L’authentification Web
L’authentification, l’autorisation et l’audit sont désormais en mesure d’authentifier un utilisateur sur un serveur Web, en fournissant les informations d’identification dont le serveur Web a besoin dans une requête HTTP et en analysant la réponse du serveur Web pour déterminer si l’authentification utilisateur a réussi. Comme pour les autres types de stratégies d’authentification, une stratégie d’authentification Web comprend une expression et une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et lui attribuez une priorité. Lorsque vous la liez, vous la définissez également comme stratégie principale ou secondaire.
Pour configurer l’authentification basée sur le Web avec un serveur Web spécifique, commencez par créer une action d’authentification Web. Étant donné que l’authentification sur les serveurs Web n’utilise pas de format rigide, vous devez spécifier exactement les informations dont le serveur Web a besoin et dans quel format lors de la création de l’action. Pour ce faire, vous créez une expression dans la syntaxe par défaut de l’appliance Citrix ADC qui contient les éléments suivants :
- IP du serveur : adresse IP du serveur Web d’authentification.
- Port du serveur : port du serveur Web d’authentification.
- Règle d’authentification : expression dans la syntaxe par défaut de l’appliance Citrix ADC qui contient les informations d’identification de l’utilisateur dans le format attendu par le serveur Web.
- Schéma—HTTP (pour l’authentification Web non chiffrée) ou HTTPS (pour l’authentification Web chiffrée).
- Règle de succès : expression dans la syntaxe par défaut de l’appliance Citrix ADC qui correspond à la chaîne de réponse du serveur Web indiquant que l’utilisateur s’est authentifié correctement.
Pour tous les autres paramètres, suivez les règles normales de la commande add authentication action.
Ensuite, vous créez une stratégie associée à cette action. La stratégie est similaire à une stratégie LDAP et, comme les stratégies LDAP, utilise la syntaxe de l’appliance Citrix ADC.
Remarque
Ces instructions supposent que vous êtes déjà familier avec les exigences d’authentification du ou des serveurs Web sur lesquels vous souhaitez vous authentifier et que vous avez déjà configuré le serveur d’authentification Web.
Pour configurer une action d’authentification Web à l’aide de l’interface de ligne de commande
Pour créer une action d’authentification Web sur la ligne de commande, tapez la commande suivante sur la ligne de commande :
add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->
Exemple
add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"
add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"
add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->
Pour configurer une action d’authentification Web à l’aide de l’utilitaire de configuration
Remarque
Dans l’utilitaire de configuration, le terme serveur est utilisé à la place de l’action, mais fait référence à la même tâche.
- Accédez à Sécurité > AAA - Trafic des applications > Stratégies > LDAP.
-
Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :
- Si vous souhaitez créer une nouvelle action d’authentification Web, cliquez sur Ajouter.
- Si vous souhaitez modifier une action d’authentification Web existante, sélectionnez l’action dans le volet de données, puis cliquez sur Modifier.
- Si vous créez une action d’authentification Web, dans la boîte de dialogue Créer un serveur Web d’authentification, zone de texte Nom, tapez un nom pour la nouvelle action d’authentification Web. Le nom peut comporter entre un et 127 caractères, et peut être composé de majuscules et minuscules, de chiffres et de tiret (-) et de trait de soulignement (_). Si vous modifiez une action d’authentification Web existante, ignorez cette étape. Le nom est en lecture seule ; vous ne pouvez pas le modifier.</span>
- Dans la zone de texte Adresse IP du serveur Web, tapez l’adresse IP IPv4 ou IPv6 du serveur Web d’authentification. Si l’adresse est une adresse IP IPv6, cochez d’abord la case IPv6.
- Dans la zone de texte Port, tapez le numéro de port sur lequel le serveur Web accepte les connexions.
- Sélectionnez HTTP ou HTTPS dans la liste déroulante Protocole .
- Dans la zone de texte Expression de requête HTTP, tapez une expression régulière au format PCRE qui crée la demande de serveur Web contenant les informations d’identification de l’utilisateur dans le format exact attendu par le serveur Web d’authentification.
- Dans la zone de texte Expression pour valider l’authentification, tapez une expression de syntaxe par défaut de l’appliance Citrix ADC qui décrit les informations de la réponse du serveur Web indiquant que l’authentification utilisateur a réussi.
- Remplissez les champs restants comme décrit dans la documentation générale de l’action d’authentification.
- Cliquez sur OK.