ADC

Negociar la autenticación

Como ocurre con otros tipos de directivas de autenticación, una directiva de autenticación de Negotiate se compone de una expresión y una acción. Después de crear una directiva de autenticación, la enlaza a un servidor virtual de autenticación y le asigna una prioridad. Al vincularlo, también lo designa como directiva principal o secundaria.

Además de las funciones de autenticación estándar, el comando Negotiate Action ahora puede extraer la información del usuario de un archivo de tabulación de teclas en lugar de tener que introducir esa información manualmente. Si una ficha de claves tiene más de un SPN, la autenticación, la autorización y la auditoría seleccionan el SPN correcto. Puede configurar esta función en la línea de comandos o mediante la utilidad de configuración.

Nota

Estas instrucciones asumen que ya está familiarizado con el protocolo LDAP y que ya ha configurado el servidor de autenticación LDAP elegido.

Para configurar la autenticación, la autorización y la auditoría para extraer la información del usuario de un archivo keytab mediante la interfaz de línea de comandos

En la línea de comandos, escriba el comando correspondiente:

add authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd } [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]

set authentication negotiateAction <name> {-domain <string>} {-domainUser <string>} {-domainUserPasswd} [-defaultAuthenticationGroup <string>] [-keytab <string>] [-NTLMPath <string>]
<!--NeedCopy-->

Parameter description

  • nombre : nombre de la acción de negociación que se va a utilizar.
  • dominio : nombre de dominio del principal del servicio que representa a NetScaler.
  • DomainUser : nombre de usuario de la cuenta que está mapeada con NetScaler principal. Esto se puede proporcionar junto con el dominio y la contraseña cuando el archivo keytab no esté disponible. Si se proporciona el nombre de usuario junto con el archivo keytab, se buscarán las credenciales de este usuario en ese archivo keytab. Longitud máxima: 127
  • DomainUserPasswd : contraseña de la cuenta que está asignada al principal de NetScaler.
  • DefaultAuthenticationGroup : este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos. Longitud máxima: 63
  • keytab: Ruta al archivo keytab que se utiliza para descifrar tíquets kerberos presentados a NetScaler. Si la ficha clave no está disponible, se puede especificar el dominio/nombre de usuario/contraseña en la configuración de la acción de negociación. Longitud máxima: 127
  • NTLMPath : la ruta al sitio que está habilitada para la autenticación NTLM, incluido el FQDN del servidor. Se utiliza cuando los clientes recurren a NTLM. Longitud máxima: 127

Para configurar la autenticación, la autorización y la auditoría para extraer la información del usuario de un archivo de fichas clave mediante la utilidad de configuración

Nota

En la utilidad de configuración, se utiliza el término servidor en lugar de acción, pero se refiere a la misma tarea.

  1. Vaya a Seguridad > AAA: tráfico de aplicaciones > Autenticación > Directivas avanzadas > Acciones > NEGOCIE acciones.
  2. En el panel de detalles, en la ficha Servidores, realice una de las siguientes acciones:

    • Si desea crear una nueva acción de negociación, haga clic en Agregar.
    • Si desea modificar una acción de negociación existente, en el panel de datos, seleccione la acción y, a continuación, haga clic en Modificar.
  3. Si va a crear una nueva acción de negociación, en el cuadro de texto Nombre, escriba un nombre para la nueva acción. El nombre puede tener una longitud de uno a 127 caracteres y puede constar de letras mayúsculas y minúsculas, números y caracteres de guión (-) y de subrayado (_). Si está modificando una acción de negociación existente, omita este paso. El nombre es de solo lectura; no se puede cambiar.
  4. En Negotiate, si la casilla Usar archivo Keytab aún no está marcada, márquela.
  5. En el cuadro de texto de la ruta del archivo Keytab, escriba la ruta completa y el nombre del archivo Keytab que desee utilizar.
  6. En el cuadro de texto Grupo de autenticación predeterminado, escriba el grupo de autenticación que desee establecer como predeterminado para este usuario.
  7. Haga clic en Crear o Aceptar para guardar los cambios.

Puntos a tener en cuenta cuando se utilizan cifrados avanzados para la autenticación Kerberos

  • Ejemplo de configuración cuando se utiliza keytab: agregar autenticación NegotiateAction neg_act_aes256 -keytab “/nsconfig/krb/lbvs_aes256.keytab”
  • Use el siguiente comando cuando keytab tenga varios tipos de cifrado. El comando captura adicionalmente los parámetros de usuario del dominio: add authentication NegotiateAction neg_act_keytab_all -keytab “/nsconfig/krb/lbvs_all.keytab” -DomainUser “HTTP/LBVS.AAA.local”
  • Utilice los siguientes comandos cuando se utilicen credenciales de usuario: add authentication NegotiateAction neg_act_user -domain AAA.LOCAL -DomainUser “HTTP/LBVS.AAA.local” -DomainUserPasswd <password>
  • Asegúrese de que se proporciona la información correcta de domainUser. Puede buscar el nombre de inicio de sesión del usuario en AD.