NetScaler MPX

Erstkonfiguration

Nachdem Sie Ihre Appliance in einem Rack installiert haben, können Sie die Erstkonfiguration durchführen. Sobald die Erstkonfiguration abgeschlossen ist, lesen Sie die spezifischen Konfigurationsanleitungen für die von Ihnen verwendeten Funktionen.

Die Erstkonfiguration ist für den Multifunktions-NetScaler, NetScaler Gateway und die dedizierten NetScaler Web App Firewall Appliances identisch. Sie können eine der folgenden Schnittstellen für die Erstkonfiguration Ihrer Appliance verwenden:

  • Assistent zur ersten Verwendung: Wenn Sie einen Webbrowser verwenden, um eine Verbindung mit der Appliance herzustellen, werden Sie aufgefordert, die Netzwerkkonfigurations- und Lizenzinformationen einzugeben, falls diese noch nicht angegeben sind.
  • LCD-Tastatur: Sie können die Netzwerkeinstellungen angeben, aber Sie müssen eine andere Schnittstelle verwenden, um Ihre Lizenzen hochzuladen.
  • Serielle Konsole: Nach dem Herstellen einer Verbindung mit der seriellen Konsole können Sie die NetScaler-Befehlszeile verwenden, um die Netzwerkeinstellungen anzugeben und Ihre Lizenzen hochzuladen.
  • Dynamic Host Configuration Protocol (DHCP): Um eine Appliance von einem Remotenetzwerk aus zu konfigurieren, weisen Sie jedem neuen Gerät mit DHCP eine IP-Adresse zu, unter der Sie auf die Appliance für die Remote-Konfiguration zugreifen können. Sie können DHCP auch verwenden, um mehrere NetScaler-Appliances zu installieren und sie dann ohne Verwendung des Konsolenports zu konfigurieren.

Verwenden Sie für die Erstkonfiguration das Standardkennwort sowohl als administrativen Benutzernamen als auch als Kennwort. Verwenden Sie für den späteren Zugriff das bei der Erstkonfiguration zugewiesene Kennwort.

Nachdem Sie die Erstkonfiguration der Appliance abgeschlossen haben, können Sie den sicheren Zugriff auf Ihre Appliance konfigurieren. Daher werden Sie bei der Anmeldung nicht mehr zur Eingabe eines Kennworts aufgefordert. Diese Konfiguration ist besonders in Umgebungen hilfreich, für die Sie sonst viele Kennwörter nachverfolgen müssten.

Verwenden des erstmaligen Einrichtungsassistenten

Um eine NetScaler-Appliance (oder virtuelle NetScaler-Appliance) zum ersten Mal zu konfigurieren, benötigen Sie einen Verwaltungscomputer, der im selben Netzwerk wie die Appliance konfiguriert ist.

Weisen Sie eine NetScaler IP (NSIP) -Adresse als Verwaltungs-IP-Adresse Ihrer NetScaler-Appliance zu. Sie greifen unter dieser Adresse auf die Appliance für Konfigurations-, Überwachungs- und andere Verwaltungsaufgaben zu. Weisen Sie eine Subnetz-IP-Adresse (SNIP) zu, damit Ihr NetScaler mit den Back-End-Servern kommunizieren kann. Geben Sie einen Hostnamen zur Identifizierung Ihrer Appliance, eine IP-Adresse für einen DNS-Server zum Auflösen von Domänennamen und die Zeitzone an, in der sich Ihre Appliance befindet.

Der Assistent wird automatisch angezeigt, wenn eine der folgenden Bedingungen erfüllt ist:

  • Die Appliance ist mit der Standard-IP-Adresse konfiguriert.
  • Eine Subnetz-IP-Adresse ist nicht konfiguriert.
  • Lizenzen sind auf der Appliance nicht vorhanden.

Durchführen der Erstkonfiguration Ihrer Appliance

  1. Geben Sie in einem Webbrowser Folgendes ein:

    http://192.168.100.1
    <!--NeedCopy-->
    

    Hinweis: Die NetScaler Software ist mit dieser Standard-IP-Adresse vorkonfiguriert. Wenn Sie bereits als NSIP-Adresse zugewiesen haben, geben Sie diese Adresse in einen Webbrowser ein.

  2. Geben Sie im Feld Benutzername den Wert nsroot ein. Wenn das frühere Standardkennwort unter Password nicht funktioniert, versuchen Sie, die Seriennummer der Appliance einzugeben. Der Seriennummern-Barcode ist auf der Rückseite der Appliance verfügbar. Citrix empfiehlt, dass Sie das Kennwort nach der ersten Anmeldung ändern. Informationen zum Ändern des Kennworts finden Sie unter Ändern des Administratorkennworts.

    Der folgende Bildschirm wird angezeigt.

    Bildschirm bei erster Verwendung

  3. Um eine zuvor konfigurierte Einstellung zu konfigurieren oder zu ändern, klicken Sie in jeden Abschnitt. Wenn Sie fertig sind, klicken Sie auf Weiter.

  4. Wenn Sie dazu aufgefordert werden, wählen Sie Neustart aus.

Verwenden der LCD-Tastatur

Wenn Sie die Appliance zum ersten Mal installieren, können Sie die Anfangseinstellungen mithilfe der LCD-Tastatur auf der Vorderseite der Appliance konfigurieren. Die Tastatur interagiert mit dem LCD-Anzeigemodul, das sich ebenfalls auf der Vorderseite dieser Geräte befindet.

Hinweis: Sie können die LCD-Tastatur für die Erstkonfiguration auf einer neuen Appliance mit der Standardkonfiguration verwenden. Die Konfigurationsdatei (ns.conf) muss die folgenden Befehls- und Standardwerte enthalten.

set ns config -IPAddress 192.168.100.1 -netmask 255.255.0.0
<!--NeedCopy-->

Die Funktionen der verschiedenen Tasten werden in der folgenden Tabelle erläutert.

Tabelle 1. LCD Schlüsselfunktionen

Schlüssel Funktion
< Verschiebt den Cursor eine Ziffer nach links.
Verschiebt den Cursor eine Ziffer nach rechts.
Inkrementiert die Ziffer unter dem Cursor.
v Dekrementiert die Ziffer unter dem Cursor.
. Verarbeitet die Informationen oder beendet die Konfiguration, wenn keiner der Werte geändert wird. Dieser Schlüssel wird auch als ENTER-Taste bezeichnet.

Um die Erstkonfiguration mit der LCD-Tastatur durchzuführen, drücken Sie die Taste “<”.

Sie werden aufgefordert, die Subnetzmaske, die NetScaler-IP-Adresse (NSIP) und das Gateway in dieser Reihenfolge einzugeben. Die Subnetzmaske ist sowohl mit der NSIP- als auch mit der Standard-Gateway-IP-Adresse verknüpft. Der NSIP ist die IPv4-Adresse der NetScaler-Appliance. Das Standard-Gateway ist die IPv4-Adresse für den Router, die den externen IP-Verkehr verarbeitet, den die Appliance anderweitig nicht weiterleiten kann. Die NSIP-Adresse und das Standard-Gateway müssen sich im selben Subnetz befinden.

Wenn Sie einen gültigen Wert für die Subnetzmaske eingeben, z. B. 255.255.255.224, werden Sie zur Eingabe der IP-Adresse aufgefordert. Wenn Sie einen gültigen Wert für die IP-Adresse eingeben, werden Sie aufgefordert, die Gateway-Adresse einzugeben. Wenn der von Ihnen eingegebene Wert ungültig ist, wird die folgende Fehlermeldung drei Sekunden lang angezeigt. Hier xxx.xxx.xxx.xxx ist die IP-Adresse, die Sie eingegeben haben, gefolgt von einer Aufforderung zur erneuten Eingabe des Werts.

Invalid addr!
xxx.xxx.xxx.xxx
<!--NeedCopy-->

Wenn Sie die EINGABETASTE (.) drücken, ohne eine der Ziffern zu ändern, interpretiert die Software sie als Anforderung zum Beenden des Benutzers. Die folgende Meldung wird drei Sekunden lang angezeigt.

Exiting menu...
xxx.xxx.xxx.xxx
<!--NeedCopy-->

Wenn alle eingegebenen Werte gültig sind, wird beim Drücken der EINGABETASTE die folgende Meldung angezeigt.

Values accepted,
Rebooting...
<!--NeedCopy-->

Die Werte für Subnetzmaske, NSIP und Gateway werden in der Konfigurationsdatei gespeichert.

Hinweis: Informationen zum Bereitstellen eines Hochverfügbarkeitspaares (HA) finden Sie unter Hochverfügbarkeit.

Verwenden der seriellen NetScaler-Konsole

Wenn Sie die Appliance zum ersten Mal installieren, können Sie die Anfangseinstellungen mithilfe der seriellen Konsole konfigurieren. Mit der seriellen Konsole können Sie die System-IP-Adresse ändern, ein Subnetz oder eine zugeordnete IP-Adresse erstellen, erweiterte Netzwerkeinstellungen konfigurieren und die Zeitzone ändern.

Hinweis: Informationen zum Auffinden des seriellen Konsolenports Ihrer Appliance finden Sie in der Darstellung der Vorderseite Ihrer spezifischen Appliance.

Konfigurieren Sie die Anfangseinstellungen mithilfe einer seriellen Konsole

  1. Schließen Sie das Konsolenkabel an Ihre Appliance an. Weitere Informationen finden Sie unter “Anschließen des Konsolenkabels” unter Hardware installieren.
  2. Führen Sie das VT100-Terminalemulationsprogramm Ihrer Wahl auf Ihrem Computer aus, um eine Verbindung zur Appliance herzustellen und die folgenden Einstellungen zu konfigurieren: 9600 Baud, 8 Datenbits, 1 Stoppbit, Parität und Flusskontrolle auf NONE.

  3. Drücken Sie die EINGABETASTE. Auf dem Terminalbildschirm wird die Anmeldeaufforderung angezeigt.

    Hinweis: Je nachdem, welches Terminalprogramm Sie verwenden, müssen Sie möglicherweise zwei- oder dreimal die EINGABETASTE drücken.

  4. Melden Sie sich mit den Administratorberechtigungen bei der Appliance an. Geben Sie im Feld Benutzername den Wert nsroot ein. Wenn das frühere Standardkennwort unter Password nicht funktioniert, versuchen Sie, die Seriennummer der Appliance einzugeben. Der Seriennummern-Barcode ist auf der Rückseite der Appliance verfügbar. Citrix empfiehlt, dass Sie das Kennwort nach der ersten Anmeldung ändern. Informationen zum Ändern des Kennworts finden Sie unter Ändern des Administratorkennworts.

  5. Geben Sie an der Eingabeaufforderung config ns ein, um das NetScaler-Konfigurationsskript auszuführen.

  6. Befolgen Sie die Anweisungen, um die Erstkonfiguration Ihrer Appliance abzuschließen.

    Hinweis: Um zu verhindern, dass ein Angreifer Ihre Fähigkeit zum Senden von Paketen an die Appliance verletzt, wählen Sie eine nicht routbare IP-Adresse im LAN Ihres Unternehmens als IP-Adresse Ihrer Appliance.

    Sie können die Schritte 5 und 6 durch die folgenden Befehle ersetzen. Geben Sie an der NetScaler Eingabeaufforderung Folgendes ein:

set ns config -ipaddress<IPAddress> -netmask<subnetMask>
add ns ip<IPAddress> <subnetMask> -type<type>
add route<network> <netmask> <gateway>
set system user <userName> -password
save ns config
reboot
<!--NeedCopy-->

Beispiel:

set ns config -ipaddress 10.102.29.60 -netmask 255.255.255.0
add ns ip 10.102.29.61 255.255.255.0 -type snip
add route 0.0.0.0 0.0.0.0 10.102.29.1
set system user nsroot -password
Enter password: *****
Confirm password: *****
save ns config
reboot
<!--NeedCopy-->

Sie haben jetzt die Erstkonfiguration Ihrer Appliance abgeschlossen.

Verwenden von DHCP für den ersten Zugriff

Hinweis: Die Begriffe NetScaler-Appliance und Appliance werden austauschbar verwendet.

Für die Erstkonfiguration einer NetScaler-Appliance kann das Dynamic Host Configuration Protocol (DHCP) die Abhängigkeit von der Konsole beseitigen. DHCP bietet eine Subnetz-IP (SNIP) -Adresse, unter der Sie auf die Appliance zugreifen können, um sie remote zu konfigurieren. Sie können DHCP auch nach der Erstkonfiguration verwenden, wenn Sie beispielsweise eine Appliance in ein anderes Subnetz verschieben möchten.

Um DHCP zu verwenden, müssen Sie zuerst die Klassenbezeichnung der Appliance Vendor auf einem DHCP-Server angeben. Optional können Sie auch den Pool von IP-Adressen angeben, aus denen Ihre NetScaler-Appliance eine IP-Adresse erwerben kann. Wenn kein Pool angegeben wird, wird die Adresse aus dem allgemeinen Pool erworben.

Eine neue NetScaler-Appliance hat keine Konfigurationsdatei. Wenn Sie eine Appliance ohne Konfigurationsdatei mit dem Netzwerk verbinden, fragt der DHCP-Client den DHCP-Server automatisch nach einer IP-Adresse ab. Wenn Sie die Kennung der Appliance-Herstellerklasse auf dem DHCP-Server angegeben haben, gibt der Server eine Adresse zurück. Sie können den DHCP-Client auch auf einer zuvor konfigurierten Appliance aktivieren.

Voraussetzungen

Um DHCP verwenden zu können, müssen Sie:

  1. Notieren Sie sich die System-ID (sysid) auf dem Seriennummernaufkleber auf der Rückseite der Appliance. Auf einer älteren Appliance ist die System-ID möglicherweise nicht verfügbar. Verwenden Sie in diesem Fall anstelle der System-ID die MAC-Adresse.

  2. Richten Sie einen DHCP-Server ein und konfigurieren Sie ihn mit der Klassenkennung der Appliance.

Konfigurieren eines Linux/UNIX DHCP-Servers für die NetScaler-Appliance

  1. Geben Sie “Citrix-NS” als Anbieterklassenkennung für die NetScaler-Appliance an, indem Sie der Datei dhcpd.conf des Servers die folgende Konfiguration hinzufügen. Die Unterklassendeklaration muss sich innerhalb der Subnet-Deklaration befinden.
option space auto;
    option auto.key code 1 = text;

    class "citrix-1" {
     match option vendor-class-identifier;
    }

    subclass "citrix-1" "citrix-NS"{
    vendor-option-space auto;
    option auto.key "citrix-NS";
<!--NeedCopy-->

Hinweis: Der Speicherort der Datei dhcpd.conf kann in verschiedenen Versionen und Varianten des Linux/UNIX-basierten Betriebssystems unterschiedlich sein. Zum Beispiel ist in FreeBSD 6.3 die Datei im /etc Ordner vorhanden. Informationen zum Standort finden Sie im dhcpd manpage des DHCP-Servers.

  1. Wenn Sie nicht möchten, dass NetScaler-Appliances IP-Adressen aus dem allgemeinen Pool verwenden, geben Sie einen Pool von Adressen für die Appliance an. Fügen Sie diese Pool-Deklaration in die Subnet-Deklaration Wenn Sie beispielsweise die folgende Konfiguration zur Datei dhcpd.conf hinzufügen, wird ein Pool von IP-Adressen von 192.168.2.120 bis 192.168.2.127 angegeben.
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
<!--NeedCopy-->
  1. Beenden Sie den DHCP-Prozess und starten Sie ihn neu, um die Änderung der Konfigurationsdatei widerzuspiegeln. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:
killall dhcpd
dhcpd&
<!--NeedCopy-->

Beispiel einer DHCP-Konfiguration (dhcpd.conf)

option space auto;
option auto.key code 1 = text;

class "citrix-1" {
      match option vendor-class-identifier;
}

subnet 192.168.2.0 netmask 255.255.255.0 {
option routers10.217.242.1;
option domain-name"jeffbr.local";
option domain-name-servers8.8.8.8;
default-lease-time 21600;
max-lease-time 43200;
subclass "citrix-1" "citrix-NS" {
vendor-option-space auto;
option auto.key "citrix-NS";
}
pool {
allow members of "citrix-1";
range 192.168.2.120 192.168.2.127;
option subnet-mask 255.255.255.0;
}
}
<!--NeedCopy-->
  1. Öffnen Sie den Server Manager und stellen Sie sicher, dass der DHCP-Dienst ausgeführt wird.

  2. Öffnen Sie DHCP Manager, klicken Sie auf DHCPund wählen Sie IPv4aus.

  3. Um Vendor Class als ..citrix-Ns zu konfigurieren, klicken Sie mit der rechten Maustaste auf IPv4 und wählen Sie Define Vendor Classes. Fügen Sie eine neue Klasse hinzu, indem Sie einen Anzeigenamen, eine Beschreibung und “.citrix-NS” als ASCII-Wert angeben. Klicken Sie auf OK.

  4. Erstellen Sie einen Bereich zum Konfigurieren von IP-Bereich, Teilnetz, DNS-Server, WIN-Server, Standard-Gateway und ausgeschlossenem IP-Adressbereich. Um einen Bereich zu erstellen, klicken Sie in der IPv4-Liste mit der rechten Maustaste auf Bereichsoptionen und geben Sie einen Namen und eine Beschreibung ein. Klicken Sie auf Weiter.

  5. Geben Sie einen IP-Adressbereich und eine Subnetzmaske an, die der an den Server gebundenen IP-Adresse der Schnittstelle entsprechen. Klicken Sie auf Weiter.

  6. Um eine IP-Adresse auszuschließen, fügen Sie sie unter Ausschluss und Verzögerung hinzufügen hinzu. Klicken Sie auf Weiter.

  7. Fügen Sie eine Leasingdauer hinzu und klicken Sie auf Weiter.

  8. Wählen Sie “Ja, ich möchte diese Optionen jetzt konfigurieren” und klicken Sie auf Weiter.

  9. Geben Sie optional ein Standard-Gateway an und klicken Sie auf Weiter.

  10. Geben Sie optional einen Domänennamen und einen DNS-Server an und klicken Sie auf Weiter.

  11. Geben Sie optional einen WINS-Server an und klicken Sie auf Weiter.

  12. Aktivieren Sie den Bereich, indem Sie “Ja, ich möchte diesen Bereich jetzt aktivieren” auswählen und auf Weiterklicken.

  13. Klicken Sie auf Fertig stellen. Sie können den konfigurierten Bereich auf der Registerkarte IPv4 anzeigen.

Implementierung einer anfänglichen NetScaler-Konfiguration von einem Remote-Computer

Wenn eine neue NetScaler-Appliance gestartet wird, fragt sie den DHCP-Server automatisch nach einer IP-Adresse ab und stellt dem DHCP-Server seine sysid bereit. Diese Aktion gilt auch für jede Appliance, die keine Konfigurationsdatei hat. Der DHCP-Server wählt eine IP-Adresse aus seinem Pool aus und weist sie der Appliance als Subnetz-IP-Adresse (SNIP) zu. Der DHCP-Server enthält die sysid der Appliance und die IP-Adresse, die er der Appliance in der dhcpd.leasess-Datei des Servers zuweist. Um die IP-Adresse Ihrer Appliance zu finden, suchen Sie in der dhcpd.leases-Datei nach dem letzten Eintrag mit sysid der Appliance im Feld uid oder client-hostname. Stellen Sie sicher, dass der Bindungsstatus in diesem Eintrag aktiv ist. Wenn der Bindungsstatus nicht aktiv, aber frei ist, ist die IP-Adresse noch nicht mit der Appliance verknüpft.

Sie können diese Adresse verwenden, um eine Verbindung mit der Appliance herzustellen und die Anfangseinstellungen remote zu konfigurieren. Sie können beispielsweise die IP-Adresse, die Subnetzmaske und die Gateway-Einstellungen ändern, die vom DHCP-Server abgerufen wurden. Nach Abschluss der Erstkonfiguration können Sie die DHCP-IP-Adresse manuell an den Serverpool zurückgeben. Alternativ wird beim Neustart der Appliance die DHCP-IP-Adresse automatisch an den Serverpool zurückgegeben.

Sie können die der Appliance zugewiesene SNIP-Adresse von der NetScaler-Konsole oder vom DHCP-Server aus ermitteln.

Finden Sie die SNIP-Adresse von der NetScaler Konsole

Geben Sie an der Eingabeaufforderung der Konsole ein:

sh dhcpParams
DHCP Client on next reboot is ON
DHCP Client Current State: Active
DHCP Client Default route save: OFF
DHCP acquired IP:192.168.2.127
DHCP acquired Netmask:255.255.255.0
DHCP acquired Gateway:192.168.2.1
Done
<!--NeedCopy-->

Finden Sie die SNIP-Adresse vom DHCP-Server

Suchen Sie in der dhcpd.leases-Datei nach dem letzten Eintrag mit sysid der Ihrer Appliance im Feld uid oder client-hostname.

Beispiel:

Der folgende Eintrag in der dhcpd.leases-Datei eines DHCP-Servers überprüft den Bindungsstatus der Appliance, die 45eae1a8157e89b9314f sysid ist.

lease 192.168.2.127 {
  starts 3 2013/08/19 00:40:37;
  ends 3 2013/08/19 06:40:37;
  cltt 3 2013/08/19 00:40:37;
  binding state active;
  next binding state free;
  hardware ethernet 00:d0:68:11:f4:d6;
  uid "45eae1a8157e89b9314f";
  client-hostname "45eae1a8157e89b9314f";
<!--NeedCopy-->

Im vorherigen Beispiel ist der Bindungsstatus ACTIVE und die der Appliance zugewiesene IP-Adresse lautet 192.168.2.127.

In der folgenden Tabelle werden DHCP-bezogene CLI-Befehle beschrieben, die Sie möglicherweise bei der Konfiguration einer neuen NetScaler-Appliance verwenden möchten.

Tabelle 2. NetScaler CLI-Befehle für die Verwendung von DHCP mit einer neuen NetScaler-Appliance

Aufgabe Geben Sie in der Befehlszeile Folgendes ein
So überprüfen Sie die von DHCP abgerufenen Details wie IP-Adresse, Subnetzmaske und Gateway auf der Appliance

sh dhcpParams

So geben Sie die DHCP-IP-Adresse frei und geben sie an den IP-Adresspool auf dem DHCP-Server zurück, wenn die NetScaler-Konfiguration abgeschlossen ist

release dhcpIP

Verwenden von DHCP, wenn eine Konfigurationsdatei vorhanden ist

Wenn Sie eine NetScaler-Appliance in ein anderes Subnetz verschieben müssen, können Sie mit DHCP auf eine Appliance zugreifen, die bereits über eine Konfigurationsdatei verfügt. Bevor Sie die Appliance verschieben, aktivieren Sie den DHCP-Client und speichern Sie die Konfiguration. Daher fragt die Appliance beim Neustart den DHCP-Server automatisch nach einer IP-Adresse ab. Aktivieren Sie den DHCP-Client und speichern Sie die Konfiguration, bevor Sie die Appliance herunterfahren. Wenn Sie dies nicht aktiviert haben, müssen Sie über die Konsole eine Verbindung mit der Appliance herstellen und den DHCP-Client auf der Appliance dynamisch ausführen. Der DHCP-Server stellt eine IP-Adresse, ein Gateway und eine Subnetzmaske bereit. Sie können die IP-Adresse verwenden, um auf die Appliance zuzugreifen und die anderen Einstellungen remote zu konfigurieren.

Wenn der DHCP-Client in der Konfigurationsdatei aktiviert ist, deaktivieren Sie ihn und speichern Sie dann die Konfigurationsdatei. Wenn der DHCP-Client aktiviert ist, fragt die Appliance den DHCP-Server beim Neustart erneut nach einer IP-Adresse ab.

Die CLI-Befehle, die jeder Aufgabe zugeordnet sind, werden aufgelistet:

  • So führen Sie den DHCP-Client dynamisch aus, um eine IP-Adresse vom DHCP-Server abzurufen

    set dhcpParams dhcpClient on

  • So konfigurieren Sie den DHCP-Client für die Ausführung beim Neustart der Appliance

    set dhcpParams dhcpClient on

    save config

  • So verhindern Sie, dass der DHCP-Client beim Neustart der Appliance ausgeführt wird

    set dhcpParams dhcpClient off

    save config

    Hinweis: Dieser Befehl ist nur erforderlich, wenn die Einstellung ON gespeichert wurde.

  • So speichern Sie die von DHCP erworbene Route, damit sie beim Neustart der Appliance verfügbar ist

    > set dhcpParams -dhcpclient on -saveroute on

    > save config

  • So verhindern Sie das Speichern der von DHCP erworbenen Route (Standardverhalten) set dhcpParams -dhcpclient on -saveroute off

    save config

    Hinweis: Dieser Befehl ist nur erforderlich, wenn die Einstellung ON gespeichert wurde.

Zugriff auf eine NetScaler-Appliance mit SSH-Schlüsseln und ohne Kennwort

Wenn Sie viele NetScaler-Appliances verwalten, kann das Speichern und Nachschlagen von Kennwörtern für die Anmeldung bei einzelnen Appliances umständlich sein. Um zu vermeiden, dass Sie zur Eingabe von Kennwörtern aufgefordert werden, können Sie auf jeder Appliance einen sicheren Shell-Zugriff mit PublicKey-Verschlüsselung einrichten.

NetScaler-Features können auch SSH-Schlüssel-basierte Authentifizierung für die interne Kommunikation verwenden, wenn der interne Benutzer deaktiviert ist (mit dem deaktivierten Befehl set ns param -internaluserlogin). In solchen Fällen muss der Schlüsselname als festgelegt werden ns_comm_key.

Um den Zugriff mit SSH-Schlüsseln einzurichten, müssen Sie das öffentlich-private Schlüsselpaar auf einem Client generieren und den öffentlichen Schlüssel auf die Remote-NetScaler-Appliance kopieren.

Generieren Sie die Schlüssel und stellen Sie mithilfe von SSH-Schlüsseln eine Verbindung zu einer NetScaler Remote Appliance her

  1. Ändern Sie auf einem Client (Linux-Client oder NetScaler) das Verzeichnis in /root/.ssh.

    cd /root/.ssh

  2. Generieren Sie das öffentlich-private Schlüsselpaar.

    ssh-keygen -t <key_type> -f <optional_key_file_name>

    Beispiel:

    So erstellen Sie einen RSA-Schlüssel mit dem Standarddateinamen.

    ssh-keygen -t rsa

  3. Drücken Sie die EINGABETASTE, wenn Sie nach einem Dateinamen für das Schlüsselpaar gefragt werden.

    Hinweis:

    • Wenn Sie den Standarddateinamen für das Schlüsselpaar aktualisieren, verwenden Sie im Rest dieses Verfahrens den neuen Namen anstelle des Standardnamens.
    • Wenn Sie die interne Benutzeranmeldung deaktivieren möchten, verwenden Sie “ns_comm_key” als Dateinamen für das öffentlich-private Schlüsselpaar.
  4. Drücken Sie zweimal die EINGABETASTE, wenn Sie zur Eingabe einer Passphrase aufgefordert werden.

    Hinweis: Wenn der Client eine NetScaler-Appliance ist, verschieben Sie die private Schlüsseldatei an einen beständigen Speicherort wie die Unterverzeichnisse /flash und /var-Verzeichnisse.

  5. Melden Sie sich vom Client aus mit FTP bei der remoten NetScaler-Appliance an und führen Sie die folgenden Schritte aus:

    1. Wechseln Sie zum Verzeichnis /nsconfig/ssh. Geben Sie an der Eingabeaufforderung Folgendes ein:

      cd /nsconfig/ssh

    2. Verwenden Sie den binären Übertragungsmodus, um den öffentlichen Schlüssel in dieses Verzeichnis zu kopieren.

      bin put id_rsa.pub

  6. Öffnen Sie eine Verbindung mit der Remote-NetScaler-Appliance mithilfe eines SSH-Clients wie PuTTY, und führen Sie die folgenden Schritte aus:

    1. Melden Sie sich bei der Remote-Appliance mit den Administratoranmeldeinformationen</span>

    2. Wechseln Sie zur NetScaler Shell.

      shell

    3. Ändern Sie an der Shell-Eingabeaufforderung das Verzeichnis in /nsconfig/ssh.

      root@ns# cd /nsconfig/ssh

    4. Hängen Sie den öffentlichen Schlüssel an die authorized_keys-Datei an. Geben Sie an der Shell-Eingabeaufforderung Folgendes ein:</span>

      root@ns# cat id_rsa.pub >> authorized_keys

      Hinweis: Wenn die Datei authorized_keys auf der Appliance nicht vorhanden ist, müssen Sie zuerst die Datei erstellen und dann den Inhalt anhängen.

    5. Ändern Sie die Berechtigung der ssh Verzeichnisse /flashnsconfig, und auf 755.

      root@ns# chmod 755 /flash root@ns# chmod 755 /flash/nsconfig root@ns# chmod 755 /flash/nsconfig/ssh

    6. Ändern Sie die Berechtigung der Datei authorized_keys auf 744.

      root@ns# chmod 744 authorized_keys

    7. Entfernen Sie optional den öffentlichen Schlüssel.

      root@ns# rm id_rsa.pub

  7. Stellen Sie auf dem Client sicher, dass Sie mithilfe von SSH eine Verbindung mit der Remote-NetScaler-Appliance herstellen können, ohne das Kennwort einzugeben.

    Wenn Sie den Standarddateinamen für das öffentlich-private Schlüsselpaar verwenden.

    ssh <user_name>@<CitrixADCIPAddress>

    Wenn Sie “ns_comm_key” (wenn der interne Benutzer deaktiviert ist) für das öffentlich-private Schlüsselpaar verwendet wird.

    ssh –i /nsconfig/ssh/ns_comm_key <user_name>@<CitrixADCIPAddress>

    Wenn Sie einen anderen Namen für das öffentlich-private Schlüsselpaar verwenden.

    ssh –i <path_to_client_private_key> <user_name>@<CitrixADCIPAddress>

Ändern Sie das Administratorkennwort

Das Standardbenutzerkonto ist das Administratorkonto, das vollständigen Zugriff auf alle Funktionen der NetScaler-Appliance bietet. Um die Sicherheit zu wahren, muss das Verwaltungskonto nur bei Bedarf verwendet werden. Nur Personen, deren Aufgaben vollen Zugriff erfordern, müssen das Kennwort für das Verwaltungskonto kennen.

Hinweis: Citrix empfiehlt, das Administratorkennwort häufig zu ändern.

Ändern Sie das Administratorkennwort mit der GUI

  1. Melden Sie sich mit den Administratorberechtigungen bei der Appliance an.
  2. Navigieren Sie zu System > Benutzeradministration > Benutzer.
  3. Klicken Sie im Bereich Benutzer auf das Standardbenutzerkonto und dann auf Kennwort ändern.
  4. Geben Sie im Dialogfeld Kennwort ändern unter Kennwort und Kennwort bestätigen das Kennwort Ihrer Wahl ein.
  5. Klicken Sie auf OK.

Ändern Sie das Administratorkennwort mit der CLI

Geben Sie in der Befehlszeile Folgendes ein:

set system user <userName> -password
<!--NeedCopy-->

Beispiel:

set system user nsroot -password
Enter password: *****
Confirm password: *****
Done
<!--NeedCopy-->