Fonctionnement de l’authentification, de l’autorisation et de l’audit
L’authentification, l’autorisation et l’audit assurent la sécurité d’un environnement Internet distribué en permettant à tout client disposant des informations d’identification appropriées de se connecter en toute sécurité à des serveurs d’applications protégés depuis n’importe où sur Internet. Cette fonctionnalité intègre les trois fonctions de sécurité que sont l’authentification, l’autorisation et l’audit. L’authentification permet à NetScaler de vérifier les informations d’identification du client, localement ou auprès d’un serveur d’authentification tiers, et d’autoriser uniquement les utilisateurs approuvés à accéder aux serveurs protégés. L’autorisation permet à l’ADC de vérifier le contenu d’un serveur protégé auquel il autorise chaque utilisateur à accéder. L’audit permet à l’ADC de conserver un enregistrement de l’activité de chaque utilisateur sur un serveur protégé.
Pour comprendre le fonctionnement de l’authentification, de l’autorisation et de l’audit dans un environnement distribué, envisagez une organisation dotée d’un intranet auquel ses employés accèdent au bureau, à domicile et en déplacement. Le contenu de l’intranet est confidentiel et nécessite un accès sécurisé. Tout utilisateur souhaitant accéder à l’intranet doit disposer d’un nom d’utilisateur et d’un mot de passe valides. Pour répondre à ces exigences, l’ADC effectue les opérations suivantes :
- Redirige l’utilisateur vers la page de connexion s’il accède à l’intranet sans s’être connecté.
-
Collecte les informations d’identification de l’utilisateur, les transmet au serveur d’authentification et les met en cache dans un répertoire accessible via LDAP. Pour plus d’informations, voir Déterminer les attributs dans votre annuaire LDAP.
- Vérifie que l’utilisateur est autorisé à accéder au contenu intranet spécifique avant de remettre la demande de l’utilisateur au serveur d’applications.
- Conserve un délai d’expiration de session après lequel les utilisateurs doivent s’authentifier à nouveau pour pouvoir accéder à nouveau à l’intranet. (Vous pouvez configurer le délai d’expiration.)
- Consigne l’accès de l’utilisateur, y compris les tentatives de connexion non valides, dans un journal d’audit.
Configuration des stratégies d’authentification, d’autorisation et d’audit
Après avoir configuré vos utilisateurs et groupes, vous configurez ensuite les stratégies d’authentification, les stratégies d’autorisation et les stratégies d’audit pour définir les utilisateurs autorisés à accéder à votre intranet, les ressources auxquelles chaque utilisateur ou groupe est autorisé à accéder, et le niveau d’authentification, d’autorisation et d’audit détaillé. sera conservé dans les journaux d’audit. Une stratégie d’authentification définit le type d’authentification à appliquer lorsqu’un utilisateur tente d’ouvrir une session. Si l’authentification externe est utilisée, la stratégie spécifie également le serveur d’authentification externe. Les stratégies d’autorisation spécifient les ressources réseau auxquelles les utilisateurs et les groupes peuvent accéder après leur ouverture de session. Les stratégies d’audit définissent le type et l’emplacement du journal d’audit.
Vous devez lier chaque stratégie pour la mettre en œuvre. Vous liez les stratégies d’authentification aux serveurs virtuels d’authentification, les stratégies d’autorisation à un ou plusieurs comptes ou groupes d’utilisateurs et les stratégies d’audit globalement et à un ou plusieurs comptes ou groupes d’utilisateurs.
Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel nombre entier positif. Dans le système d’exploitation NetScaler, les priorités des stratégies fonctionnent dans l’ordre inverse : plus le nombre est élevé, plus la priorité est faible. Par exemple, si vous avez trois stratégies avec des priorités de 10, 100 et 1000, la stratégie affectée d’une priorité de 10 est exécutée en premier, puis la stratégie attribuée une priorité de 100 et enfin la stratégie affectée d’un ordre de 1000. La fonctionnalité d’authentification, d’autorisation et d’audit implémente uniquement la première de chaque type de stratégie correspondant à une demande, et non les stratégies supplémentaires de ce type qu’une demande peut également correspondre. La priorité de stratégie est donc importante pour obtenir les résultats souhaités.
Vous pouvez vous laisser suffisamment d’espace pour ajouter d’autres stratégies dans n’importe quel ordre, tout en les définissant pour qu’elles soient évaluées dans l’ordre souhaité, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez les stratégies. Vous pouvez ensuite ajouter des stratégies supplémentaires à tout moment sans avoir à réaffecter la priorité d’une stratégie existante.
Pour plus d’informations sur les stratégies de liaison sur l’appliance NetScaler, consultez la documentation du produit NetScaler.
Configurer la stratégie No_Auth pour contourner certains trafic
Vous pouvez désormais configurer la stratégie No_Auth pour contourner certains trafics de l’authentification lorsque l’authentification basée sur 401 est activée sur le serveur virtuel de gestion du trafic. Pour ce type de trafic, vous devez lier une stratégie « No_Auth ».
Pour configurer la stratégie No_Auth afin de contourner certains trafics à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add authentication policy <name> -rule <expression> -action <string>
<!--NeedCopy-->
Exemple :
add authentication policy ldap -rule ldapAct1 -action No_Auth
<!--NeedCopy-->