authentification TACACS
La stratégie d’authentification TACACS s’authentifie auprès d’un serveur d’authentification TACACS (Terminal Access Controller Access Control System) externe. Une fois qu’un utilisateur s’est authentifié auprès d’un serveur TACACS, Citrix ADC se connecte au même serveur TACACS pour toutes les autorisations suivantes. Lorsqu’un serveur TACACS principal n’est pas disponible, cette fonctionnalité empêche tout retard pendant que ADC attend l’échéance du premier serveur TACACS. Cela se produit avant de renvoyer la demande d’autorisation au deuxième serveur TACACS.
Remarque :
le serveur d’autorisation TACACS ne prend pas en charge les commandes dont la longueur de chaîne dépasse 255 caractères.
Solution : utilisez l’autorisation locale au lieu d’un serveur d’autorisation TACACS.
Lors de l’authentification via un serveur TACACS, l’authentification, l’autorisation et l’audit des journaux de gestion du trafic exécutent uniquement les commandes TACACS. Il empêche les journaux d’afficher les commandes TACACS saisies par les utilisateurs qui n’étaient pas autorisés à les exécuter.
À partir de NetScaler 12.0 Build 57.x, le Terminal Access Controller Access-Control System (TACACS) ne bloque pas le processus d’authentification, d’autorisation et d’audit lors de l’envoi de la demande TACACS. Autoriser l’authentification LDAP et RADIUS à poursuivre la demande. La demande d’authentification TACACS reprend une fois que le serveur TACACS a accusé réception de la demande TACACS.
Important :
Citrix vous recommande de ne pas modifier les configurations associées TACACS lorsque vous exécutez une commande « clear ns config ».
La configuration associée à TACACS liée aux stratégies avancées est effacée et réappliquée lorsque le paramètre « RBAConfig » est défini sur NO dans la commande « clear ns config » pour la stratégie avancée.
Prise en charge des attributs nom-valeur pour l’authentification TACACS
Vous pouvez désormais configurer les attributs d’authentification TACACS avec un nom unique ainsi que des valeurs. Les noms sont configurés dans le paramètre d’action TACACS et les valeurs sont obtenues en interrogeant les noms. En spécifiant la valeur de l’attribut name, les administrateurs peuvent facilement rechercher la valeur d’attribut associée au nom de l’attribut. De plus, les administrateurs n’ont plus à se souvenir de l’attribut par sa seule valeur.
Important
- Dans la commande TacacsAction, vous pouvez configurer un maximum de 64 attributs séparés par une virgule avec une taille totale inférieure à 2048 octets.
Pour configurer les attributs nom-valeur à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez :
add authentication tacacsAction <name> [-Attributes <string>]
<!--NeedCopy-->
Exemple :
add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”
<!--NeedCopy-->
Pour ajouter une action d’authentification à l’aide de l’interface de ligne de commande
Si vous n’utilisez pas l’authentification LOCAL, vous devez ajouter une action d’authentification explicite. À l’invite de commandes, tapez la commande suivante :
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Exemple
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->
Pour configurer une action d’authentification à l’aide de l’interface de ligne de commande
Pour configurer une action d’authentification existante, à l’invite de commandes, tapez la commande suivante :
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Exemple
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
<!--NeedCopy-->
Pour supprimer une action d’authentification à l’aide de l’interface de ligne de commande
Pour supprimer une action RADIUS existante, à l’invite de commandes, tapez la commande suivante :
rm authentication radiusAction <name>
<!--NeedCopy-->
Exemple
rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->