Configurar los ajustes de autenticación y autorización

La autenticación en el servicio de administración (Management Service) de NetScaler SDX puede ser local o externa. En la autenticación externa, el Management Service concede acceso al usuario basándose en la respuesta de un servidor externo. El Management Service admite los siguientes protocolos de autenticación externa:

• Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)
• Sistema de control de acceso de controlador de acceso a terminales (TACACS)
• Protocolo ligero de acceso a directorios (LDAP)

El Management Service también admite solicitudes de autenticación de SSH. La autenticación SSH solo admite solicitudes de autenticación interactiva por teclado. La autorización de los usuarios de SSH se limita únicamente a los permisos de administrador. Los usuarios con permisos de solo lectura no pueden iniciar sesión a través de SSH.

Para configurar la autenticación, especifique el tipo de autenticación y configure un servidor de autenticación.

La autorización por parte del Management Service es local. El Management Service admite dos niveles de permisos. Los usuarios con permisos de administrador pueden realizar cualquier acción en el Management Service. Los usuarios con permisos de solo lectura solo pueden realizar operaciones de lectura. La autorización de los usuarios de SSH se limita únicamente a los permisos de administrador. Los usuarios con permisos de solo lectura no pueden iniciar sesión a través de SSH.

La autorización para RADIUS y LDAP es compatible con la extracción de grupos. Puede establecer los atributos de extracción de grupos durante la configuración de los servidores RADIUS o LDAP en el Management Service. El nombre del grupo extraído se compara con los nombres de grupo en el Management Service para determinar los permisos concedidos al usuario. Un usuario puede pertenecer a varios grupos. En este caso, el usuario tiene permisos de administrador si un grupo al que pertenece el usuario tiene permisos de administrador. Durante la configuración, se puede establecer un atributo de grupo de autenticación predeterminado. Este grupo se tiene en cuenta junto con los grupos extraídos para la autorización.

En el caso de la autorización de TACACS, el administrador del servidor TACACS debe permitir un comando especial admin para un usuario que deba tener permisos de administrador y denegar este comando a los usuarios con permisos de solo lectura. Cuando un usuario inicia sesión en el dispositivo SDX, el Management Service comprueba si el usuario tiene permiso para ejecutar este comando y, si el usuario tiene permisos, se le asignan los permisos de administrador; de lo contrario, se le asignan los permisos de solo lectura.

Agregar un grupo de usuarios

Los grupos son agrupaciones lógicas de usuarios que necesitan acceder a información común o realizar tareas similares. Puede organizar a los usuarios en grupos definidos por un conjunto de operaciones comunes. Al proporcionar permisos específicos a grupos en lugar de a usuarios individuales, puede ahorrar tiempo al crear usuarios.

Si utiliza servidores de autenticación externos para la autenticación, los grupos en SDX se pueden configurar para que coincidan con los grupos configurados en los servidores de autenticación. Si un usuario que pertenece a un grupo cuyo nombre coincide con un grupo en un servidor de autenticación inicia sesión y se autentica, el usuario hereda la configuración del grupo en el dispositivo SDX.

Para agregar un grupo de usuarios

1. En la ficha Configuración, en Sistema, expanda el nodo Administración de usuarios y, a continuación, haga clic en Grupos.

2. En el panel de detalles, haga clic en Agregar.

   

3. En la página Crear grupo del sistema, establezca los siguientes parámetros:
   • Nombre del grupo
   • Descripción del grupo
   • Acceso al sistema: seleccione este campo para conceder acceso a todo el dispositivo SDX y a las instancias que se ejecutan en él. Como alternativa, para el acceso a nivel de instancia, especifique las instancias en Instancias.
   • Permiso
   • Configurar tiempo de espera de la sesión de usuario
   • Usuarios: usuarios de la base de datos que pertenecen al grupo. Seleccione los usuarios que desea agregar al grupo.
4. Haga clic en Crear y Cerrar.

Nota

Para crear un grupo con función de administrador en un dispositivo SDX actualizado de la versión 10.5 a la 11.1, active el permiso “Acceso de lectura y escritura” y la casilla de verificación “Acceso al sistema”. En SDX 10.5, esta casilla de verificación no está disponible y los valores de Permiso son “admin” y “solo lectura”.

Configurar cuentas de usuario

Un usuario inicia sesión en el dispositivo SDX para realizar tareas de administración del dispositivo. Para permitir que un usuario acceda al dispositivo, debe crear una cuenta de usuario en el dispositivo SDX para ese usuario. Los usuarios se autentican localmente en el dispositivo.

Importante: La contraseña se aplica al dispositivo SDX, al Management Service y al Citrix Hypervisor. No cambie la contraseña directamente en el Citrix Hypervisor.

Configurar una cuenta de usuario

1. En la ficha Configuración, en Sistema, expanda el nodo Administración y, a continuación, haga clic en Usuarios. En el panel Usuarios, aparece una lista de las cuentas de usuario existentes con sus permisos.

2. En el panel Usuarios, realice una de las siguientes acciones:

   • Para crear una cuenta de usuario, haga clic en Agregar.
   • Para modificar una cuenta de usuario, seleccione el usuario y, a continuación, haga clic en Modificar.

3. En el cuadro de diálogo “Crear usuario del sistema” o “Modificar usuario del sistema”, establezca los siguientes parámetros:

   • Nombre* — El nombre de usuario de la cuenta. Se permiten los siguientes caracteres en el nombre: letras de la a a la z y de la A a la Z, números del 0 al 9, punto (.), espacio y guion bajo (_). Longitud máxima: 128 El nombre no se puede modificar.
   • Contraseña* — La contraseña para iniciar sesión en el dispositivo. Longitud máxima: 128
   • Confirmar contraseña* — La contraseña.
   • Permiso* — Los permisos del usuario en el dispositivo. Valores posibles:
     • admin — El usuario puede realizar todas las tareas administrativas relacionadas con el Management Service.
     • solo lectura — El usuario solo puede supervisar el sistema y cambiar la contraseña de la cuenta.
     • Predeterminado: admin.
   • Habilitar autenticación externa — Permite la autenticación externa para este usuario. El Management Service intenta la autenticación externa antes que la autenticación del usuario de la base de datos. Si este parámetro está desactivado, el usuario no se autentica en el servidor de autenticación externo.
   • Configurar tiempo de espera de la sesión — Le permite configurar el período de tiempo que un usuario puede permanecer activo. Especifique los siguientes detalles:
     • Tiempo de espera de la sesión — El período de tiempo durante el cual una sesión de usuario puede permanecer activa.
     • Unidad de tiempo de espera de la sesión — La unidad de tiempo de espera en minutos u horas.
   • Grupos — Asigne los grupos al usuario.

   * Un parámetro obligatorio

4. Haga clic en Crear o en Aceptar y, a continuación, en Cerrar. El usuario que ha creado aparece en el panel Usuarios.

Para eliminar una cuenta de usuario

1. En la ficha Configuración, en el panel de navegación Sistema, expanda Administración y, a continuación, haga clic en Usuarios.
2. En el panel Usuarios, seleccione la cuenta de usuario y, a continuación, haga clic en Eliminar.
3. En el cuadro de mensaje Confirmar, haga clic en Aceptar.

Establecer el tipo de autenticación

A través de la interfaz del Management Service, puede especificar la autenticación local o externa. La autenticación externa está desactivada de forma predeterminada para los usuarios locales. Se puede activar seleccionando la opción Habilitar autenticación externa al agregar el usuario local o al modificar la configuración del usuario.

Importante: La autenticación externa solo se admite después de haber configurado un servidor de autenticación RADIUS, LDAP o TACACS.

Para establecer el tipo de autenticación

1. En la ficha Configuración, en Sistema, haga clic en Autenticación.
2. En el panel de detalles, haga clic en Configuración de autenticación.
3. Establezca los siguientes parámetros:
   • Tipo de servidor — Tipo de servidor de autenticación configurado para la autenticación de usuarios. Valores posibles: LDAP, RADIUS, TACACS y Local. D - Nombre del servidor — Nombre del servidor de autenticación configurado en el Management Service. El menú enumera todos los servidores configurados para el tipo de autenticación seleccionado.
   • Habilitar autenticación de reserva local — Como alternativa, puede autenticar a un usuario con la autenticación local si falla la autenticación externa. Esta opción está habilitada de forma predeterminada.
4. Haga clic en Aceptar.

Habilitar o deshabilitar la autenticación básica

Puede autenticarse en la interfaz NITRO del Management Service mediante la autenticación básica. De forma predeterminada, la autenticación básica está habilitada en el dispositivo SDX.Realice lo siguiente para deshabilitar la autenticación básica mediante la interfaz del Management Service

Deshabilitar la autenticación básica

1. En la ficha Configuración, haga clic en Sistema.
2. En el grupo Configuración del sistema, haga clic en Cambiar configuración del sistema.
3. En el cuadro de diálogo “Configurar parámetros del sistema”, desactive la casilla de verificación Permitir autenticación básica .
4. Haga clic en Aceptar.