Autenticación, autorización y auditoría del tráfico de aplicaciones
Muchas empresas restringen el acceso al sitio web solo a usuarios válidos y controlan el nivel de acceso permitido a cada usuario. La función de autenticación, autorización y auditoría permite al administrador del sitio administrar los controles de acceso con el dispositivo NetScaler en lugar de administrar estos controles por separado para cada aplicación. La autenticación en el dispositivo también permite compartir esta información en todos los sitios web del mismo dominio que están protegidos por el dispositivo.
Para utilizar la autenticación, autorización y auditoría, debe configurar los servidores virtuales de autenticación para gestionar el proceso de autenticación y los servidores virtuales de administración del tráfico para gestionar el tráfico hacia las aplicaciones web que requieren autenticación. También configura su DNS para asignar FQDN a cada servidor virtual. Tras configurar los servidores virtuales, debe configurar una cuenta de usuario para cada usuario que se autenticará mediante el dispositivo NetScaler y, si lo desea, puede crear grupos y asignar cuentas de usuario a los grupos. Después de crear grupos y cuentas de usuario, se configuran directivas que indican al dispositivo cómo autenticar a los usuarios, a qué recursos se les permite acceder y cómo registrar las sesiones de usuario. Para aplicar las directivas, debe vincular cada directiva de forma global, a un servidor virtual específico o a las cuentas de usuario o grupos adecuados. Después de configurar las directivas, puede personalizar las sesiones de usuario configurando los ajustes de sesión y vinculando las directivas de sesión al servidor virtual de administración del tráfico. Por último, si la intranet utiliza certificados de cliente, debe configurar la configuración del certificado de cliente.
Para comprender cómo funcionan la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:
- Redirige al usuario a la página de inicio de sesión si accede a la intranet sin haber iniciado sesión.
-
Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio al que se puede acceder mediante el Protocolo ligero de acceso a directorios (LDAP). Para obtener más información, consulte Determinación de atributos en el directorio LDAP.
- Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
- Mantiene un tiempo de espera de la sesión tras el cual los usuarios deben volver a autenticarse para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
- Registra el acceso del usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.
Tipos de autenticación admitidos
- Locales
- LDAP
- RADIUS
- SAML
- TACACS+
- Autenticación de certificado de cliente (incluida la autenticación con tarjeta inteligente)
- Web
- Autentificación avanzada
- Autentificación basada en formularios
- Autentificación basada en 401
- OTP nativo
- Notificación push
- Correo electrónico OTP
- reCAPTCHA
NetScaler Gateway también es compatible con RSA SecurID, Gemalto Protiva y SafeWord. Se utiliza un servidor RADIUS para configurar estos tipos de autenticación.
Antes de configurar la autenticación, la autorización y la auditoría, debe conocer y comprender cómo configurar el equilibrio de carga, la conmutación de contenido y el SSL en el dispositivo NetScaler.
Autenticación sin autorización
La autorización especifica los recursos de red a los que tienen acceso los usuarios cuando inician sesión en el dispositivo. La configuración predeterminada de la autorización es denegar el acceso a todos los recursos de red. Citrix recomienda utilizar la configuración global predeterminada y, a continuación, crear directivas de autorización para definir los recursos de red a los que pueden acceder los usuarios.
La autorización se configura en el dispositivo mediante expresiones y directivas de autorización. Después de crear una directiva de autorización, puede vincularla a los usuarios o grupos que haya configurado en el dispositivo.
Puede configurar el dispositivo para que utilice únicamente la autenticación, sin autorización. Al configurar la autenticación sin autorización, el dispositivo no realiza una comprobación de autorización de grupo. Las directivas que configura para el usuario o el grupo se asignan al usuario.
Habilitación de autenticación, autorización y auditoría
Para utilizar la función de autenticación, autorización y auditoría, debe habilitarla. Puede configurar entidades de autenticación, autorización y auditoría, como los servidores virtuales de autenticación y administración del tráfico, antes de habilitar la función de autenticación, autorización y auditoría, pero las entidades no funcionan hasta que se habilita la función.
Para habilitar la autenticación, autorización y auditoría mediante la CLI
En el símbolo del sistema, escriba los siguientes comandos para habilitar la autenticación, la autorización y la auditoría y compruebe la configuración:
enable ns feature AAA
<!--NeedCopy-->
Para habilitar la autenticación, autorización y auditoría mediante la interfaz gráfica de usuario
- Ve a Sistema > Configuración.
- En el panel de detalles, en Modos y funciones, haga clic en Cambiar funciones básicas.
- En el cuadro de diálogo Configurar funciones básicas, active la casilla de verificación Autenticación, autorización y auditoría .
- Haga clic en Aceptar.
Inhabilitar la autenticación
Si la implementación no requiere autenticación, puede inhabilitarla. Puede inhabilitar la autenticación para cada servidor virtual que no requiera autenticación.
Importante:
Importante: Citrix recomienda inhabilitar la autenticación con precaución. Si no utiliza un servidor de autenticación externo, cree usuarios y grupos locales para permitir que el dispositivo autentique a los usuarios. Al inhabilitar la autenticación se detiene el uso de las funciones de autenticación, autorización y contabilidad que controlan y supervisan las conexiones al dispositivo. Cuando los usuarios escriban una dirección web para conectarse al dispositivo, la página de inicio de sesión no aparece.
Para inhabilitar la autenticación
- Vaya a Configuración > NetScaler Gateway > Servidores virtuales.
- En el panel de detalles, haga clic en un servidor virtual y, a continuación, haga clic en Abrir.
- En la página Configuración básica, desactive la casilla de verificación Habilitar autenticación .