Configurer l’authentification LDAP sur l’appliance NetScaler à des fins de gestion
Vous pouvez configurer la connexion utilisateur à l’appliance NetScaler à l’aide des informations d’identification Active Directory (nom d’utilisateur et mot de passe) à des fins de gestion (superutilisateur, lecture seule, privilèges réseau, etc.).
Conditions préalables
- Serveurs de contrôleurs de domaine Windows Active Directory
- Un groupe de domaines dédié pour les administrateurs NetScaler
- NetScaler Gateway 10.1 et versions ultérieures
Les figures suivantes illustrent l’authentification LDAP sur l’appliance NetScaler.
Étapes de configuration de haut niveau
- Création d’un serveur LDAP
- Création d’une stratégie LDAP
- Lier la stratégie LDAP
- Attribuez des privilèges à vos administrateurs de l’une des manières suivantes :
- Appliquer les privilèges sur le groupe
- Appliquer des privilèges individuellement pour chaque utilisateur
Création d’un serveur LDAP d’authentification
- Accédez à Système > Authentification > LDAP.
- Cliquez sur l’onglet Serveur, puis sur Ajouter.
- Terminez la configuration, puis cliquez sur Créer.
Remarque :
Dans cet exemple, l’accès est limité à l’appliance NetScaler en filtrant l’authentification en fonction de l’appartenance au groupe d’utilisateurs en définissant le filtre de recherche. La valeur utilisée pour cet exemple est - & (memberof=CN=NSG_Admin, OU=AdminGroups, DC=Citrix, DC=Lab)
Création d’une stratégie LDAP
- Accédez à Système > Authentification > Stratégies avancées > Stratégie.
- Cliquez sur Ajouter.
- Entrez un nom pour la stratégie, sélectionnez le serveur que vous avez créé au cours des étapes précédentes.
- Dans le champ de texte Expression, saisissez l’expression appropriée, puis cliquez sur Créer.
Liez la stratégie LDAP globalement
- Accédez à Système > Authentification > Stratégies avancées > Stratégie.
- Dans la page Stratégies d’authentification, cliquez sur Liaisons globales.
- Sélectionnez la stratégie que vous avez créée (dans cet exemple, POL_LDAPMgmt).
- Choisissez une priorité en conséquence (plus le nombre est bas, plus la priorité est élevée)
- Cliquez sur Lier, puis sur Terminé. Une coche verte apparaît dans la colonne Globally Bound .
Attribuez des privilèges à vos administrateurs
Vous pouvez choisir l’une des deux options suivantes.
- Appliquer des privilèges à un groupe : ajoutez un groupe dans l’appliance NetScaler et attribuez les mêmes droits d’accès à chaque utilisateur membre de ce groupe.
- Appliquez des privilèges individuellement pour chaque utilisateur : créez chaque compte administrateur utilisateur et attribuez des droits à chacun d’eux.
Appliquer des privilèges sur un groupe
Lorsque vous appliquez des privilèges à un groupe, les utilisateurs membres du groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion NetScaler et disposer d’une stratégie de commande pour les superutilisateurs.
- Accédez à Système > Administration des utilisateurs > Groupes.
- Entrez les détails conformément à la condition requise, puis cliquez sur Créer.
Vous avez défini le groupe Active Directory auquel appartiennent les utilisateurs ainsi que le niveau de stratégie de commande qui doit être associé au compte lors de la connexion. Vous pouvez ajouter de nouveaux utilisateurs administrateurs au groupe LDAP que vous avez configuré dans le filtre de recherche.
Remarque :
Le nom du groupe doit correspondre à l’enregistrement Active Directory.
Appliquer des privilèges individuellement pour chaque utilisateur
Dans ce scénario, les utilisateurs membres de votre groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion NetScaler mais ne disposent d’aucun privilège tant que vous n’avez pas créé l’utilisateur spécifique sur l’appliance NetScaler et que vous y liez la stratégie de commande.
- Accédez à Système > Administration des utilisateurs > Utilisateurs.
- Cliquez sur Ajouter.
-
Entrez les détails conformément au besoin.
Remarque : Assurez-vous de sélectionner Activer l’authentification externe.
- Cliquez sur Continuer.
Vous avez défini l’utilisateur Active Directory et le niveau de stratégie de commande qui doit être associé au compte lors de la connexion.
Remarque :
- Le nom d’utilisateur doit correspondre à l’enregistrement Active Directory de l’utilisateur existant.
- Lorsque vous ajoutez un utilisateur à NetScaler pour une authentification externe, vous devez fournir un mot de passe si l’authentification externe n’est pas disponible. Pour que l’authentification externe fonctionne correctement, le mot de passe interne ne doit pas être identique au mot de passe LDAP du compte d’utilisateur.
Ajouter une stratégie de commande à l’utilisateur
- Accédez à Système > Administration des utilisateurs > Utilisateurs.
- Sélectionnez l’utilisateur que vous avez créé, puis cliquez sur Modifier.
- Dans Liaisons, cliquez sur Stratégie de commande système.
- Sélectionnez la stratégie de commande appropriée à appliquer à votre utilisateur.
- Cliquez sur Lier, puis sur Fermer.
Pour ajouter d’autres administrateurs ;
- Ajoutez les utilisateurs administrateurs au groupe LDAP que vous avez configuré sur le filtre de recherche.
- Créez l’utilisateur du système dans NetScaler et attribuez la stratégie de commande appropriée.
Pour configurer l’authentification LDAP sur l’appliance NetScaler à des fins de gestion à l’aide de l’interface de ligne de commande
Utilisez les commandes suivantes comme référence pour configurer l’ouverture de session pour un groupe disposant de privilèges de superutilisateur sur l’interface de ligne de commande de l’appliance NetScaler.
-
Création d’un serveur LDAP
add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf <!--NeedCopy-->
-
Création et stratégie LDAP
add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt <!--NeedCopy-->
-
Liaison de la stratégie LDAP
bind system global pol_LDAPmgmt -priority 110 <!--NeedCopy-->
-
Attribuez des privilèges à vos administrateurs
- Pour appliquer des privilèges au groupe
add system group NSG_Admin bind system group NSG_Admin -policyName superuser 100 <!--NeedCopy-->
- Pour appliquer des privilèges individuellement à chaque utilisateur
add system user admyoa bind system user admyoa superuser 100 <!--NeedCopy-->
Dans cet article
- Conditions préalables
- Étapes de configuration de haut niveau
- Création d’un serveur LDAP d’authentification
- Création d’une stratégie LDAP
- Liez la stratégie LDAP globalement
- Attribuez des privilèges à vos administrateurs
- Pour configurer l’authentification LDAP sur l’appliance NetScaler à des fins de gestion à l’aide de l’interface de ligne de commande