authentification Web
L’authentification, l’autorisation et l’audit permettent désormais d’authentifier un utilisateur auprès d’un serveur Web, en fournissant les informations d’identification requises par le serveur Web dans une requête HTTP et en analysant la réponse du serveur Web pour déterminer si l’authentification de l’utilisateur a réussi. Comme pour les autres types de stratégies d’authentification, une stratégie d’authentification Web est composée d’une expression et d’une action. Après avoir créé une stratégie d’authentification, vous la liez à un serveur virtuel d’authentification et vous lui attribuez une priorité. Lorsque vous la liez, vous la désignez également en tant que stratégie principale ou secondaire.
Pour configurer l’authentification Web avec un serveur Web spécifique, vous devez d’abord créer une action d’authentification Web. Étant donné que l’authentification sur les serveurs Web n’utilise pas de format rigide, vous devez spécifier exactement quelles informations le serveur Web a besoin et dans quel format lors de la création de l’action. Pour ce faire, vous créez une expression dans la politique avancée de l’appliance NetScaler qui contient les éléments suivants :
- IP du serveur : adresse IP du serveur Web d’authentification.
- Port du serveur : port du serveur Web d’authentification.
- Règle d’authentification : expression de la politique avancée de l’appliance NetScaler qui contient les informations d’identification de l’utilisateur dans le format attendu par le serveur Web.
- Scheme—HTTP (pour l’authentification Web non chiffrée) ou HTTPS (pour l’authentification Web cryptée).
- Règle de réussite : expression de la politique avancée de l’appliance NetScaler qui correspond à la chaîne de réponse du serveur Web indiquant que l’utilisateur s’est authentifié avec succès.
Pour tous les autres paramètres, suivez les règles normales de la commande d’ajout d’une action d’authentification.
Vous créez ensuite une stratégie associée à cette action. La politique est similaire à une politique LDAP et, comme les politiques LDAP, elle utilise la syntaxe de l’appliance NetScaler.
Remarque
Ces instructions supposent que vous connaissez déjà les exigences d’authentification du ou des serveurs Web sur lesquels vous souhaitez vous authentifier et que vous avez déjà configuré le serveur d’authentification Web.
Pour configurer une action d’authentification Web à l’aide de l’interface de ligne de commande
Pour créer une action d’authentification Web sur la ligne de commande, tapez la commande suivante sur la ligne de commande :
add authentication webAuthAction <name> -serverIP <ip_addr|ipv6_addr|\*> -serverPort <port|\*> [-fullReqExpr <string>] -scheme ( http | https ) -successRule <expression> [-defaultAuthenticationGroup <string>][-Attribute1 <string>][-Attribute2 <string>] [-Attribute3 <string>][-Attribute4 <string>] [-Attribute5 <string>][-Attribute6 <string>] [-Attribute7 <string>][-Attribute8 <string>] [-Attribute9 <string>][-Attribute10 <string>] [-Attribute11 <string>][-Attribute12 <string>] [-Attribute13 <string>][-Attribute14 <string>] [-Attribute15 <string>][-Attribute16 <string>]
<!--NeedCopy-->
Exemple
add policy expression post_data ""username=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "&passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")"
add policy expression length_post_data "("username= " + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("login=").BEFORE_STR("&") + "passwort=" + http.REQ.BODY(1000).SET_TEXT_MODE(IGNORECASE).AFTER_STR("passwd=")).length"
add authentication webAuthAction webAuth_POST -serverIP 10.106.187.54 -serverPort 80 -fullReqExpr q{"POST /MyPHP/auth.php HTTP/" + http.req.version.major + "." + http.req.version.major + "\r\nAccept:\*/\*\r\nHost: 10.106.187.54\r\nReferer: http://10.106.187.54/MyPHP/auth.php\r\nAccept-Language: en-US\r\nUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)\r\nContent-Type: application/x-www-form-urlencoded\r\n" + "Content-Length: " + length_post_data + "\r\nConnection: Keep-Alive\r\n\r\n" + post_data} -scheme http -successRule "http.res.status.eq(200)"
<!--NeedCopy-->
Pour configurer une action d’authentification Web à l’aide de l’utilitaire de configuration
Remarque
Dans l’utilitaire de configuration, le terme serveur est utilisé au lieu d’action, mais fait référence à la même tâche.
- Accédez à Sécurité > AAA - Trafic des applications > Stratégies > LDAP.
-
Dans le volet d’informations, sous l’onglet Serveurs, effectuez l’une des opérations suivantes :
- Si vous souhaitez créer une nouvelle action d’authentification Web, cliquez sur Ajouter.
- Si vous souhaitez modifier une action d’authentification Web existante, sélectionnez l’action dans le volet de données, puis cliquez sur Modifier.
- Si vous créez une nouvelle action d’authentification Web, dans la boîte de dialogue Créer un serveur Web d’authentification, zone de texte Nom, tapez un nom pour la nouvelle action d’authentification Web. Le nom peut comporter de un à 127 caractères et peut être composé de lettres majuscules et minuscules, de chiffres et de traits d’union (-) et de traits de soulignement (_). Si vous modifiez une action d’authentification Web existante, ignorez cette étape. Le nom est en lecture seule ; vous ne pouvez pas le modifier.</span>
- Dans la zone de texte Adresse IP du serveur Web, tapez l’adresse IP IPv4 ou IPv6 du serveur Web d’authentification. Si l’adresse est une adresse IP IPv6, cochez d’abord la case IPv6.
- Dans la zone de texte Port, tapez le numéro de port sur lequel le serveur Web accepte les connexions.
- Sélectionnez HTTP ou HTTPS dans la liste déroulante Protocole .
- Dans la zone de texte Expression de demande HTTP, tapez une expression régulière au format PCRE qui crée la demande de serveur Web qui contient les informations d’identification de l’utilisateur dans le format exact attendu par le serveur Web d’authentification.
- Dans la zone de texte Expression pour valider l’authentification, tapez une expression de politique avancée de l’appliance NetScaler qui décrit les informations contenues dans la réponse du serveur Web indiquant que l’authentification de l’utilisateur a été réussie.
- Remplissez les champs restants comme décrit dans la documentation générale des actions d’authentification.
- Cliquez sur OK.