Cómo funciona la autenticación, la autorización y la auditoría
La autenticación, autorización y auditoría proporcionan seguridad para un entorno de Internet distribuido al permitir que cualquier cliente con las credenciales adecuadas se conecte de forma segura a servidores de aplicaciones protegidos desde cualquier lugar de Internet. Esta función incorpora las tres funciones de seguridad de autenticación, autorización y auditoría. La autenticación permite a NetScaler verificar las credenciales del cliente, ya sea localmente o con un servidor de autenticación de terceros, y solo permite que los usuarios aprobados accedan a los servidores protegidos. La autorización permite al ADC verificar a qué contenido de un servidor protegido permite el acceso de cada usuario. La auditoría permite al ADC mantener un registro de la actividad de cada usuario en un servidor protegido.
Para comprender cómo funcionan la autenticación, la autorización y la auditoría en un entorno distribuido, considere una organización con una intranet a la que acceden sus empleados en la oficina, en casa y cuando viajan. El contenido de la intranet es confidencial y requiere acceso seguro. Cualquier usuario que quiera acceder a la intranet debe tener un nombre de usuario y una contraseña válidos. Para cumplir estos requisitos, el ADC hace lo siguiente:
- Redirige al usuario a la página de inicio de sesión si accede a la intranet sin haber iniciado sesión.
-
Recopila las credenciales del usuario, las entrega al servidor de autenticación y las almacena en caché en un directorio accesible a través de LDAP. Para obtener más información, consulte Determinación de atributos en el directorio LDAP.
- Comprueba que el usuario esté autorizado a acceder al contenido específico de la intranet antes de entregar la solicitud del usuario al servidor de aplicaciones.
- Mantiene un tiempo de espera de la sesión tras el cual los usuarios deben volver a autenticarse para recuperar el acceso a la intranet. (Puede configurar el tiempo de espera).
- Registra el acceso del usuario, incluidos los intentos de inicio de sesión no válidos, en un registro de auditoría.
Configurar directivas de auditoría y autorización de autenticación
Después de configurar los usuarios y los grupos, debe configurar las directivas de autenticación, las directivas de autorización y las directivas de auditoría para definir a qué usuarios se les permite acceder a la intranet, a qué recursos puede acceder cada usuario o grupo y qué nivel de detalle autenticación, autorización y auditoría se conservará en los registros de auditoría. Una directiva de autenticación define el tipo de autenticación que se debe aplicar cuando un usuario intenta iniciar sesión. Si se utiliza la autenticación externa, la directiva también especifica el servidor de autenticación externo. Las directivas de autorización especifican los recursos de red a los que pueden acceder los usuarios y los grupos después de iniciar sesión. Las directivas de auditoría definen el tipo y la ubicación del registro de auditoría.
Debe vincular cada directiva para que se aplique. Enlaza directivas de autenticación a servidores virtuales de autenticación, directivas de autorización a una o más cuentas o grupos de usuarios y directivas de auditoría de forma global y a una o más cuentas o grupos de usuarios.
Cuando vincula una directiva, le asigna una prioridad. La prioridad determina el orden en que se evalúan las directivas que defina. Puede establecer la prioridad en cualquier número entero positivo. En el sistema operativo NetScaler, las prioridades directivas funcionan en orden inverso: cuanto mayor sea el número, menor será la prioridad. Por ejemplo, si tiene tres directivas con prioridades de 10, 100 y 1000, la directiva asignada a una prioridad de 10 se ejecuta primero, luego a la directiva se le asigna una prioridad de 100 y, por último, a la directiva se le asigna un orden de 1000. La función de autenticación, autorización y auditoría implementa solo la primera de cada tipo de directiva con la que coincide una solicitud, no ninguna directiva adicional de ese tipo con la que una solicitud también pueda coincidir, por lo que la prioridad de las directivas es importante para obtener los resultados deseados.
Puede dejar suficiente espacio para agregar otras directivas en cualquier orden y configurarlas para que se evalúen en el orden que quiera, estableciendo prioridades con intervalos de 50 o 100 entre cada directiva al vincular las directivas. A continuación, puede agregar directivas adicionales en cualquier momento sin tener que reasignar la prioridad de una directiva existente.
Para obtener información adicional sobre las directivas vinculantes en el dispositivo NetScaler, consulte la documentación del producto NetScaler.
Configurar la directiva No_Auth para omitir cierto tráfico
Ahora puede configurar la directiva No_Auth para omitir cierto tráfico de la autenticación cuando la autenticación basada en 401 está habilitada en el servidor virtual de administración del tráfico. Para este tipo de tráfico, debe vincular una directiva de “No_Auth”.
Para configurar la directiva No_Auth para evitar cierto tráfico mediante la CLI
En la línea de comandos, escriba:
add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->
Ejemplo:
add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->