Restringir el acceso a NetScaler Gateway para los miembros de un grupo de Active Directory
NetScaler Gateway admite dos métodos para restringir el acceso de inicio de sesión.
- Filtro de búsqueda LDAP: solo los nombres de usuario que coinciden con el filtro de búsqueda LDAP (por ejemplo, pertenencia a grupos de Active Directory) pueden iniciar sesión en NetScaler Gateway.
- Grupos con permiso para iniciar sesión en un perfil o directiva de sesión de NetScaler Gateway: este método admite varios grupos de Active Directory. Para obtener información detallada, consulte https://support.citrix.com/article/CTX125797.
En este artículo se describe el método del filtro de búsqueda LDAP.
Información general
Cuando un usuario introduce las credenciales en la página de inicio de sesión del servidor virtual de NetScaler Gateway y presiona ENTRAR, el dispositivo busca primero el nombre de usuario en Active Directory (LDAP). Si no se ha definido un filtro de búsqueda LDAP en la directiva LDAP ni en el servidor, el dispositivo busca una coincidencia en todos los nombres de usuario de Active Directory. Una vez que se encuentra una coincidencia, el dispositivo extrae el nombre distintivo (DN) completo del usuario y utiliza el DN y la contraseña del usuario para autenticarse en Active Directory.
Si se define un filtro de búsqueda LDAP, solo se buscarán coincidencias de nombres de usuario que coincidan con el filtro de búsqueda LDAP. Por ejemplo, si el filtro de búsqueda LDAP se crea para buscar solo miembros de un grupo de Active Directory, el nombre de usuario introducido por el usuario debe coincidir con los miembros del grupo.
Requisitos previos
El servidor virtual NetScaler Gateway debe estar configurado para la autenticación LDAP.
Pasos para configurar un filtro de búsqueda LDAP para los miembros de un grupo de Active Directory
-
Determine el grupo de Active Directory que tiene permiso de acceso y obtenga su nombre distintivo completo.
Una forma sencilla de obtener el nombre distintivo completo del grupo es a través de Usuarios y equipos de Active Directory.
-
En Usuarios y equipos de Active Directory, en el menú Ver, active Funciones avanzadas.
-
Examine el árbol hasta el objeto de grupo, haga clic con el botón secundario del mouse y, a continuación, haga clic en Propiedades. Nota: No puede usar Buscar. En su lugar, debe navegar por el árbol para encontrar el objeto.
-
A la derecha, cambia a la ficha Editor de atributos.
Esta ficha solo está visible si las funciones avanzadas están habilitadas y si no ha utilizado la función Buscar.
-
Vaya hacia abajo hasta distinguishedName, haga doble clic en él y, a continuación, cópielo en el portapapeles.
- En la GUI de NetScaler Gateway, vaya a NetScaler Gateway > Servidores virtuales.
- Seleccione un servidor virtual NetScaler Gateway existente y haga clic en Modificar.
- En la sección Autenticación básica, haga clic en Directivas LDAP.
-
Haga clic con el botón secundario del mouse en una directiva LDAP existente y haga clic en Modificar servidor.
-
En la sección Otros ajustes, en el campo Filtro de búsqueda, escriba memberOf= y, a continuación, pegue el nombre distintivo del grupo de Active Directory después del signo igual (=).
Un ejemplo de filtro de búsqueda es el siguiente: memberOf=CN=Citrix Remote, OU=Citrix, DC=corp, DC=local Nota: De forma predeterminada, NetScaler solo busca nombres de usuario que sean miembros directos del grupo de Active Directory. Si quiere buscar grupos anidados, agregue Microsoft OID። al filtro de búsqueda LDAP. El OID se inserta entre memberOf y =.
Ejemplo: memberOf:1.2.840.113556.1.4.1941:=CN=Citrix Remote, OU=Citrix, DC=corp, DC=local
- Haga clic en Aceptar.