Configurar los ajustes de autenticación y autorización
La autenticación con el Servicio de administración SDX de NetScaler puede ser local o externa. Con la autenticación externa, el Servicio de administración concede acceso a los usuarios en función de la respuesta de un servidor externo. Management Service admite los siguientes protocolos de autenticación externa:
- Servicio de usuario de acceso telefónico de autenticación remota (RADIUS)
- Sistema de control de acceso de controlador de acceso de terminal (TACACS)
- Protocolo ligero de acceso a directorios (LDAP)
Management Service también admite solicitudes de autenticación de SSH. La autenticación SSH solo admite solicitudes de autenticación interactiva de teclado. La autorización de los usuarios de SSH se limita solo a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.
Para configurar la autenticación, especifique el tipo de autenticación y configure un servidor de autenticación.
La autorización a través del Servicio de administración es local. Management Service admite dos niveles de autorización. Los usuarios con privilegios de administrador pueden realizar cualquier acción en Management Service. Los usuarios con privilegios de solo lectura solo pueden realizar operaciones de lectura. La autorización de los usuarios de SSH se limita solo a los privilegios de administrador. Los usuarios con privilegios de solo lectura no pueden iniciar sesión a través de SSH.
La autorización para RADIUS y LDAP es compatible con la extracción de grupos. Puede establecer los atributos de extracción de grupo durante la configuración de los servidores RADIUS o LDAP en Management Service. El nombre del grupo extraído coincide con los nombres de grupo en Management Service para determinar los privilegios otorgados al usuario. Un usuario puede pertenecer a varios grupos. En ese caso, si algún grupo al que pertenece el usuario tiene privilegios de administrador, el usuario tiene privilegios de administrador. Se puede establecer un atributo de grupo Autenticación predeterminada durante la configuración. Este grupo se considera junto con los grupos extraídos para su autorización.
En la autorización TACACS, el administrador del servidor TACACS debe permitir un comando especial, admin para un usuario con privilegios de administrador y denegar este comando para los usuarios con privilegios de solo lectura. Cuando un usuario inicia sesión en un dispositivo SDX, el Servicio de administración comprueba si el usuario tiene permiso para ejecutar este comando. Si el usuario tiene permiso, se le asignan los privilegios de administrador; de lo contrario, se le asignan privilegios de solo lectura.
Agregar un grupo de usuarios
Los grupos son conjuntos lógicos de usuarios que necesitan acceder a información común o realizar tareas similares. Puede organizar a los usuarios en grupos definidos por un conjunto de operaciones comunes. Al proporcionar permisos específicos a grupos en lugar de a usuarios individuales, puede ahorrar tiempo al crear usuarios.
Si utiliza servidores de autenticación externos para la autenticación, los grupos de SDX se pueden configurar para que coincidan con los grupos configurados en los servidores de autenticación. Cuando un usuario que pertenece a un grupo cuyo nombre coincide con un grupo en un servidor de autenticación, inicia sesión y se autentica, el usuario hereda la configuración del grupo.
Para agregar un grupo de usuarios
-
Vaya a Configuración > Sistema > Administración de usuarios > Gruposy, a continuación, haga clic en Agregar.
- En la página Crear grupo de sistemas, actualice los siguientes parámetros:
- Nombre del grupo: Introduzca el nombre del grupo. Los caracteres permitidos incluyen caracteres alfanuméricos, subrayado (_), hash (#), punto (.), espacio, dos puntos (:), arroba (@), iguales (=) y guiones (-). Longitud máxima: 64.
- Descripción del grupo: Introduzca una breve descripción del grupo.
- Acceso al sistema: Seleccione la opción para dar acceso a todo el dispositivo SDX y a las instancias que se ejecutan en él. Como alternativa, para el acceso al nivel de la instancia, seleccione las instancias en Todas las instancias.
-
Permiso: Seleccione los privilegios del grupo de la lista. El administrador tiene privilegios de lectura y escritura. Los valores posibles son:
- lectura-escritura: El grupo puede realizar todas las tareas de administración relacionadas con el Servicio de administración. De forma predeterminada, el permiso de grupo está configurado en lectura-escritura.
- lectura: El grupo solo puede supervisar el sistema.
-
Configurar el tiempo de espera de la sesión de usuario: Seleccione la opción para configurar el período de tiempo para que un usuario permanezca activo.
Cuando está habilitada, puede especificar los siguientes parámetros:
- Tiempo de espera de la sesión: Introduzca el período de tiempo durante el que una sesión de usuario puede permanecer activa. Valor predeterminado: 15.
- Unidad de tiempo de espera de sesión: Seleccione la unidad de tiempo de espera de la lista, en minutos u horas. Valor predeterminado: Minutos.
- Límite de sesiones de usuario: Introduzca el máximo de sesiones permitido por usuario.
Nota:
De forma predeterminada, a los miembros de los grupos de administración y de solo lectura se les asignan 40 sesiones de usuario. A los miembros de otros grupos se les asignan 20 sesiones de usuario de forma predeterminada.
- Usuarios: Muestra los usuarios que pertenecen al grupo. Puede agregar los usuarios a un grupo seleccionándolos de la lista Disponibles y pasando a la lista Configurados.
- Haga clic en Crear y Cerrar.
Configurar cuentas de usuario
Un usuario inicia sesión en el dispositivo SDX para realizar tareas de administración del dispositivo. Para permitir que un usuario acceda al dispositivo, debe crear una cuenta de usuario en el dispositivo SDX para ese usuario. Los usuarios se autentican localmente, en el dispositivo.
Importante: La contraseña se aplica al dispositivo SDX, Management Service y Citrix Hypervisor. No cambie la contraseña directamente en Citrix Hypervisor.
Para configurar una cuenta de usuario
-
En la ficha Configuración, en Sistema, expanda Administración y, a continuación, haga clic en Usuarios. El panel Usuarios muestra una lista de las cuentas de usuario existentes, con sus permisos.
-
En el panel Usuarios, lleve a cabo una de las siguientes acciones:
- Para crear una cuenta de usuario, haga clic en Agregar.
- Para modificar una cuenta de usuario, seleccione el usuario y, a continuación, haga clic en Modificar.
-
En el cuadro de diálogo Crear usuariodel sistema o Modificar usuario del sistema, defina los siguientes parámetros:
- Nombre*: El nombre de usuario de la cuenta. Se permiten los siguientes caracteres en el nombre: Letras de la a a la z y de la A a la Z, números del 0 al 9, punto (.), espacio y guión bajo (_). Longitud máxima: 128. No se le puede cambiar el nombre.
- Contraseña*: La contraseña para iniciar sesión en el dispositivo. Longitud máxima: 128
- Confirmar contraseñar*: La contraseña.
-
Permiso*: Los privilegios del usuario en el dispositivo. Valores posibles:
- admin: El usuario puede realizar todas las tareas de administración relacionadas con el Servicio de administración.
- solo lectura: El usuario solo puede monitorear el sistema y cambiar la contraseña de la cuenta. Predeterminado: Admin.
-
Habilitar autenticación externa: Habilita la autenticación externa para este usuario. Management Service intenta la autenticación externa antes de la autenticación del usuario de la base de datos. Si este parámetro está inhabilitado, el usuario no se autentica con el servidor de autenticación externo.
Nota: Si no se puede acceder al servidor de autenticación remota, es posible que el usuario pierda el acceso al dispositivo. En tales casos, la autenticación recurre al usuario administrador predeterminado (
nsroot
). -
Configurar el tiempo de espera de la sesión: Le permite configurar el período de tiempo durante el que un usuario puede permanecer activo. Especifique los siguientes detalles:
- Tiempo de espera de la sesión: El período de tiempo durante el que una sesión de usuario puede permanecer activa.
- Unidad de tiempo de espera de sesión: La unidad de tiempo de espera, en minutos u horas.
- Grupos: Asigne los grupos al usuario.
*Un parámetro requerido
-
Haga clic en Crear o en Aceptar y, a continuación, en Cerrar. El usuario que creó aparece en el panel Usuarios.
Para eliminar una cuenta de usuario
- En la ficha Configuración, en el panel de navegación, expanda Sistema, expanda Administracióny, a continuación, haga clic en Usuarios.
- En el panel Usuarios, seleccione la cuenta de usuario y, a continuación, haga clic en Eliminar.
- En el cuadro Confirmar mensaje, haga clic en Aceptar.
Establecer el tipo de autenticación
Desde la interfaz del Servicio de administración, puede especificar la autenticación local o externa. La autenticación externa está inhabilitada para los usuarios locales de forma predeterminada. Se puede habilitar marcando la opción Habilitar autenticación externa al agregar el usuario local o al modificar la configuración del usuario.
Importante: La autenticación externa solo se admite después de configurar un servidor de autenticación RADIUS, LDAP o TACACS.
Para establecer el tipo de autenticación
- En la ficha Configuración, en Sistema, haga clic en Autenticación.
- En el panel de detalles, haga clic en Configuración de autenticación.
- Defina los siguientes parámetros:
- Tipo de servidor: Tipo de servidor de autenticación configurado para la autenticación de usuarios. Valores posibles: LDAP, RADIUS, TACACS y Local.
-
Nombre del servidor: Nombre del servidor de autenticación configurado en el Servicio de administración. El menú enumera todos los servidores configurados para el tipo de autenticación seleccionado.
- Habilitar la autenticación local alternativa: También puede optar por autenticar a un usuario con la autenticación local cuando se produzca un error en la autenticación externa. Esta opción está habilitada de forma predeterminada.
- Haga clic en Aceptar.
Habilitar o inhabilitar la autenticación básica
Puede autenticarse en la interfaz NITRO del Servicio de administración mediante la autenticación básica. De forma predeterminada, la autenticación básica está habilitada en el dispositivo SDX. Realice lo siguiente para inhabilitar la autenticación básica mediante la interfaz del Servicio de administración.
Para inhabilitar la autenticación básica
- En la ficha Configuración, haga clic en Sistema.
- En el grupo Configuración del sistema, haga clic en Cambiar configuración del sistema.
- En el cuadro de diálogo Configurar configuración del sistema, desactive la casilla de verificación Permitir autenticación básica.
- Haga clic en Aceptar.