Configuration de l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion
Vous pouvez configurer l’ouverture de session utilisateur à l’appliance Citrix ADC à l’aide des informations d’identification Active Directory (nom d’utilisateur et mot de passe) à des fins de gestion (superutilisateur, lecture seule, privilèges réseau et tous les autres).
Conditions préalables
- Serveurs de contrôleurs de domaine Windows Active Directory
- Un groupe de domaines dédié pour les administrateurs NetScaler
- NetScaler Gateway 10.1 et versions ultérieures
Les figures suivantes illustrent l’authentification LDAP sur l’appliance Citrix ADC.
Étapes de configuration de haut niveau
- Création d’un serveur LDAP
- Création d’une stratégie LDAP
- Lier la stratégie LDAP
- Attribuez des privilèges à vos administrateurs de l’une des manières suivantes :
- Appliquer les privilèges sur le groupe
- Appliquer des privilèges individuellement pour chaque utilisateur
Création d’un serveur LDAP d’authentification
- Accédez à Système > Authentification > LDAP.
- Cliquez sur l’onglet Serveur, puis sur Ajouter.
- Terminez la configuration, puis cliquez sur Créer.
Remarque :
Dans cet exemple, l’accès est limité à l’appliance Citrix ADC en filtrant l’authentification sur l’appartenance au groupe d’utilisateurs en définissant le filtre de recherche. La valeur utilisée pour cet exemple est - & (memberof=CN=NSG_Admin, OU=AdminGroups, DC=Citrix, DC=Lab)
Création d’une stratégie LDAP
- Accédez à Système > Authentification > Stratégies avancées > Stratégie.
- Cliquez sur Ajouter.
- Entrez un nom pour la stratégie, sélectionnez le serveur que vous avez créé au cours des étapes précédentes.
- Dans le champ de texte Expression, saisissez l’expression appropriée, puis cliquez sur Créer.
Liez la stratégie LDAP globalement
- Accédez à Système > Authentification > Stratégies avancées > Stratégie.
- Dans la page Stratégies d’authentification, cliquez sur Liaisons globales.
- Sélectionnez la stratégie que vous avez créée (dans cet exemple, POL_LDAPMgmt).
- Choisissez une priorité en conséquence (plus le nombre est bas, plus la priorité est élevée)
- Cliquez sur Lier, puis sur Terminé. Une coche verte apparaît dans la colonne Globally Bound .
Attribuez des privilèges à vos administrateurs
Vous pouvez choisir l’une des deux options suivantes.
- Appliquer des privilèges sur un groupe : ajoutez un groupe dans l’appliance Citrix ADC et attribuez les mêmes droits d’accès à chaque utilisateur membre de ce groupe.
- Appliquez des privilèges individuellement pour chaque utilisateur : créez chaque compte administrateur utilisateur et attribuez des droits à chacun d’eux.
Appliquer des privilèges sur un groupe
Lorsque vous appliquez des privilèges à un groupe, les utilisateurs qui sont membres du groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC et avoir une stratégie de commande de superutilisateur.
- Accédez à Système > Administration des utilisateurs > Groupes.
- Entrez les détails conformément à la condition requise, puis cliquez sur Créer.
Vous avez défini le groupe Active Directory auquel appartiennent les utilisateurs ainsi que le niveau de stratégie de commande qui doit être associé au compte lors de la connexion. Vous pouvez ajouter de nouveaux utilisateurs administrateurs au groupe LDAP que vous avez configuré dans le filtre de recherche.
Remarque :
Le nom du groupe doit correspondre à l’enregistrement Active Directory.
Appliquer des privilèges individuellement pour chaque utilisateur
Dans ce scénario, les utilisateurs qui sont membres de votre groupe Active Directory configuré dans le filtre de recherche (dans cet exemple, NSG_Admin) peuvent se connecter à l’interface de gestion Citrix ADC mais ne disposent d’aucun privilège tant que vous n’avez pas créé l’utilisateur spécifique sur l’appliance Citrix ADC et n’y avez pas lié la stratégie de commande.
- Accédez à Système > Administration des utilisateurs > Utilisateurs.
- Cliquez sur Ajouter.
-
Entrez les détails conformément au besoin.
Remarque : Assurez-vous de sélectionner Activer l’authentification externe.
- Cliquez sur Continuer.
Vous avez défini l’utilisateur Active Directory et le niveau de stratégie de commande qui doit être associé au compte lors de la connexion.
Remarque :
- Le nom d’utilisateur doit correspondre à l’enregistrement Active Directory de l’utilisateur existant.
- Lorsque vous ajoutez un utilisateur à Citrix ADC pour l’authentification externe, vous devez fournir un mot de passe, si l’authentification externe n’est pas disponible. Pour que l’authentification externe fonctionne correctement, le mot de passe interne ne doit pas être identique au mot de passe LDAP du compte d’utilisateur.
Ajouter une stratégie de commande à l’utilisateur
- Accédez à Système > Administration des utilisateurs > Utilisateurs.
- Sélectionnez l’utilisateur que vous avez créé, puis cliquez sur Modifier.
- Dans Liaisons, cliquez sur Stratégie de commande système.
- Sélectionnez la stratégie de commande appropriée à appliquer à votre utilisateur.
- Cliquez sur Lier, puis sur Fermer.
Pour ajouter d’autres administrateurs ;
- Ajoutez les utilisateurs administrateurs au groupe LDAP que vous avez configuré sur le filtre de recherche.
- Créez l’utilisateur système dans Citrix ADC et attribuez la stratégie de commande appropriée.
Pour configurer l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion à l’aide de l’interface de ligne de commande
Utilisez les commandes suivantes comme référence pour configurer l’ouverture de session pour un groupe avec des privilèges de superutilisateur sur l’interface de ligne de commande de l’appliance Citrix ADC.
-
Création d’un serveur LDAP
add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf <!--NeedCopy-->
-
Création et stratégie LDAP
add authentication policy pol_LDAPmgmt -rule true -action LDAP_mgmt <!--NeedCopy-->
-
Liaison de la stratégie LDAP
bind system global pol_LDAPmgmt -priority 110 <!--NeedCopy-->
-
Attribuez des privilèges à vos administrateurs
- Pour appliquer des privilèges au groupe
add system group NSG_Admin bind system group NSG_Admin -policyName superuser 100 <!--NeedCopy-->
- Pour appliquer des privilèges individuellement à chaque utilisateur
add system user admyoa bind system user admyoa superuser 100 <!--NeedCopy-->
Dans cet article
- Conditions préalables
- Étapes de configuration de haut niveau
- Création d’un serveur LDAP d’authentification
- Création d’une stratégie LDAP
- Liez la stratégie LDAP globalement
- Attribuez des privilèges à vos administrateurs
- Pour configurer l’authentification LDAP sur l’appliance Citrix ADC à des fins de gestion à l’aide de l’interface de ligne de commande