ADC

Gestión de la identidad del usuario

El creciente número de infracciones de seguridad y la creciente popularidad de los dispositivos móviles han puesto de relieve la necesidad de garantizar que el uso de Internet externo cumpla con las directivas corporativas. Solo se debe permitir el acceso a los recursos externos proporcionados por el personal corporativo a los usuarios autorizados. La gestión de identidades lo hace posible mediante la verificación de la identidad de una persona o de un dispositivo. No determina qué tareas puede realizar el individuo ni qué archivos puede ver el individuo.

Una implementación de proxy de reenvío SSL identifica al usuario antes de permitir el acceso a Internet. Se inspeccionan todas las solicitudes y respuestas del usuario. Se registra la actividad del usuario y los registros se exportan a NetScaler Application Delivery Management (ADM) para generar informes. En NetScaler Console, puede ver las estadísticas sobre las actividades de los usuarios, las transacciones y el consumo de ancho de banda.

De forma predeterminada, solo se guarda la dirección IP del usuario, pero puede configurar la función para registrar más detalles sobre el usuario. Puede utilizar esta información de identidad para crear directivas de uso de Internet más eficaces para usuarios específicos.

El dispositivo NetScaler admite los siguientes modos de autenticación para una configuración de proxy explícito.

  • Protocolo ligero de acceso a directorios (LDAP). Autentica al usuario a través de un servidor de autenticación LDAP externo. Para obtener más información, consulte Directivas de autenticación de LDAP.
  • RADIO. Autentica al usuario a través de un servidor RADIUS externo. Para obtener más información, consulte Autenticación RADIUS.
  • TACACS+ Autentica al usuario a través de un servidor externo de autenticación del sistema de control de acceso de controlador de acceso de Terminal Access Controller (TACACS). Para obtener más información, consulte Directivas de autenticación de TACACS.
  • Negociar. Autentica al usuario mediante un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, el dispositivo utiliza la autenticación NTLM. Para obtener más información, consulte Negociar directivas de autenticación.

Para proxy transparente, solo se admite la autenticación LDAP basada en IP. Cuando se recibe una solicitud de cliente, el proxy autentica al usuario mediante la comprobación de una entrada de la dirección IP del cliente en active directory. A continuación, crea una sesión basada en la dirección IP del usuario. Sin embargo, si configura el atributo ssonameAttribute en una acción LDAP, se crea una sesión utilizando el nombre de usuario en lugar de la dirección IP. Las directivas clásicas no son compatibles con la autenticación en una configuración de proxy transparente.

Nota

Para proxy explícito, debe establecer el nombre de inicio de sesión de LDAP en sAMAccountName. Para proxy transparente, debe establecer el nombre de inicio de sesión de LDAP en networkAddress y attribute1 en sAMAccountName.

Ejemplo de proxy explícito:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

Ejemplo de proxy transparente:

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

Configurar la autenticación de usuarios mediante la CLI

En el símbolo del sistema, escriba:

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

Argumentos:

Nombre del servidor virtual:

Nombre del servidor virtual de autenticación al que se va a enlazar la directiva.

Longitud máxima: 127

Tipo de servicio:

Tipo de protocolo del servidor virtual de autenticación. Siempre SSL.

Valores posibles: SSL

Valor predeterminado: SSL

Nombre de la acción:

Nombre de la nueva acción LDAP. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.), almohadilla (#), espacio ( ), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar después de agregar la acción LDAP. El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o varios espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi acción de autenticación” o “mi acción de autenticación”).

Longitud máxima: 127

serverIP:

Dirección IP asignada al servidor LDAP.

ldapBase:

Base (nodo) desde la que se inician las búsquedas LDAP. Si el servidor LDAP se ejecuta localmente, el valor predeterminado de base es dc=netscaler, dc=com. Longitud máxima: 127

ldapBindDn:

Nombre distintivo completo (DN) que se utiliza para enlazar con el servidor LDAP.

Predeterminado: cn=manager, dc=netscaler, dc=com

Longitud máxima: 127

ldapBindDnPassword:

Contraseña utilizada para enlazar con el servidor LDAP.

Longitud máxima: 127

ldapLoginName:

Atributo de nombre de inicio de sesión LDAP. El dispositivo NetScaler utiliza el nombre de inicio de sesión LDAP para consultar servidores LDAP externos o Active Directories. Longitud máxima: 127

Nombre de la directiva:

Nombre de la directiva AUTENTICACIÓN avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.), almohadilla (#), espacio ( ), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar después de crear una directiva de AUTENTICACIÓN. El siguiente requisito solo se aplica a la CLI:

Si el nombre incluye uno o varios espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

Longitud máxima: 127

regla:

Nombre de la regla o expresión de directiva avanzada que utiliza la directiva para determinar si se intenta autenticar al usuario con el servidor AUTENTICATION.

Longitud máxima: 1499

acción:

Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

Longitud máxima: 127

prioridad:

Entero positivo que especifica la prioridad de la directiva. Un número inferior especifica una prioridad más alta. Las directivas se evalúan en el orden de sus prioridades y se aplica la primera directiva que coincide con la solicitud. Debe ser único en la lista de directivas enlazadas al servidor virtual de autenticación.

Valor mínimo: 0

Valor máximo: 4294967295

Ejemplo:

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

Habilitar el registro de nombres de usuario mediante la CLI

En la línea de comandos, escriba:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

Argumentos:

AAAUserName

Habilite el registro de nombres de usuario de autenticación, autorización y auditoría de AppFlow.

Valores posibles: ENABLED, DISABLED

Valor predeterminado: DESACTIVADO

Ejemplo:

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Gestión de la identidad del usuario