der Benutzer in der NetScaler ADM -Sicherheitsdatenbank befinden. Wenn der Benutzer extern authentifiziert wird, sollte der „externe Name“ des Benutzers je nach ausgewähltem Authentifizierungsprotokoll mit der externen Benutzeridentität übereinstimmen, die auf dem Authentifizierungsserver registriert ist.

Citrix ADM unterstützt die externe Authentifizierung über RADIUS-, LDAP- und TACACS-Protokolle. Diese einheitliche Unterstützung bietet eine gemeinsame Schnittstelle zur Authentifizierung und Autorisierung aller lokalen und externen AAA-Serverbenutzer (Authentication, Authorization and Accounting), die auf das System zugreifen. NetScaler ADM kann Benutzer unabhängig von den tatsächlichen Protokollen authentifizieren, die sie für die Kommunikation mit dem System verwenden. Wenn ein Benutzer versucht, auf eine Citrix ADM-Implementierung zuzugreifen, die für die externe Authentifizierung konfiguriert ist, sendet der angeforderte Anwendungsserver den Benutzernamen und das Kennwort zur Authentifizierung an den RADIUS-, LDAP- oder TACACS-Server. Wenn die Authentifizierung erfolgreich ist, wird das entsprechende Protokoll verwendet, um den Benutzer in Citrix ADM zu identifizieren.

Sie können Ihre Benutzer in NetScaler ADM auf zwei Arten authentifizieren:

  • Mithilfe von lokalen Citrix ADM Servern
  • Durch die Verwendung externer Authentifizierungsserver

Das folgende Flussdiagramm zeigt den Arbeitsablauf, den Sie bei der Authentifizierung lokaler oder externer Benutzer befolgen müssen:

Lokalisierte Abbildung

Externe Authentifizierungsserver konfigurieren

Citrix ADM unterstützt verschiedene Protokolle, um externe Authentifizierungs-, Autorisierungs- und Buchhaltungsdienste (AAA) bereitzustellen.

Citrix ADM sendet alle Serviceanforderungen für Authentifizierung, Autorisierung und Abrechnung (AAA) an den Remote-RADIUS-, LDAP- oder TACACS+-Server. Der Remote-AAA-Server empfängt die Anfrage, validiert die Anfrage und sendet eine Antwort zurück an Citrix ADM. Wenn Citrix ADM für die Verwendung eines Remote-RADIUS-, TACACS+- oder LDAP-Servers für die Authentifizierung konfiguriert ist, wird Citrix ADM zu einem RADIUS-, TACACS+- oder LDAP-Client. In jeder dieser Konfigurationen werden Authentifizierungsdatensätze in der Remotehostserver-Datenbank gespeichert. Anmelde- und Abmeldekontoname, zugewiesene Berechtigungen und Zeitabrechnungsdatensätze werden ebenfalls für jeden Benutzer auf dem AAA-Server gespeichert.

Darüber hinaus können Sie die interne Datenbank von NetScaler ADM verwenden, um Benutzer lokal zu authentifizieren. Sie erstellen Einträge in der Datenbank für Benutzer und deren Kennwörter und Standardrollen. Sie können auch Servergruppen für bestimmte Arten der Authentifizierung erstellen. Die Liste der Server in einer Servergruppe ist eine geordnete Liste. Der erste Server in der Liste wird immer verwendet, es sei denn, er ist nicht verfügbar. In diesem Fall wird der nächste Server in der Liste verwendet. Sie können Server verschiedener Typen in einer Gruppe konfigurieren und die interne Datenbank auch als Fallback-Authentifizierungs-Backup in die konfigurierte Liste der AAA-Server aufnehmen.

Konfigurieren Sie einen RADIUS-Authentifizierungsserver

Sie können Citrix ADM so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren RADIUS-Servern authentifiziert wird. Ihre Konfiguration erfordert möglicherweise die Verwendung einer Netzwerkzugriffsserver-IP-Adresse (NAS-IP) oder einer Netzwerkzugriffsserver-ID (NAS-ID). Verwenden Sie bei der Konfiguration von Citrix ADM für die Verwendung eines RADIUS-Authentifizierungsservers die folgenden Richtlinien: Wenn Sie die Verwendung der NAS-IP-Adresse aktivieren, sendet die Appliance ihre konfigurierte IP-Adresse an den RADIUS-Server, anstatt die Quell-IP-Adresse zu senden, die beim Aufbau der RADIUS-Verbindung verwendet wurde.

  • Wenn Sie die NAS-ID konfigurieren, sendet die Appliance den Bezeichner an den RADIUS-Server. Wenn Sie die NAS-ID nicht konfigurieren, sendet die Appliance ihren Hostnamen an den RADIUS-Server.
  • Wenn Sie die NAS-IP-Adresse aktivieren, ignoriert die Appliance jede konfigurierte NAS-ID und verwendet die NAS-IP für die Kommunikation mit dem RADIUS-Server.

So konfigurieren Sie einen RADIUS-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung > RADIUS.

  2. Klicken Sie auf der RADIUS-Seite auf Hinzufügen.

  3. Stellen Sie auf der Seite RADIUS-Server erstellen die Parameter ein und klicken Sie auf Erstellen, um den Server zur Liste der RADIUS-Authentifizierungsserver hinzuzufügen. Die folgenden Parameter sind obligatorisch:

    1. Name. Name des RADIUS-Servers.

    2. Servername/IP-Adresse. Servername oder IP-Adresse des RADIUS-Servers.

    3. Port. Standardmäßig wird Port 1812 für die RADIUS-Authentifizierung verwendet. Sie können bei Bedarf eine andere Portnummer angeben.

    4. Timeout (Sekunden). Zeit in Sekunden, in der das Citrix ADM System auf eine Antwort vom RADIUS-Server wartet.

    5. Geheimer Schlüssel. Jeder alphanumerische Ausdruck. Dies ist der Schlüssel, der von Citrix ADM und dem RADIUS-Server gemeinsam genutzt wird, um die Kommunikation zu ermöglichen.

  4. Klicken Sie auf Details, um den Abschnitt zu erweitern und die zusätzlichen Parameter festzulegen, und klicken Sie dann auf Erstellen.

Weitere Informationen zum Hinzufügen von RADIUS-Servern finden Sie unter [Hinzufügen von RADIUS-Authentifizierungsservern].(/en-us/netscaler-application-delivery-management-software/12-1/authentication/authentication-how-to-articles/add-radius-authentication-server.html)

Konfigurieren Sie einen LDAP-Authentifizierungsserver

Sie können Citrix ADM so konfigurieren, dass der Benutzerzugriff mit einem oder mehreren LDAP-Servern authentifiziert wird. Die LDAP-Autorisierung erfordert identische Gruppennamen in Active Directory, auf dem LDAP-Server und auf Citrix ADM. Die Zeichen und der Fall müssen ebenfalls übereinstimmen.

So konfigurieren Sie einen LDAP-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung > LDAP .

  2. Klicken Sie auf der Seite LDAP auf Hinzufügen.

  3. Stellen Sie auf der Seite LDAP-Server erstellen die Parameter ein und klicken Sie auf Erstellen , um den Server zur Liste der LDAP-Authentifizierungsserver hinzuzufügen. Die folgenden Parameter sind obligatorisch:

    1. Name. Name des LDAP-Servers.

    2. Servername/IP-Adresse. Servername oder IP-Adresse des LDAP-Servers.

    3. Sicherheitstyp. Art der erforderlichen Kommunikation zwischen dem System und dem LDAP-Server. Wählen Sie aus der Dropdownliste aus. Wenn die Klartextkommunikation nicht ausreicht, können Sie die verschlüsselte Kommunikation wählen, indem Sie entweder Transport Layer Security (TLS) oder SSL auswählen.

    4. Port. Standardmäßig wird Port 389 für die LDAP-Authentifizierung verwendet. Sie können bei Bedarf eine andere Portnummer angeben.

    5. Servertyp. Wählen Sie Active Directory (AD) oder Novell Directory Service (NDS) als LDAP-Servertyp aus.

    6. Timeout (Sekunden). Zeit in Sekunden, für die das Citrix ADM System auf eine Antwort vom LDAP-Server wartet.

Sie können zusätzliche Informationen angeben. Sie können das LDAP-Zertifikat auch validieren, indem Sie das Kontrollkästchen LDAP-Zertifikat validieren aktivieren und den Hostnamen angeben, der in das Zertifikat eingegeben werden soll. Einige der zusätzlichen Parameter, die Sie hinzufügen können, sind Domain Nameserver (DN) -Details für Abfragen an einen Verzeichnisdienst, Standardauthentifizierungsgruppe, Gruppenattribute und andere Attribute.

Der Basis-DN wird normalerweise vom Bind-DN abgeleitet, indem der Benutzername entfernt und die Gruppe angegeben wird, zu der die Benutzer gehören. Geben Sie im Textfeld Administrator Bind DN den Administrator-Bind-DN für Abfragen an das LDAP-Verzeichnis ein.

Beispiele für die Syntax für Basis-DN sind:

  • ou=user, dc=ace, dc=com

  • cn=Benutzer, dc=ace, dc=com

Beispiele für die Syntax für Bind DN sind:

  • Domäne/Nutzername

  • ou=administrator, dc=ace, dc=com

  • user@domain.name (für Active Directory)

  • cn=Administrator, cn=Benutzer, dc=ace, dc=com

Der Gruppenname und der Name der Benutzer, die Sie in Citrix ADM definieren, müssen denen ähneln, die auf dem LDAP-Server konfiguriert sind.

Hinweis

Bei der Konfiguration eines RADIUS- oder LDAP-Servers können Sie im Abschnitt Details den Namen einer Standardauthentifizierungsgruppe eingeben. Diese Standardgruppe wird ausgewählt, um den Benutzer zu autorisieren, wenn die Authentifizierung erfolgreich ist, unabhängig davon, ob der Benutzer an eine Gruppe gebunden ist oder nicht. Der Benutzer erhält dann eine Kombination von Berechtigungen, die für diese Standardgruppe und die anderen Gruppen konfiguriert sind, unabhängig davon, ob der Benutzer der Gruppe zugewiesen ist oder nicht.

Weitere Informationen zum Hinzufügen von LDAP-Servern finden Sie unter Hinzufügen von LDAP-Authentifizierungsservern .

Weitere Informationen zur Kaskadierung externer Authentifizierungsserver finden Sie unter So kaskadieren Sie externe Authentifizierungsserver.

Konfigurieren Sie einen TACACS-Authentifizierungsserver

TACACS verwaltet wie RADIUS und LDAP Fernauthentifizierungsdienste für den Netzwerkzugriff.

Konfigurieren Sie einen TACACS-Authentifizierungsserver:

  1. Navigieren Sie in Citrix ADM zu System >  Authentifizierung >  TACACS .

  2. Klicken Sie auf der TACACS -Seite auf Hinzufügen .

  3. Geben Sie auf der Seite „ TACACS-Server erstellen “ die folgenden Details ein:

    1. Name des TACACS-Servers

    2. IP-Adresse des TACACS-Servers

    3. Port und Timeout (in Sekunden)

    4. Der Schlüssel, der vom System und dem TACACS-Server für die Kommunikation gemeinsam genutzt wird.

    5. Wählen Sie Accounting aus, wenn die Appliance Auditinformationen auf dem TACACS-Server protokollieren soll.

  4. Klicken Sie auf Erstellen.

Weitere Informationen zum Hinzufügen von TACACS-Servern finden Sie unter Hinzufügen von TACACS-Authentifizierungsservern .

Hinweis

Um nach Authentifizierungsservern zu suchen, die in Citrix ADM hinzugefügt wurden, klicken Sie in die Suchleiste und wählen Sie die erforderlichen Suchkriterien aus.

Lokalisierte Abbildung

Konfigurieren Sie eine lokale Authentifizierung von Benutzern in Citrix ADM

Wenn Sie die lokale Authentifizierung verwenden, erstellen Sie Benutzer und fügen Sie sie dann zu Gruppen hinzu, die Sie in Citrix ADM erstellen. Nach der Konfiguration von Benutzern und Gruppen können Sie Autorisierungs- und Sitzungsrichtlinien anwenden, Lesezeichen erstellen, Anwendungen angeben und die IP-Adresse von Dateifreigaben und Servern angeben, auf die Benutzer Zugriff haben.

So konfigurieren Sie eine lokale Authentifizierung in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung und klicken Sie aufAuthentifizierungskonfiguration .

  2. Wählen Sie auf der Seite Authentifizierungskonfiguration im Dropdownfeld Servertyp die Option LOCAL aus und klicken Sie auf OK.

Konfigurieren Sie eine externe Authentifizierung in Citrix ADM

Wenn Sie externe Authentifizierungsserver in Citrix ADM konfigurieren, werden die Benutzergruppen, die auf diesen externen Servern authentifiziert sind, in Citrix ADM importiert. Sie müssen keine Benutzer auf Citrix ADM erstellen. Die Benutzer werden auf den externen Servern von Citrix ADM verwaltet. Sie müssen jedoch sicherstellen, dass die Berechtigungsstufen der Benutzergruppen auf den externen Authentifizierungsservern in Citrix ADM beibehalten werden. Citrix ADM führt die Autorisierung von Benutzern durch, indem Gruppenberechtigungen für den Zugriff auf bestimmte virtuelle Lastausgleichsserver und auf bestimmte Anwendungen auf dem System zugewiesen werden. Wenn ein Authentifizierungsserver später aus dem System entfernt wird, werden die Gruppen und Benutzer automatisch aus dem System entfernt.

So konfigurieren Sie eine externe Authentifizierung in Citrix ADM:

  1. Navigieren Sie in Citrix ADM zu System > Authentifizierung und klicken Sie auf Authentifizierungskonfiguration.

  2. Wählen Sie auf der Seite Authentifizierungskonfiguration in der Dropdownliste Servertyp die Option EXTERNAL aus.

  3. Klicken Sie auf Einfügen.

  4. Wählen Sie auf der Seite Externe Server einen Authentifizierungsserver aus. Optional können Sie mehrere Authentifizierungsserver für die Kaskadierung auswählen.

    Hinweis

    Nur externe Server können kaskadiert werden.

  5. Wählen Sie Lokale Fallback-Authentifizierung aktivieren , wenn die lokale Authentifizierung übernommen werden soll, wenn die externe Authentifizierung fehlschlägt.

  6. Klicken Sie auf OK, um die Seite zu schließen.

    Die ausgewählten Server werden auf der Seite Authentifizierungsserverangezeigt.

    Sie können die Reihenfolge der Authentifizierung auch angeben, indem Sie das Symbol neben den Servernamen verwenden, um Server in der Liste nach oben oder unten zu verschieben.

Konfigurieren Sie Gruppen in Citrix ADM

Mit NetScaler ADM können Sie Ihre Benutzer authentifizieren und autorisieren, indem Sie Gruppen erstellen und die Benutzer zu den Gruppen hinzufügen. Eine Gruppe kann entweder „Admin“ - oder „Nur lesen“ -Rechte haben und alle Benutzer in dieser Gruppe erhalten die gleichen Berechtigungen.

In Citrix ADM ist eine Gruppe als eine Sammlung von Benutzern mit ähnlichen Berechtigungen definiert. Eine Gruppe kann eine oder mehrere Rollen haben. Ein Benutzer ist als eine Entität definiert, die auf der Grundlage der zugewiesenen Berechtigungen Zugriff haben kann. Ein Benutzer kann einer oder mehreren Gruppen angehören.

Sie können lokale Gruppen in NetScaler ADM erstellen und die lokale Authentifizierung für die Benutzer in den Gruppen verwenden. Wenn Sie externe Server für die Authentifizierung verwenden, konfigurieren Sie die Gruppen in Citrix ADM so, dass sie den Gruppen entsprechen, die auf Authentifizierungsservern im internen Netzwerk konfiguriert sind. Wenn ein Benutzer sich anmeldet und authentifiziert wird und ein Gruppenname mit einer Gruppe auf einem Authentifizierungsserver übereinstimmt, erbt der Benutzer die Einstellungen für die Gruppe in NetScaler ADM.

Nachdem Sie Gruppen konfiguriert haben, können Sie Autorisierungs- und Sitzungsrichtlinien anwenden, Lesezeichen erstellen, Anwendungen angeben und die IP-Adressen von Dateifreigaben und Servern angeben, auf die der Benutzer Zugriff hat.

Wenn Sie die lokale Authentifizierung verwenden, erstellen Sie Benutzer und fügen Sie sie zu Gruppen hinzu, die auf Citrix ADM konfiguriert sind. Die Benutzer erben dann die Einstellungen für diese Gruppen.

Hinweis

Wenn die Benutzer Mitglieder einer Active Directory-Gruppe sind, müssen der Name der Gruppe und die Namen der Benutzer in Citrix ADM mit denen in der Active Directory-Gruppe übereinstimmen.

So konfigurieren Sie Benutzergruppen in Citrix ADM:

  1. Navigieren Sie in NetScaler ADM zu System > Benutzerverwaltung > Gruppen.

  2. Klicken Sie auf der Seite Gruppen auf Hinzufügen , um eine Gruppe zu erstellen. Standardmäßig werden zwei Gruppen in Citrix ADM erstellt, wobei die Berechtigungen auf admin und schreibgeschützt festgelegt sind. Sie können Ihre Benutzer zu diesen Gruppen hinzufügen oder andere Gruppen für Ihre Benutzer erstellen.

  3. Geben Sie auf der Seite Systemgruppe erstellen auf der Registerkarte Gruppeneinstellungen den Namen der Gruppe ein und legen Sie Rollen entweder auf admin oder schreibgeschützt fest. Sie können Benutzersitzungstimeout konfigurieren auswählen, um ein Timeoutlimit für die Benutzersitzungen festzulegen, die für diese Gruppe angemeldet sind.

    Hinweis

    Stellen Sie sicher, dass der Name der auf Citrix ADM erstellten Benutzergruppe mit dem auf den externen Authentifizierungsservern identisch ist. Andernfalls erkennt das System die Gruppe nicht und die Gruppenmitglieder werden nicht in das System extrahiert.

  4. Wählen Sie auf der Registerkarte Autorisierungseinstellungen die erforderlichen Gruppen aus. Klicken Sie auf Gruppe erstellen.

  5. Wählen Sie auf der Registerkarte Benutzer zuweisen die Benutzer aus, die Sie der Gruppe hinzufügen möchten. Die Benutzer werden dieser Tabelle hinzugefügt, wenn Sie Benutzer in Configure Users in Citrix ADM konfigurieren .

  6. Klicken Sie auf Fertig stellen.

Wenn Sie mit der Erstellung einer Gruppe im System fertig sind, werden alle Benutzer auf dem externen Authentifizierungsserver in das System extrahiert. Wenn der Gruppenname mit dem Gruppennamen auf dem externen Authentifizierungsserver übereinstimmt, erbt der Benutzer alle Autorisierungsdefinitionen, wenn er am System angemeldet ist.

Benutzer in Citrix ADM konfigurieren

Sie können Benutzerkonten lokal in NetScaler ADM erstellen, um die Benutzer auf Authentifizierungsservern zu ergänzen. Beispielsweise möchten Sie möglicherweise lokale Benutzerkonten für temporäre Benutzer wie Berater oder Besucher erstellen, ohne einen Eintrag für diese Benutzer auf dem Authentifizierungsserver zu erstellen. Wenn Sie Benutzer lokal authentifizieren, die auf externen Authentifizierungsservern vorhanden sind, stellen Sie sicher, dass dieselben Benutzer sowohl auf den Authentifizierungsservern als auch auf Citrix ADM vorhanden sind.

So konfigurieren Sie Benutzer in NetScaler ADM:

  1. Navigieren Sie in NetScaler ADM zu System > Benutzerverwaltung > Benutzer.

  2. Klicken Sie auf der Seite Benutzer auf Hinzufügen, um Benutzer zu Citrix ADM hinzuzufügen.

  3. Stellen Sie auf der Seite Systembenutzer erstellen die folgenden Parameter ein:

    1. Nutzername. Name des Benutzers

    2. Kennwort. Kennwort, mit dem sich der Benutzer bei Citrix ADM anmeldet

    3. Aktivieren Sie die externe Authentifizierung. Wenn dies nicht aktiviert ist, wird der Benutzer als lokaler Benutzer authentifiziert.

    4. Konfigurieren Sie das Timeoutfür Benutzersitzungen . Zeit, für die ein Benutzer aktiv bleiben kann. Dieser Zeitraum kann in Minuten oder Stunden festgelegt werden.

  4. Wählen Sie in der Tabelle Gruppen die Gruppe aus, zu der Sie den Benutzer hinzufügen möchten. Die Gruppenmitglieder werden dieser Tabelle hinzugefügt, wenn Sie Gruppen unter Konfigurieren von Benutzergruppen in Citrix ADM konfigurieren.

  5. Klicken Sie auf Erstellen.

Hinweis

Wenn sich die Benutzer in Active Directory befinden, stellen Sie sicher, dass der Gruppenname in Citrix ADM mit dem für die Active Directory-Gruppe auf dem externen Server übereinstimmt.

Authentifizierung
February 5, 2024
Beitrag von: 
C
February 5, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.