Configurar NetScaler SSO
Puede configurar el inicio de sesión único de NetScaler para que funcione de dos maneras: por suplantación de identidad o por delegación. El SSO por suplantación de identidad es una configuración más sencilla que el SSO por delegación y, por lo tanto, es preferible cuando la configuración lo permite. Para configurar el SSO de NetScaler mediante suplantación de identidad, debe tener el nombre de usuario y la contraseña del usuario.
Para configurar el inicio de sesión único de NetScaler por delegación, debe tener las credenciales del usuario delegado en uno de los siguientes formatos: el nombre de usuario y la contraseña del usuario, la configuración keytab que incluye el nombre de usuario y una contraseña cifrada, o el certificado de usuario delegado y el certificado de entidad emisora de certificados correspondiente.
Requisitos previos para configurar NetScaler SSO
Antes de configurar un SSO de NetScaler, debe tener el dispositivo NetScaler completamente configurado para administrar el tráfico y la autenticación de los servidores de aplicaciones web. Por lo tanto, debe configurar el equilibrio de carga o el cambio de contenido y, a continuación, la autenticación, la autorización y la auditoría para estos servidores de aplicaciones web. También debe verificar el enrutamiento entre el dispositivo, el servidor LDAP y el servidor Kerberos.
Si su red aún no está configurada de esta manera, realice las siguientes tareas de configuración:
- Configure un servidor y un servicio para cada servidor de aplicaciones web.
- Configure un servidor virtual de administración del tráfico para gestionar el tráfico hacia y desde su servidor de aplicaciones web.
A continuación se presentan breves instrucciones y ejemplos para realizar cada una de estas tareas desde la línea de comandos de NetScaler. Para obtener más ayuda, consulte Configuración de un servidor virtual de autenticación.
Nota
A partir de la versión de NetScaler 13.1, el recorrido entre el dominio raíz y el dominio de árbol se admite durante la autenticación de SSO Kerberos para el servidor back-end desde el dispositivo NetScaler.
Para crear un servidor y un servicio mediante la CLI
Para que el SSO de NetScaler obtenga un TGS (tíquet de servicio) para un servicio, el FQDN asignado a la entidad del servidor en el dispositivo NetScaler debe coincidir con el FQDN del servidor de aplicaciones web o el nombre de la entidad del servidor debe coincidir con el nombre NetBIOS del servidor de aplicaciones web. Puede adoptar cualquiera de los siguientes enfoques:
- Configure la entidad del servidor NetScaler especificando el FQDN del servidor de aplicaciones web.
- Configure la entidad del servidor NetScaler especificando la dirección IP del servidor de aplicaciones web y asigne a la entidad del servidor el mismo nombre que el nombre NetBIOS del servidor de aplicaciones web.
En el símbolo del sistema, escriba los comandos siguientes:
- add server name <serverFQDN>
- add service name serverName serviceType port
<!--NeedCopy-->
Para las variables, sustituya los siguientes valores:
- serverName. Nombre del dispositivo NetScaler que se va a utilizar para hacer referencia a este servidor.
- serverFQDN. FQDN del servidor. Si el servidor no tiene ningún dominio asignado, utilice la dirección IP del servidor y asegúrese de que el nombre de la entidad del servidor coincida con el nombre NetBIOS del servidor de aplicaciones web.
- serviceName. Nombre del dispositivo NetScaler que se va a utilizar para hacer referencia a este servicio.
- type. Protocolo utilizado por el servicio, ya sea HTTP o MSSQLSVC.
- port. Puerto en el que escucha el servicio. Los servicios HTTP suelen escuchar en el puerto 80. Los servicios HTTPS seguros suelen escuchar en el puerto 443.
Ejemplo:
En los siguientes ejemplos se agregan entradas de servidor y servicio en el dispositivo NetScaler para el servidor de aplicaciones web was1.example.com. El primer ejemplo utiliza el FQDN del servidor de aplicaciones web; el segundo utiliza la dirección IP.
Para agregar el servidor y el servicio mediante el FQDN del servidor de aplicaciones web, was1.example.com, debe escribir los siguientes comandos:
add server was1 was1.example.com
add service was1service was1 HTTP 80
<!--NeedCopy-->
Para agregar el servidor y el servicio mediante la IP del servidor de aplicaciones web y el nombre NetBIOS, donde la IP del servidor de aplicaciones web es 10.237.64.87 y su nombre NetBIOS es WAS1, debe escribir los siguientes comandos:
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 80
<!--NeedCopy-->
Para crear un servidor virtual de administración del tráfico mediante la CLI
El servidor virtual de administración del tráfico administra el tráfico entre el cliente y el servidor de aplicaciones web. Puede utilizar un servidor virtual de equilibrio de carga o de conmutación de contenido como servidor de administración del tráfico. La configuración de SSO es la misma para cualquiera de los dos tipos.
Para crear un servidor virtual de equilibrio de carga, en el símbolo del sistema, escriba el siguiente comando:
add lb vserver <vserverName> <type> <IP> <port>
<!--NeedCopy-->
Para las variables, sustituya los siguientes valores:
- vserverName: nombre para el dispositivo NetScaler que se utilizará para hacer referencia a este servidor virtual.
- type: protocolo utilizado por el servicio, ya sea HTTP o MSSQLSVC.
- IP: dirección IP asignada al servidor virtual. Normalmente, se trata de una dirección IP no pública reservada por IANA en su LAN.
- port—Puerto en el que escucha el servicio. Los servicios HTTP suelen escuchar en el puerto 80. Los servicios HTTPS seguros suelen escuchar en el puerto 443.
Ejemplo:
Para agregar un servidor virtual de equilibrio de carga denominado tmvserver1 a una configuración que administra el tráfico HTTP en el puerto 80, asignarle una dirección IP de LAN 10.217.28.20 y, a continuación, vincular el servidor virtual de equilibrio de carga al servicio wasservice1, debe escribir los siguientes comandos:
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
<!--NeedCopy-->
Para crear un servidor virtual de autenticación mediante la CLI
El servidor virtual de autenticación administra el tráfico de autenticación entre el cliente y el servidor de autenticación (LDAP). Para crear un servidor virtual de autenticación, en el símbolo del sistema escriba los siguientes comandos:
add authentication vserver <authvserverName> SSL <IP> 443
<!--NeedCopy-->
Para las variables, sustituya los siguientes valores:
- authvserverName : nombre del dispositivo NetScaler que se utilizará para hacer referencia a este servidor virtual de autenticación. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.), almohadilla (#), espacio ( ), en (@), igual a (=), dos puntos (:) y guión bajo. Se puede cambiar después de agregar el servidor virtual de autenticación mediante el comando rename authentication vserver.
- IP: dirección IP asignada al servidor virtual de autenticación. Al igual que con el servidor virtual de administración del tráfico, esta dirección normalmente sería una IP no pública reservada por IANA en su LAN.
- domain: dominio asignado al servidor virtual. Por lo general, este sería el dominio de la red. Es habitual, aunque no es obligatorio, introducir el dominio en mayúsculas al configurar el servidor virtual de autenticación.
Ejemplo:
Para agregar un servidor virtual de autenticación denominado authverver1 a su configuración y asignarle la IP LAN 10.217.28.21 y el dominio EXAMPLE.COM, debe escribir los siguientes comandos:
add authentication vserver authvserver1 SSL 10.217.28.21 443
<!--NeedCopy-->
Para configurar un servidor virtual de administración del tráfico para que utilice un perfil de autenticación
El servidor virtual de autenticación se puede configurar para gestionar la autenticación de un solo dominio o de varios dominios. Si está configurado para admitir la autenticación de varios dominios, también debe especificar el dominio de NetScaler SSO mediante la creación de un perfil de autenticación y, a continuación, la configuración del servidor virtual de administración de tráfico para que use ese perfil de autenticación.
Nota
El servidor virtual de administración del tráfico puede ser un servidor virtual de equilibrio de carga (lb) o conmutación de contenido (cs). En las instrucciones siguientes se supone que está usando un servidor virtual de equilibrio de carga. Para configurar un servidor virtual de conmutación de contenido, simplemente sustituya set cs vserver por set lb vserver. Por lo demás, el procedimiento es el mismo.
Para crear el perfil de autenticación y, a continuación, configurarlo en un servidor virtual de administración de tráfico, escriba los siguientes comandos:
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver \<vserverName\> -authnProfile <authnprofileName>
<!--NeedCopy-->
Para las variables, sustituya los siguientes valores:
- authnprofileName: nombre del perfil de autenticación. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe constar de uno a treinta y un caracteres alfanuméricos o de guión (-), punto (.), almohadilla (#), espacio ( ), en (@), igual (=), dos puntos (:) y guión bajo.
- authvserverName: nombre del servidor virtual de autenticación que utiliza este perfil para la autenticación.
- authenticationHost: nombre de host del servidor virtual de autenticación.
- authenticationDomain: dominio para el que NetScaler SSO gestiona la autenticación. Necesario si el servidor virtual de autenticación realiza la autenticación para más de un dominio, de modo que se incluya el dominio correcto cuando el dispositivo NetScaler establezca la cookie del servidor virtual de administración del tráfico.
Ejemplo:
Para crear un perfil de autenticación denominado authnProfile1 para la autenticación del dominio example.com y configurar el servidor virtual de equilibrio de carga vserver1 para utilizar el perfil de autenticación authnProfile1, escriba los siguientes comandos:
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
<!--NeedCopy-->