Configurer NetScaler SSO
Vous pouvez configurer NetScaler SSO pour qu’il fonctionne de deux manières : par usurpation d’identité ou par délégation. Le SSO par usurpation d’identité est une configuration plus simple que le SSO par délégation, et est donc préférable lorsque votre configuration le permet. Pour configurer NetScaler SSO par usurpation d’identité, vous devez disposer du nom d’utilisateur et du mot de passe de l’utilisateur.
Pour configurer NetScaler SSO par délégation, vous devez disposer des informations d’identification de l’utilisateur délégué dans l’un des formats suivants : le nom d’utilisateur et le mot de passe de l’utilisateur, la configuration keytab qui inclut le nom d’utilisateur et un mot de passe crypté, ou le certificat utilisateur délégué et le certificat CA correspondant.
Conditions préalables à la configuration de NetScaler SSO
Avant de configurer un SSO NetScaler, votre appliance NetScaler doit être entièrement configurée pour gérer le trafic et l’authentification de vos serveurs d’applications Web. Par conséquent, vous devez configurer l’équilibrage de charge ou la commutation de contenu, puis l’authentification, l’autorisation et l’audit pour ces serveurs d’applications Web. Vous devez également vérifier le routage entre l’appliance, votre serveur LDAP et votre serveur Kerberos.
Si votre réseau n’est pas déjà configuré de cette manière, effectuez les tâches de configuration suivantes :
- Configurez un serveur et un service pour chaque serveur d’applications Web.
- Configurez un serveur virtuel de gestion du trafic pour gérer le trafic vers et depuis votre serveur d’applications Web.
Vous trouverez ci-dessous de brèves instructions et des exemples pour effectuer chacune de ces tâches à partir de la ligne de commande NetScaler. Pour obtenir de l’aide supplémentaire, voir Configuration d’un serveur virtuel d’authentification.
Remarque
À partir de la version 13.1 de NetScaler, la traversée entre le domaine racine et le domaine Tree est prise en charge lors de l’authentification SSO Kerberos pour le serveur principal à partir de l’appliance NetScaler.
Pour créer un serveur et un service à l’aide de l’interface de ligne de commande
Pour que NetScaler SSO obtienne un TGS (ticket de service) pour un service, soit le nom de domaine complet attribué à l’entité serveur sur l’appliance NetScaler doit correspondre au nom de domaine complet du serveur d’applications Web, soit le nom de l’entité serveur doit correspondre au nom NetBIOS du serveur d’applications Web. Vous pouvez adopter l’une des approches suivantes :
- Configurez l’entité du serveur NetScaler en spécifiant le nom de domaine complet du serveur d’applications Web.
- Configurez l’entité de serveur NetScaler en spécifiant l’adresse IP du serveur d’applications Web et attribuez à l’entité de serveur le même nom que le nom NetBIOS du serveur d’applications Web.
À l’invite de commandes, tapez les commandes suivantes :
- add server name <serverFQDN>
- add service name serverName serviceType port
<!--NeedCopy-->
Pour les variables, remplacez les valeurs suivantes :
- ServerName. Nom de l’appliance NetScaler à utiliser pour faire référence à ce serveur.
- Nomde domaine complet du serveur. Le nom de domaine complet du serveur. Si aucun domaine n’est attribué au serveur, utilisez l’adresse IP du serveur et assurez-vous que le nom de l’entité du serveur correspond au nom NetBIOS du serveur d’applications Web.
- ServiceName. Nom de l’appliance NetScaler à utiliser pour faire référence à ce service.
- type. Protocole utilisé par le service, HTTP ou MSSQLSVC.
- port. Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.
Exemple :
Les exemples suivants ajoutent des entrées de serveur et de service sur l’appliance NetScaler pour le serveur d’applications Web was1.example.com. Le premier exemple utilise le nom de domaine complet du serveur d’applications Web ; le second utilise l’adresse IP.
Pour ajouter le serveur et le service à l’aide du nom de domaine complet du serveur d’applications Web, was1.example.com, vous devez taper les commandes suivantes :
add server was1 was1.example.com
add service was1service was1 HTTP 80
<!--NeedCopy-->
Pour ajouter le serveur et le service à l’aide de l’adresse IP du serveur d’applications Web et du nom NetBIOS, où l’adresse IP du serveur d’applications Web est 10.237.64.87 et son nom NetBIOS est WAS1, vous devez taper les commandes suivantes :
add server WAS1 10.237.64.87
add service was1service WAS1 HTTP 80
<!--NeedCopy-->
Pour créer un serveur virtuel de gestion du trafic à l’aide de l’interface de ligne de commande
Le serveur virtuel de gestion du trafic gère le trafic entre le client et le serveur d’applications Web. Vous pouvez utiliser un serveur virtuel d’équilibrage de charge ou de commutation de contenu comme serveur de gestion du trafic. La configuration SSO est la même pour les deux types.
Pour créer un serveur virtuel d’équilibrage de charge, à l’invite de commandes, tapez la commande suivante :
add lb vserver <vserverName> <type> <IP> <port>
<!--NeedCopy-->
Pour les variables, remplacez les valeurs suivantes :
- vServerName : nom de l’appliance NetScaler à utiliser pour faire référence à ce serveur virtuel.
- type : protocole utilisé par le service, HTTP ou MSSQLSVC.
- IP : adresse IP attribuée au serveur virtuel. Il s’agit normalement d’une adresse IP non publique réservée par l’IANA sur votre réseau local.
- port—Port sur lequel le service écoute. Les services HTTP écoutent normalement sur le port 80. Les services HTTPS sécurisés écoutent normalement sur le port 443.
Exemple :
Pour ajouter un serveur virtuel d’équilibrage de charge appelé tmvserver1 à une configuration qui gère le trafic HTTP sur le port 80, en lui attribuant une adresse IP LAN 10.217.28.20, puis en liant le serveur virtuel d’équilibrage de charge au service wasservice1, vous devez taper les commandes suivantes :
add lb vserver tmvserver1 HTTP 10.217.28.20 80
bind lb vserver tmvserv1 wasservice1
<!--NeedCopy-->
Pour créer un serveur virtuel d’authentification à l’aide de l’interface de ligne de commande
Le serveur virtuel d’authentification gère le trafic d’authentification entre le client et le serveur d’authentification (LDAP). Pour créer un serveur virtuel d’authentification, à l’invite de commandes, tapez les commandes suivantes :
add authentication vserver <authvserverName> SSL <IP> 443
<!--NeedCopy-->
Pour les variables, remplacez les valeurs suivantes :
- AuthvServerName : nom que l’appliance NetScaler doit utiliser pour faire référence à ce serveur virtuel d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne doit contenir que des lettres, des chiffres et le trait d’union (-), le point (.), la livre (#), l’espace (), à (@), égal à (=), deux-points (:) et les caractères de soulignement. Peut être modifié après l’ajout du serveur virtuel d’authentification à l’aide de la commande rename authentication vserver.
- IP : adresse IP attribuée au serveur virtuel d’authentification. Comme pour le serveur virtuel de gestion du trafic, cette adresse est normalement une adresse IP non publique réservée par l’IANA sur votre réseau local.
- domain : domaine attribué au serveur virtuel. Il s’agit généralement du domaine de votre réseau. Il est habituel, bien que non obligatoire, d’entrer le domaine dans toutes les capitales lors de la configuration du serveur virtuel d’authentification.
Exemple :
Pour ajouter un serveur virtuel d’authentification appelé authverver1 à votre configuration et lui attribuer l’adresse IP LAN 10.217.28.21 et le domaine EXAMPLE.COM, vous devez taper les commandes suivantes :
add authentication vserver authvserver1 SSL 10.217.28.21 443
<!--NeedCopy-->
Pour configurer un serveur virtuel de gestion du trafic afin qu’il utilise un profil d’authentification
Le serveur virtuel d’authentification peut être configuré pour gérer l’authentification pour un seul domaine ou pour plusieurs domaines. S’il est configuré pour prendre en charge l’authentification pour plusieurs domaines, vous devez également spécifier le domaine pour NetScaler SSO en créant un profil d’authentification, puis en configurant le serveur virtuel de gestion du trafic pour utiliser ce profil d’authentification.
Remarque
Le serveur virtuel de gestion du trafic peut être un serveur virtuel d’équilibrage de charge (lb) ou de commutation de contenu (cs). Les instructions suivantes supposent que vous utilisez un serveur virtuel d’équilibrage de charge. Pour configurer un serveur virtuel de commutation de contenu, il suffit de remplacer set cs vserver par set lb vserver. Sinon, la procédure est la même.
Pour créer le profil d’authentification, puis le configurer sur un serveur virtuel de gestion du trafic, tapez les commandes suivantes :
- add authentication authnProfile <authnProfileName> {-authvserverName <string>} {-authenticationHost <string>} {-authenticationDomain <string>}
- set lb vserver \<vserverName\> -authnProfile <authnprofileName>
<!--NeedCopy-->
Pour les variables, remplacez les valeurs suivantes :
- AuthnProfileName : nom du profil d’authentification. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et doit comprendre de un à trente et un caractères alphanumériques ou un trait d’union (-), un point (.) livre (#), espace (), à (@), égal à (=), deux-points (:) et caractères de soulignement.
- AuthvServerName : nom du serveur virtuel d’authentification utilisé par ce profil pour l’authentification.
- AuthenticationHost : nom d’hôte du serveur virtuel d’authentification.
- AuthenticationDomain : domainepour lequel NetScaler SSO gère l’authentification. Obligatoire si le serveur virtuel d’authentification effectue l’authentification pour plusieurs domaines, de sorte que le domaine approprié soit inclus lorsque l’appliance NetScaler définit le cookie du serveur virtuel de gestion du trafic.
Exemple :
Pour créer un profil d’authentification nommé AuthnProfile1 pour l’authentification du domaine example.com et pour configurer le serveur virtuel d’équilibrage de charge vserver1 pour utiliser le profil d’authentification AuthnProfile1, tapez les commandes suivantes :
add authentication authnProfile authnProfile1 -authnvsName authvsesrver1
-authenticationHost authvsesrver1 -authenticationDomain example.com
set lb vserver vserver1 -authnProfile authnProfile1
<!--NeedCopy-->