Directivas de autenticación

Cuando los usuarios inician sesión en el dispositivo NetScaler o NetScaler Gateway, se autentican de acuerdo con una directiva que cree. Una directiva de autenticación comprende una expresión y una acción. Las directivas de autenticación utilizan expresiones NetScaler.

Después de crear una acción de autenticación y una directiva de autenticación, enlácela a un servidor virtual de autenticación y asígnele una prioridad. Cuando lo vincule, desígnelo también como directiva primaria o secundaria. Las directivas primarias se evalúan antes que las directivas secundarias. En configuraciones que usan ambos tipos de directivas, las directivas principales suelen ser directivas más específicas, mientras que las directivas secundarias suelen ser directivas más generales. Su objetivo es gestionar la autenticación de cualquier cuenta de usuario que no cumpla con los criterios más específicos. La directiva define el tipo de autenticación. Una única directiva de autenticación se puede utilizar para necesidades de autenticación sencillas y suele estar vinculada a nivel global. También puede utilizar el tipo de autenticación predeterminado, que es local. Si configura la autenticación local, también debe configurar usuarios y grupos en el dispositivo.

Puede configurar varias directivas de autenticación y vincularlas para crear un procedimiento de autenticación detallado y servidores virtuales. Por ejemplo, puede configurar la autenticación en cascada y en dos fases mediante la configuración de varias directivas. También puede establecer la prioridad de las directivas de autenticación para determinar qué servidores y el orden en que el dispositivo comprueba las credenciales de los usuarios. Una directiva de autenticación incluye una expresión y una acción. Por ejemplo, si establece la expresión en True value, cuando los usuarios inician sesión, la acción evalúa el inicio de sesión del usuario como true y, a continuación, los usuarios tienen acceso a los recursos de red.

Después de crear una directiva de autenticación, la vincula a nivel global o a servidores virtuales. Cuando vincula al menos una directiva de autenticación a un servidor virtual, las directivas de autenticación enlazadas al nivel global no se utilizan cuando los usuarios inician sesión en el servidor virtual, a menos que el tipo de autenticación global tenga una prioridad más alta que la directiva enlazada al servidor virtual.

Cuando un usuario inicia sesión en el dispositivo, la autenticación se evalúa en el siguiente orden:

• Se comprueba si hay directivas de autenticación vinculadas en el servidor virtual.
• Si las directivas de autenticación no están enlazadas al servidor virtual, el dispositivo comprueba las directivas de autenticación globales.
• Si una directiva de autenticación no está vinculada a un servidor virtual ni de forma global, el usuario se autentica mediante el tipo de autenticación predeterminado.

Si configura directivas de autenticación LDAP y RADIUS y quiere enlazar las directivas de forma global para la autenticación de dos factores, puede seleccionar la directiva en la utilidad de configuración y, a continuación, seleccionar si la directiva es el tipo de autenticación principal o secundaria. También puede configurar una directiva de extracción de grupos.

Nota:

El dispositivo NetScaler o NetScaler Gateway codifican solo caracteres UTF-8 para la autenticación y no son compatibles con los servidores que usan caracteres ISO-8859-1.

Crear una directiva de autenticación

Crear una directiva de autenticación mediante la interfaz gráfica de usuario

1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccione el tipo de directiva que quiere crear. Para NetScaler Gateway, vaya a NetScaler Gateway > Directivas > Autenticación.

2. En el panel de detalles, en la ficha Directivas, realice una de las siguientes acciones:

   • Para crear una nueva directiva, haga clic en Agregar.
   • Para modificar una directiva existente, seleccione la acción y, a continuación, haga clic en Modificar.

3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione los valores de los parámetros.

   • Nombre: nombre de la directiva (no se puede cambiar para una acción configurada previamente)
   • Tipo de autenticación — authtype
   • Servidor — authVsName
   • Expresión: Regla (para introducir expresiones, primero debe elegir el tipo de expresión en la lista desplegable situada más a la izquierda, debajo de la ventana Expresión y, a continuación, escribir la expresión directamente en el área de texto de la expresión o hacer clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilizar el menú desplegable listas en él para construir su expresión.)
4. Haga clic en Crear o Aceptar. La directiva que creó aparece en la página Directivas.

5. Haga clic en la ficha Servidores y, en el panel de detalles, realice una de las siguientes acciones:

   • Para usar un servidor existente, selecciónelo y, a continuación, haga clic en.
   • Para crear un servidor, haga clic en Agregar y siga las instrucciones.
6. Si quiere designar esta directiva como directiva de autenticación secundaria, en la ficha Autenticación, haga clic en Secundaria. Si quiere designar esta directiva como directiva de autenticación principal, omita este paso.
7. Haga clic en Insertar directiva.
8. Elija la directiva que quiere vincular al servidor virtual de autenticación en la lista desplegable.
9. En la columna Prioridad de la izquierda, modifique la prioridad predeterminada para asegurarse de que la directiva se evalúa en el orden correcto.
10. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha configurado correctamente.

Modificar una directiva de autenticación mediante la interfaz gráfica de usuario

Puede modificar las directivas y los perfiles de autenticación configurados, como la dirección IP del servidor de autenticación o la expresión.

1. En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas > Autenticación. Nota: También puede configurar la directiva desde Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccionar el tipo de directiva que quiere modificar.
2. En el panel de navegación, en Autenticación, seleccione un tipo de autenticación.
3. En el panel de detalles, en la ficha Servidores, seleccione un servidor y, a continuación, haga clic en Abrir.

Eliminar una directiva de autenticación mediante la interfaz gráfica de usuario

Si ha cambiado o quitado un servidor de autenticación de la red, quite la directiva de autenticación correspondiente de NetScaler Gateway.

1. En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas > Autenticación. Nota: Para configurar desde ADC, vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticacióny, a continuación, seleccione el tipo de directiva que quiere eliminar.
2. En el panel de navegación, en Autenticación, seleccione un tipo de autenticación.
3. En el panel de detalles, en la ficha Directivas, seleccione una directiva y, a continuación, haga clic en Quitar.

Crear una directiva de autenticación mediante la CLI

En el símbolo del sistema, escriba los comandos siguientes:

add authentication negotiatePolicy <name> <rule> <reqAction>

show authentication localPolicy <name>

bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]

show authentication vserver <name>
<!--NeedCopy-->

Ejemplo:

add authentication localPolicy Authn-Pol-1 ns_true
Done

show authentication localPolicy
1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done

bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Done

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
Timeout: 180 sec Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
1)  Primary authentication policy name:  Authn-Pol-1 Priority: 0
Done
<!--NeedCopy-->

Modificar una directiva de autenticación mediante la CLI

En el símbolo del sistema, escriba los siguientes comandos para modificar una directiva de autenticación existente:

set authentication localPolicy <name> <rule> [-reqaction <action>]
<!--NeedCopy-->

Ejemplo

set authentication localPolicy Authn-Pol-1 'ns_true'
<!--NeedCopy-->

Eliminar una directiva de autenticación mediante la CLI

En el símbolo del sistema, escriba el siguiente comando para eliminar una directiva de autenticación:

rm authentication localPolicy <name>
<!--NeedCopy-->

Ejemplo

rm authentication localPolicy Authn-Pol-1
<!--NeedCopy-->

Enlazar una directiva de autenticación

Después de configurar las directivas de autenticación, la vincula de forma global o a un servidor virtual. Puede utilizar la utilidad de configuración para enlazar una directiva de autenticación.

Para vincular una directiva de autenticación de forma global mediante la utilidad de configuración:

1. En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas > Autenticación. Nota: Para configurar desde ADC, vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación
2. Haga clic en un tipo de autenticación.
3. En el panel de detalles, en la ficha Directivas, haga clic en un servidor y, a continuación, en Acción, haga clic en Enlaces globales.
4. En la ficha Primaria o Secundaria, en Detalles, haga clic en Insertar directiva.

5. En Nombre de directiva, seleccione la directiva y, a continuación, haga clic en Aceptar.

   Nota: Al seleccionar la directiva, NetScaler Gateway establece la expresión en True value automáticamente.

Para desvincular una directiva de autenticación global mediante la utilidad de configuración:

1. En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas > Autenticación. Nota: Para configurar desde ADC, vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación
2. En la ficha Directivas, en Acción, haga clic en Enlaces globales.
3. En el cuadro de diálogo Vincular/desvincular directivas de autenticación a globales, en la ficha Primaria o Secundaria, en Nombre de directiva, seleccione la directiva, haga clic en Desvincular directivay, a continuación, haga clic en Aceptar.

Agregar una acción de autenticación

Agregar una acción de autenticación mediante la CLI

Si no usa la autenticación LOCAL, debe agregar una acción de autenticación explícita. En el símbolo del sistema, escriba el siguiente comando:

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Ejemplo

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->

Configurar una acción de autenticación mediante la CLI

Para configurar una acción de autenticación existente, en el símbolo del sistema, escriba el siguiente comando:

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Ejemplo

set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->

Eliminar una acción de autenticación mediante la interfaz de línea de comandos

Para eliminar una acción RADIUS existente, en el símbolo del sistema, escriba el siguiente comando:

rm authentication radiusAction <name>
<!--NeedCopy-->

Ejemplo

rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->

La autenticación noAuth

El dispositivo NetScaler admite la capacidad de autenticación noAuth que permite al cliente configurar un parámetro defaultAuthenticationGroup en el comando noAuthAction, cuando un usuario ejecuta esta directiva. El administrador puede comprobar la presencia de este grupo en el grupo del usuario para determinar la navegación del usuario a través de la directiva noAuth.

Para configurar una autenticación noAuth mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba;

add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]
<!--NeedCopy-->

Ejemplo

add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup
<!--NeedCopy-->

Tipos de autenticación globales predeterminados

Al instalar NetScaler Gateway y ejecutar el asistente de NetScaler Gateway, configuró la autenticación en el asistente. Esta directiva de autenticación está vinculada automáticamente al nivel global de NetScaler Gateway. El tipo de autenticación que configura en el asistente de NetScaler Gateway es el tipo de autenticación predeterminado. Puede cambiar el tipo de autorización predeterminado ejecutando de nuevo el asistente de NetScaler Gateway o modificar la configuración de autenticación global en la utilidad de configuración.

Si necesita agregar otros tipos de autenticación, puede configurar directivas de autenticación en NetScaler Gateway y vincular las directivas a NetScaler Gateway mediante la utilidad de configuración. Al configurar la autenticación de forma global, se define el tipo de autenticación, se configuran los valores y se establece el número máximo de usuarios que se pueden autenticar.

Después de configurar y vincular la directiva, puede establecer la prioridad para definir qué tipo de autenticación tiene prioridad. Por ejemplo, se configuran las directivas de autenticación LDAP y RADIUS. Si la directiva LDAP tiene un número de prioridad de 10 y la directiva RADIUS tiene un número de prioridad de 15, la directiva LDAP tiene prioridad, independientemente de dónde vincule cada directiva. Esto se denomina autenticación en cascada.

Puede elegir entregar páginas de inicio de sesión desde la memoria caché en memoria de NetScaler Gateway o desde el servidor HTTP que se ejecuta en NetScaler Gateway. Si elige entregar la página de inicio de sesión desde la memoria caché en memoria, la entrega de la página de inicio de sesión desde NetScaler Gateway es más rápida que desde el servidor HTTP. La elección de entregar la página de inicio de sesión desde la memoria caché en memoria reduce el tiempo de espera cuando muchos usuarios inician sesión al mismo tiempo. Solo puede configurar la entrega de páginas de inicio de sesión desde la caché como parte de una directiva de autenticación global.

También puede configurar la dirección IP de traducción de direcciones de red (NAT) que es una dirección IP específica para la autenticación. Esta dirección IP es única para la autenticación y no es la subred de NetScaler Gateway, las direcciones IP asignadas ni las direcciones IP virtuales. Este es un parámetro opcional.

Nota:

• No puede usar el asistente de NetScaler Gateway para configurar la autenticación SAML.

• Puede utilizar el Asistente de configuración rápida para configurar la autenticación de certificados de cliente, LDAP y RADIUS. Al ejecutar el asistente, puede seleccionar entre un servidor LDAP o RADIUS existente configurado en NetScaler Gateway. También puede configurar los ajustes de LDAP o RADIUS. Si utiliza la autenticación de dos factores, Citrix recomienda utilizar LDAP como tipo de autenticación principal.

Configurar los tipos de autenticación globales predeterminados

1. En la GUI, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración de autenticación.
3. En Número máximo de usuarios, escriba el número de usuarios que se pueden autenticar mediante este tipo de autenticación.
4. En Dirección IP NAT, escriba la dirección IP única para la autenticación.
5. Seleccione Activar almacenamiento encaché estático para entregar las páginas de inicio de sesión más rápido.
6. Seleccione Habilitar comentarios de autenticación mejorada para enviar un mensaje a los usuarios si la autenticación falla. El mensaje que reciben los usuarios incluye los errores de contraseña, la cuenta inhabilitada o bloqueada, o el usuario no se encuentra, por nombrar algunos.
7. En Tipo de autenticación predeterminado, seleccione el tipo de autenticación.
8. Configure los ajustes de su tipo de autenticación y, a continuación, haga clic en Aceptar.

Función para recuperar los intentos de inicio de sesión actuales para un usuario

El dispositivo NetScaler proporciona una opción para recuperar el valor de los intentos de inicio de sesión actuales de un usuario mediante una nueva expresión aaa.user.login_attempts. La expresión acepta un argumento (nombre de usuario) o ningún argumento. Si no hay ningún argumento, la expresión obtiene el nombre de usuario de aaa_session o aaa_info.

Puede usar la expresión aaa.user.login_attempts con directivas de autenticación para su posterior procesamiento.

Para configurar el número de intentos de inicio de sesión por usuario mediante la CLI

En la línea de comandos, escriba:

add expression er aaa.user.login_attempts