Administración de identidades de usuario
Un número creciente de infracciones de seguridad y la creciente popularidad de los dispositivos móviles han puesto de manifiesto la necesidad de garantizar que el uso de internet externo cumpla con las políticas corporativas y que solo los usuarios autorizados accedan a los recursos externos proporcionados por el personal de la empresa. La administración de identidades lo hace posible al verificar la identidad de una persona o un dispositivo. No determina qué tareas puede realizar el individuo ni qué archivos puede ver.
Una implementación de Secure Web Gateway (SWG) identifica al usuario antes de permitir el acceso a internet. Todas las solicitudes y respuestas del usuario se inspeccionan. La actividad del usuario se registra y los registros se exportan a Citrix® Application Delivery Management (ADM) para generar informes. En Citrix ADM, puedes ver las estadísticas sobre las actividades del usuario, las transacciones y el consumo de ancho de banda.
De forma predeterminada, solo se guarda la dirección IP del usuario, pero puedes configurar el dispositivo Citrix SWG para registrar más detalles sobre el usuario y usar esta información de identidad para crear políticas de uso de internet más completas para usuarios específicos.
El dispositivo Citrix ADC admite los siguientes modos de autenticación para una configuración de proxy explícito.
- Lightweight Directory Access Protocol (LDAP). Autentica al usuario a través de un servidor de autenticación LDAP externo. Para obtener más información, consulta Políticas de autenticación LDAP.
- RADIUS. Autentica al usuario a través de un servidor RADIUS externo. Para obtener más información, consulta Políticas de autenticación RADIUS.
- TACACS+. Autentica al usuario a través de un servidor de autenticación Terminal Access Controller Access-Control System (TACACS) externo. Para obtener más información, consulta Políticas de autenticación.
- Negotiate. Autentica al usuario a través de un servidor de autenticación Kerberos. Si hay un error en la autenticación Kerberos, el dispositivo usa la autenticación NTLM. Para obtener más información, consulta Políticas de autenticación Negotiate.
Para el proxy transparente, actualmente solo se admite la autenticación LDAP basada en IP. Cuando se recibe una solicitud de cliente, el proxy autentica al usuario comprobando una entrada para la dirección IP del cliente en el directorio activo y crea una sesión basada en la dirección IP del usuario. Sin embargo, si configuras el ssoNameAttribute en una acción LDAP, se crea una sesión usando el nombre de usuario en lugar de la dirección IP. Las políticas clásicas no son compatibles con la autenticación en una configuración de proxy transparente.
Nota
Para el proxy explícito, debes establecer el nombre de inicio de sesión LDAP en
sAMAccountName. Para el proxy transparente, debes establecer el nombre de inicio de sesión LDAP ennetworkAddressyattribute1ensAMAccountName.
Ejemplo para proxy explícito:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
Ejemplo para proxy transparente:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
Configurar la autenticación de usuario mediante la CLI de Citrix SWG
En el símbolo del sistema, escribe:
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
Argumentos:
Nombre del servidor virtual:
Nombre del servidor virtual de autenticación al que vincular la directiva.
Longitud máxima: 127
Tipo de servicio:
Tipo de protocolo del servidor virtual de autenticación. Siempre SSL.
Valores posibles: SSL
Valor predeterminado: SSL
Nombre de la acción:
Nombre de la nueva acción LDAP. Debe comenzar con una letra, un número o el carácter de subrayado (_), y debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y subrayado. No se puede modificar después de agregar la acción LDAP. El siguiente requisito se aplica solo a la CLI:
Si el nombre incluye uno o más espacios, encierra el nombre entre comillas dobles o simples (por ejemplo, “mi acción de autenticación” o ‘mi acción de autenticación’).
Longitud máxima: 127
IP del servidor:
Dirección IP asignada al servidor LDAP.
Base LDAP:
Base (nodo) desde la que iniciar las búsquedas LDAP. Si el servidor LDAP se ejecuta localmente, el valor predeterminado de la base es dc=netscaler®, dc=com. Longitud máxima: 127
DN de enlace LDAP:
Nombre distintivo completo (DN) que se usa para enlazar con el servidor LDAP.
Predeterminado: cn=Manager,dc=netscaler,dc=com
Longitud máxima: 127
Contraseña de enlace LDAP:
Contraseña usada para enlazar con el servidor LDAP.
Longitud máxima: 127
Nombre de inicio de sesión LDAP:
Atributo de nombre de inicio de sesión LDAP. El dispositivo Citrix ADC usa el nombre de inicio de sesión LDAP para consultar servidores LDAP externos o Active Directories. Longitud máxima: 127
Nombre de la directiva:
Nombre de la directiva de AUTENTICACIÓN avanzada. Debe comenzar con una letra, un número o el carácter de subrayado (_), y debe contener solo letras, números y los caracteres de guion (-), punto (.), almohadilla (#), espacio ( ), arroba (@), igual (=), dos puntos (:) y subrayado. No se puede modificar después de crear la directiva de AUTENTICACIÓN. El siguiente requisito se aplica solo a la CLI:
Si el nombre incluye uno o más espacios, encierra el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o ‘mi directiva de autenticación’).
Longitud máxima: 127
Regla:
Nombre de la regla, o una expresión de sintaxis predeterminada, que la directiva usa para determinar si se debe intentar autenticar al usuario con el servidor de AUTENTICACIÓN.
Longitud máxima: 1499
Acción:
Nombre de la acción de autenticación que se realizará si la directiva coincide.
Longitud máxima: 127
Prioridad:
Número entero positivo que especifica la prioridad de la directiva. Un número más bajo especifica una prioridad más alta. Las directivas se evalúan en el orden de sus prioridades, y se aplica la primera directiva que coincide con la solicitud. Debe ser único dentro de la lista de directivas vinculadas al servidor virtual de autenticación.
Valor mínimo: 0
Valor máximo: 4294967295
Ejemplo:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
Habilitar el registro de nombres de usuario mediante la CLI de Citrix SWG
En el símbolo del sistema, escribe:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
Argumentos:
AAAUserName
Habilita el registro de nombres de usuario AAA de AppFlow®.
Valores posibles: ENABLED, DISABLED
Valor predeterminado: DISABLED
Ejemplo:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->