ADC

Autenticación TACACS

La directiva de autenticación de TACACS se autentica en un servidor de autenticación del Sistema de control de acceso a la terminal (TACACS) externo. Una vez que un usuario se autentica en un servidor TACACS, NetScaler se conecta al mismo servidor TACACS para todas las autorizaciones posteriores. Cuando un servidor TACACS principal no está disponible, esta función evita cualquier retraso mientras el ADC espera a que se agote el tiempo de espera del primer servidor TACACS. Esto ocurre antes de volver a enviar la solicitud de autorización al segundo servidor TACACS.

Nota:

El servidor de autorización TACACS no admite comandos cuya longitud de cadena supere los 255 caracteres.

Solución alternativa: utilice la autorización local en lugar de un servidor de autorización TACACS.

Al autenticarse a través de un servidor TACACS, los registros de administración del tráfico de autenticación, autorización y auditoría solo ejecutan correctamente los comandos TACACS. Impide que los registros muestren los comandos de TACACS introducidos por los usuarios que no estaban autorizados a ejecutarlos.

A partir de la compilación 57.x de NetScaler 12.0, el Sistema de control de acceso de Terminal Access Controller (TACACS) no bloquea el daemon de autenticación, autorización y auditoría al enviar la solicitud TACACS. Permitir la autenticación LDAP y RADIUS para continuar con la solicitud. La solicitud de autenticación TACACS se reanuda una vez que el servidor TACACS reconoce la solicitud TACACS.

Importante:

  • Citrix recomienda no modificar ninguna configuración relacionada con TACACS cuando ejecuta un comando “clear ns config”.

  • La configuración relacionada con TACACS relacionada con las directivas avanzadas se borra y se vuelve a aplicar cuando el parámetro “rbaConfig” se establece en NO en el comando “clear ns config” de la directiva avanzada.

Compatibilidad con atributos nombre-valor para la autenticación TACACS

Ahora puede configurar los atributos de autenticación de TACACS con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción TACACS y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado al nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

Importante

  • En el comando TacacsAction, puede configurar un máximo de 64 atributos separados por comas con un tamaño total inferior a 2048 bytes.

Para configurar los atributos nombre-valor mediante la CLI

En la línea de comandos, escriba:

add authentication tacacsAction <name> [-Attributes <string>]
<!--NeedCopy-->

Ejemplo:

add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”
<!--NeedCopy-->

Para agregar una acción de autenticación mediante la interfaz de línea de comandos

Si no usa la autenticación LOCAL, debe agregar una acción de autenticación explícita. En el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Ejemplo

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->

Para configurar una acción de autenticación mediante la interfaz de línea de comandos

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Ejemplo

    > set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812                   -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"    Done
<!--NeedCopy-->

Para eliminar una acción de autenticación mediante la interfaz de línea de comandos

Para eliminar una acción RADIUS existente, en el símbolo del sistema, escriba el siguiente comando:

rm authentication radiusAction <name>
<!--NeedCopy-->

Ejemplo

rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->
Autenticación TACACS