Descarga de autenticación Kerberos desde servidores físicos
El dispositivo NetScaler puede descargar las tareas de autenticación de los servidores. En lugar de que los servidores físicos autentiquen las solicitudes de los clientes, NetScaler autentica todas las solicitudes de los clientes antes de reenviarlas a cualquiera de los servidores físicos enlazados a él. La autenticación de usuarios se basa en tokens de Active Directory.
No hay autenticación entre NetScaler y el servidor físico, y la descarga de autenticación es transparente para los usuarios finales. Tras el inicio de sesión inicial en un equipo con Windows, el usuario final no tiene que introducir ninguna información de autenticación adicional en una ventana emergente o en una página de inicio de sesión.
En la versión actual del dispositivo NetScaler, la autenticación Kerberos solo está disponible para los servidores virtuales de administración del tráfico de autenticación, autorización y auditoría. La autenticación Kerberos no es compatible con la VPN SSL del dispositivo NetScaler Gateway Advanced Edition ni con la administración de dispositivos NetScaler.
La autenticación Kerberos requiere configuración en el dispositivo NetScaler y en los exploradores cliente.
Para configurar la autenticación Kerberos en el dispositivo NetScaler
Nota
Las contraseñas utilizadas en la siguiente configuración de ejemplo son solo ejemplos y no las contraseñas de configuración reales.
-
Cree una cuenta de usuario en Active Directory. Al crear una cuenta de usuario, compruebe las siguientes opciones en la sección Propiedades de usuario:
- Asegúrese de no seleccionar la opción Cambiar contraseña en el próximo inicio de sesión.
- Asegúrese de seleccionar la opción La contraseña no caduca.
-
En el servidor de AD, en el símbolo del sistema de la CLI, escriba:
- ktpass -princ HTTP/kerberos.crete.lab.net@crete.lab.net -ptype KRB5_NT_PRINCIPAL -mapuser kerbuser@crete.lab.net -mapop set -pass Citrix1 -out C:\kerbtabfile.txt
Nota
Asegúrese de escribir el comando anterior en una sola línea. El resultado del comando anterior se escribe en el archivo C:\kerbtabfile.txt.
-
Cargue el archivo kerbtabfile.txt al directorio /etc del dispositivo NetScaler mediante un cliente Secure Copy (SCP).
-
Ejecute el siguiente comando para agregar un servidor DNS al dispositivo NetScaler.
- agregar servidor de nombres dns 1.2.3.4
El dispositivo NetScaler no puede procesar las solicitudes de Kerberos sin el servidor DNS. Asegúrese de utilizar el mismo servidor DNS que se utiliza en el dominio de Microsoft Windows.
-
Cambie a la interfaz de línea de comandos de NetScaler.
-
Ejecute el siguiente comando para crear un servidor de autenticación Kerberos:
- add authentication negotiateAction KerberosServer -domain “crete.lab.net” -domainUser kerbuser -domainUserPasswd Citrix1 -keytab /var/mykcd.keytab
Nota
Si keytab no está disponible, puede especificar los parámetros: domain, domainUser y -domainUserPasswd.
-
Ejecute el siguiente comando para crear una directiva de negociación:
add authentication negotiatePolicy Kerberos-Policy "REQ.IP.DESTIP == 192.168.17.200" KerberosServer<!--NeedCopy-->
-
Ejecute el siguiente comando para crear un servidor virtual de autenticación.
add authentication vserver Kerb-Auth SSL 192.168.17.201 443 -AuthenticationDomain crete.lab.net<!--NeedCopy-->
-
Ejecute el siguiente comando para enlazar la directiva Kerberos al servidor virtual de autenticación:
bind authentication vserver Kerb-Auth -policy Kerberos-Policy -priority 100<!--NeedCopy-->
-
Ejecute el siguiente comando para enlazar un certificado SSL al servidor virtual de autenticación. Puede utilizar uno de los certificados de prueba, que puede instalar desde la GUI del dispositivo NetScaler. Ejecute el siguiente comando para utilizar el certificado de muestra de ServerTestCert.
bind ssl vserver Kerb-Auth -certkeyName ServerTestCert<!--NeedCopy-->
-
Cree un servidor virtual de equilibrio de carga HTTP con la dirección IP 192.168.17.200.
Asegúrese de crear un servidor virtual desde la interfaz de línea de comandos para las versiones de NetScaler 9.3 si son anteriores a la 9.3.47.8.
-
Ejecute el siguiente comando para configurar un servidor virtual de autenticación:
set lb vserver <name>-authn401 ON -authnVsName Kerb-Auth<!--NeedCopy-->
-
Introduzca el nombre de host Ejemplo en la barra de direcciones del explorador Web.
El explorador web muestra un cuadro de diálogo de autenticación porque la autenticación Kerberos no está configurada en el explorador.
Nota
La autenticación Kerberos requiere una configuración específica en el cliente. Asegúrese de que el cliente puede resolver el nombre de host, lo que hace que el explorador web se conecte a un servidor virtual HTTP.
-
Configure Kerberos en el explorador web del equipo cliente.
- Para configurar en Internet Explorer, consulte Configuración de Internet Explorer para la autenticación Kerberos.
- Para configurar en Mozilla Firefox, consulte Configuración de Internet Explorer para la autenticación Kerberos.
-
Compruebe si puede acceder al servidor físico back-end sin autenticación.
Para configurar Internet Explorer para la autenticación Kerberos
- Seleccione Opciones de Internet en el menú Herramientas .
- Activa la ficha Seguridad .
- Seleccione Intranet local en la sección Seleccionar una zona para ver los cambios de configuración de seguridad.
- Haga clic en Sitios.
- Haga clic en Avanzadas.
- Especifique la URL, el ejemplo y haga clic en Agregar.
- Reinicie Internet Explorer.
Para configurar Mozilla Firefox para la autenticación Kerberos
- Escriba about:config en la barra de direcciones del explorador.
- Haga clic en la exención de responsabilidad de advertencia.
- Escriba network.negotiate-auth.trusted-URIS en el cuadro Filtro .
-
Haga doble clic en Network.negotiate-auth.trusted-URIS. A continuación se muestra una pantalla de ejemplo.
- En el cuadro de diálogo Introducir valor de cadena, especifique www.crete.lab.net.
- Reinicia Firefox.