authentification TACACS
La politique d’authentification TACACS permet de s’authentifier auprès d’un serveur d’authentification TACACS (Terminal Access Controller Access-Control System) externe. Une fois qu’un utilisateur s’est authentifié auprès d’un serveur TACACS, NetScaler se connecte au même serveur TACACS pour toutes les autorisations suivantes. Lorsqu’un serveur TACACS principal n’est pas disponible, cette fonctionnalité évite tout retard pendant que l’ADC attend l’expiration du premier serveur TACACS. Cela se produit avant de renvoyer la demande d’autorisation au second serveur TACACS.
Remarque :
Le serveur d’autorisation TACACS ne prend pas en charge les commandes dont la longueur de chaîne dépasse 255 caractères.
Solution : utilisez l’autorisation locale au lieu d’un serveur d’autorisation TACACS.
Lors de l’authentification via un serveur TACACS, les journaux de gestion du trafic d’authentification, d’autorisation et d’audit exécutent uniquement correctement les commandes TACACS. Cela empêche les journaux d’afficher les commandes TACACS saisies par les utilisateurs qui n’étaient pas autorisés à les exécuter.
À partir de NetScaler 12.0 Build 57.x, le système de contrôle d’accès du Terminal Access Controller (TACACS) ne bloque pas le démon d’authentification, d’autorisation et d’audit lors de l’envoi de la demande TACACS. Autorisez les authentifications LDAP et RADIUS à poursuivre la demande. La demande d’authentification TACACS reprend une fois que le serveur TACACS accuse réception de la demande TACACS.
Important :
Citrix vous recommande de ne pas modifier les configurations associées TACACS lorsque vous exécutez une commande « clear ns config ».
La configuration liée à TACACS liée aux politiques avancées est effacée et réappliquée lorsque le paramètre « RBAconfig » est défini sur NON dans la commande « clear ns config » pour la politique avancée.
Prise en charge des attributs nom-valeur pour l’authentification TACACS
Vous pouvez désormais configurer les attributs d’authentification TACACS avec un nom unique ainsi que des valeurs. Les noms sont configurés dans le paramètre d’action TACACS et les valeurs sont obtenues en interrogeant les noms. En spécifiant la valeur d’attribut name, les administrateurs peuvent facilement rechercher la valeur d’attribut associée au nom d’attribut. De plus, les administrateurs n’ont plus besoin de se souvenir de l’attribut uniquement par sa valeur.
Important
- Dans la commande TacAcsAction, vous pouvez configurer un maximum de 64 attributs séparés par des virgules avec une taille totale inférieure à 2 048 octets.
Pour configurer les attributs nom-valeur à l’aide de l’interface de ligne de commande
À l’invite de commande, tapez :
add authentication tacacsAction <name> [-Attributes <string>]
<!--NeedCopy-->
Exemple :
add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”
<!--NeedCopy-->
Pour ajouter une action d’authentification à l’aide de l’interface de ligne de commande
Si vous n’utilisez pas l’authentification LOCALE, vous devez ajouter une action d’authentification explicite. À l’invite de commandes, tapez la commande suivante :
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Exemple
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->
Pour configurer une action d’authentification à l’aide de l’interface de ligne de commande
Pour configurer une action d’authentification existante, tapez la commande suivante à l’invite de commandes :
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->
Exemple
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
<!--NeedCopy-->
Pour supprimer une action d’authentification à l’aide de l’interface de ligne de commande
Pour supprimer une action RADIUS existante, tapez la commande suivante à l’invite de commandes :
rm authentication radiusAction <name>
<!--NeedCopy-->
Exemple
rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->