Zugriff auf NetScaler Gateway für Mitglieder einer Active Directory-Gruppe beschränken
NetScaler Gateway unterstützt zwei Methoden zur Einschränkung des Anmeldezugriffs.
- LDAP-Suchfilter — Nur Benutzernamen, die dem LDAP-Suchfilter entsprechen (z. B. Active Directory-Gruppenmitgliedschaft), können sich bei NetScaler Gateway anmelden.
- Gruppen, die sich an einer NetScaler Gateway-Sitzungsrichtlinie oder einem NetScaler Gateway-Sitzungsprofil anmelden dürfen — Diese Methode unterstützt mehrere Active Directory Einzelheiten finden Sie unter https://support.citrix.com/article/CTX125797.
In diesem Artikel wird die LDAP-Suchfilter-Methode beschrieben.
Übersicht
Wenn ein Benutzer die Anmeldeinformationen auf der Anmeldeseite des virtuellen NetScaler Gateway-Servers eingibt und die EINGABETASTE drückt, durchsucht das Gerät zuerst das Active Directory (LDAP) nach dem Benutzernamen. Wenn in der LDAP-Richtlinie oder auf dem Server kein LDAP-Suchfilter definiert ist, durchsucht die Appliance alle Active Directory-Benutzernamen nach einer Übereinstimmung. Sobald eine Übereinstimmung gefunden wurde, zieht die Appliance den vollständigen Distinguished Name (DN) des Benutzers und verwendet den DN und das Kennwort des Benutzers, um sich beim Active Directory zu authentifizieren.
Wenn ein LDAP-Suchfilter definiert ist, werden nur Benutzernamen gesucht, die dem LDAP-Suchfilter entsprechen, nach einer Übereinstimmung mit dem Benutzernamen. Wenn der LDAP-Suchfilter beispielsweise so konstruiert ist, dass nur Mitglieder einer Active Directory-Gruppe gesucht werden, muss der vom Benutzer eingegebene Benutzername mit den Mitgliedern der Gruppe übereinstimmen.
Voraussetzungen
Der virtuelle NetScaler Gateway-Server muss für die LDAP-Authentifizierung konfiguriert sein.
Schritte zum Konfigurieren eines LDAP-Suchfilters für Mitglieder einer Active Directory-Gruppe
-
Bestimmen Sie die Active Directory-Gruppe, die Zugriffsberechtigung hat, und erhalten Sie den vollständigen Distinguished
Eine einfache Möglichkeit, den vollständigen Distinguished Name der Gruppe zu erhalten, sind Active Directory-Benutzer und -Computer.
-
Aktivieren Sie in Active Directory-Benutzer und -Computer im Menü AnsichtErweiterte Funktionen.
-
Blättern Sie in der Struktur zum Gruppenobjekt, klicken Sie mit der rechten Maustaste, und klicken Sie dann auf Eigenschaften. Hinweis: Sie können Findnicht verwenden. Stattdessen müssen Sie durch den Baum navigieren, um das Objekt zu finden.
-
Wechseln Sie auf der rechten Seite zur Registerkarte Attribut-Editor.
Diese Registerkarte ist nur sichtbar, wenn erweiterte Funktionen aktiviert sind und Sie die Suchfunktion nicht verwendet haben.
-
Scrollen Sie nach unten zu DistinguishedName, doppelklicken Sie darauf und kopieren Sie es dann in die Zwischenablage.
- Navigieren Sie in der NetScaler Gateway GUI zu NetScaler Gateway > Virtuelle Server.
- Wählen Sie einen vorhandenen virtuellen NetScaler Gateway-Server aus und klicken Sie auf Bearbeiten.
- Klicken Sie im Abschnitt Standardauthentifizierung auf LDAP-Richtlinien.
-
Klicken Sie mit der rechten Maustaste auf eine bestehende LDAP-Richtlinie, und klicken Sie auf Server bearbeiten.
-
Geben Sie im Abschnitt Andere Einstellungen im Feld SuchfilterMemberOf= ein und fügen Sie dann den Distinguished Name der Active Directory-Gruppe nach dem Gleichheitszeichen (=) ein.
Ein Beispiel für einen Suchfilter ist der folgende: Memberof=CN=Citrix Remote, OU=Citrix, DC=Corp, DC=Local Hinweis: Standardmäßig sucht NetScaler nur nach Benutzernamen, die direkte Mitglieder der Active Directory-Gruppe sind. Wenn Sie verschachtelte Gruppen suchen möchten, fügen Sie Microsoft OID። zum LDAP-Suchfilter hinzu. Die OID wird zwischen MemberOf und = eingefügt.
Beispiel: Memberof:1.2.840.113556.1.4.1941: =CN=Citrix Remote, OU=Citrix, DC=Corp, DC=Lokal
- Klicken Sie auf OK.