Stratégies d’authentification

Lorsque les utilisateurs se connectent à l’appliance NetScaler ou NetScaler Gateway, ils sont authentifiés conformément à une politique que vous créez. Une politique d’authentification comprend une expression et une action. Les politiques d’authentification utilisent des expressions NetScaler.

Après avoir créé une action d’authentification et une stratégie d’authentification, liez-la à un serveur virtuel d’authentification et attribuez-lui une priorité. Lors de la liaison, désignez-la également en tant que stratégie principale ou secondaire. Les politiques primaires sont évaluées avant les politiques secondaires. Dans les configurations qui utilisent les deux types de stratégie, les stratégies principales sont normalement des stratégies plus spécifiques tandis que les stratégies secondaires sont normalement des stratégies plus générales. Il est destiné à gérer l’authentification de tous les comptes d’utilisateurs qui ne répondent pas aux critères plus spécifiques. La stratégie définit le type d’authentification. Une stratégie d’authentification unique peut être utilisée pour des besoins d’authentification simples et est généralement liée au niveau global. Vous pouvez également utiliser le type d’authentification par défaut, qui est local. Si vous configurez l’authentification locale, vous devez également configurer les utilisateurs et les groupes sur l’appliance.

Vous pouvez configurer plusieurs stratégies d’authentification et les lier pour créer une procédure d’authentification détaillée et des serveurs virtuels. Par exemple, vous pouvez configurer l’authentification en cascade et à deux facteurs en configurant plusieurs stratégies. Vous pouvez également définir la priorité des stratégies d’authentification afin de déterminer quels serveurs et l’ordre dans lequel l’appliance vérifie les informations d’identification des utilisateurs. Une stratégie d’authentification inclut une expression et une action. Par exemple, si vous définissez l’expression sur la valeur True, lorsque les utilisateurs ouvrent une session, l’action évalue l’ouverture de session utilisateur sur True, puis les utilisateurs ont accès aux ressources réseau.

Après avoir créé une stratégie d’authentification, vous liez la stratégie au niveau global ou aux serveurs virtuels. Lorsque vous liez au moins une stratégie d’authentification à un serveur virtuel, les stratégies d’authentification que vous avez liées au niveau global ne sont pas utilisées lorsque les utilisateurs ouvrent une session sur le serveur virtuel, sauf si le type d’authentification globale a une priorité supérieure à la stratégie liée au serveur virtuel.

Lorsqu’un utilisateur ouvre une session sur l’appliance, l’authentification est évaluée dans l’ordre suivant :

• Le serveur virtuel est vérifié pour détecter toute stratégie d’authentification liée.
• Si les stratégies d’authentification ne sont pas liées au serveur virtuel, l’appliance vérifie les stratégies d’authentification globales.
• Si une stratégie d’authentification n’est pas liée à un serveur virtuel ou globalement, l’utilisateur est authentifié via le type d’authentification par défaut.

Si vous configurez des stratégies d’authentification LDAP et RADIUS et que vous souhaitez lier les stratégies globalement pour l’authentification à deux facteurs, vous pouvez sélectionner la stratégie dans l’utilitaire de configuration, puis choisir si la stratégie est le type d’authentification principal ou secondaire. Vous pouvez également configurer une stratégie d’extraction de groupe.

Remarque :

L’appliance NetScaler ou NetScaler Gateway code uniquement des caractères UTF-8 à des fins d’authentification et n’est pas compatible avec les serveurs utilisant les caractères ISO-8859-1.

Création d’une stratégie d’authentification

Créer une stratégie d’authentification à l’aide de l’interface graphique

1. Accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification, puis sélectionnez le type de stratégie que vous souhaitez créer. Pour NetScaler Gateway, accédez à NetScaler Gateway > PolitiquesAuthentification.

2. Dans le volet d’informations, sous l’onglet Stratégies, effectuez l’une des opérations suivantes :

   • Pour créer une nouvelle stratégie, cliquez sur Ajouter.
   • Pour modifier une stratégie existante, sélectionnez l’action, puis cliquez sur Modifier.

3. Dans la boîte de dialogue Créer une stratégie d’authentification ou Configurer une stratégie d’authentification, tapez ou sélectionnez les valeurs des paramètres.

   • Nom : nom de la stratégie (ne peut pas être modifié pour une action précédemment configurée)
   • Type d’authentification  : authtype
   • Serveur — authVsName
   • Expression  : règle (Vous entrez des expressions en choisissant d’abord le type d’expression dans la liste déroulante la plus à gauche sous la fenêtre Expression, puis en saisissant votre expression directement dans la zone de texte de l’expression, ou en cliquant sur Ajouter pour ouvrir la boîte de dialogue Ajouter une expression et en utilisant la liste déroulante pour construire votre expression.)
4. Cliquez sur Créer ou sur OK. La stratégie que vous avez créée s’affiche sur la page Stratégies.

5. Cliquez sur l’onglet Serveurs et, dans le volet d’informations, effectuez l’une des opérations suivantes :

   • Pour utiliser un serveur existant, sélectionnez-le, puis cliquez sur.
   • Pour créer un serveur, cliquez sur Ajouter et suivez les instructions.
6. Si vous souhaitez désigner cette stratégie en tant que stratégie d’authentification secondaire, sous l’onglet Authentification, cliquez sur Secondaire. Si vous souhaitez désigner cette stratégie en tant que stratégie d’authentification principale, ignorez cette étape.
7. Cliquez sur Insérer une stratégie.
8. Choisissez la stratégie que vous souhaitez lier au serveur virtuel d’authentification dans la liste déroulante.
9. Dans la colonne Priorité de gauche, modifiez la priorité par défaut pour vous assurer que la stratégie est évaluée dans le bon ordre.
10. Cliquez sur OK. Un message apparaît dans la barre d’état, indiquant que la stratégie a été correctement configurée.

Modifier une stratégie d’authentification à l’aide de l’interface graphique

Vous pouvez modifier les stratégies et profils d’authentification configurés, tels que l’adresse IP du serveur d’authentification ou l’expression.

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Politiques > Authentification. Remarque : Vous pouvez également configurer la stratégie dans Sécurité > AAA - Trafic des applications > Stratégies > Authentification, puis sélectionner le type de stratégie que vous souhaitez modifier.
2. Dans le volet de navigation, sous Authentification, sélectionnez un type d’authentification.
3. Dans le volet d’informations, sous l’onglet Serveurs, sélectionnez un serveur, puis cliquez sur Ouvrir.

Supprimer une stratégie d’authentification à l’aide de l’interface graphique

Si vous avez modifié ou supprimé un serveur d’authentification de votre réseau, supprimez la politique d’authentification correspondante de NetScaler Gateway.

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Politiques > Authentification. Remarque : Pour configurer à partir d’ADC, accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification, puis sélectionnez le type de stratégie que vous souhaitez supprimer.
2. Dans le volet de navigation, sous Authentification, sélectionnez un type d’authentification.
3. Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez une stratégie, puis cliquez sur Supprimer.

Créer une stratégie d’authentification à l’aide de la CLI

À l’invite de commandes, tapez les commandes suivantes :

add authentication negotiatePolicy <name> <rule> <reqAction>

show authentication localPolicy <name>

bind authentication vserver <name> -policy <policyname> [-priority <priority>][-secondary]]

show authentication vserver <name>
<!--NeedCopy-->

Exemple :

add authentication localPolicy Authn-Pol-1 ns_true
Done

show authentication localPolicy
1)      Name: Authn-Pol-1       Rule: ns_true          Request action: LOCAL   Done

bind authentication vserver Auth-Vserver-2 -policy Authn-Pol-1
Done

show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle
Timeout: 180 sec Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
1)  Primary authentication policy name:  Authn-Pol-1 Priority: 0
Done
<!--NeedCopy-->

Modifier une stratégie d’authentification à l’aide de la CLI

À l’invite de commandes, tapez les commandes suivantes pour modifier une stratégie d’authentification existante :

set authentication localPolicy <name> <rule> [-reqaction <action>]
<!--NeedCopy-->

Exemple

set authentication localPolicy Authn-Pol-1 'ns_true'
<!--NeedCopy-->

Supprimer une stratégie d’authentification à l’aide de la CLI

À l’invite de commandes, tapez la commande suivante pour supprimer une stratégie d’authentification :

rm authentication localPolicy <name>
<!--NeedCopy-->

Exemple

rm authentication localPolicy Authn-Pol-1
<!--NeedCopy-->

Lier une stratégie d’authentification

Après avoir configuré les stratégies d’authentification, vous les liez globalement ou à un serveur virtuel. Vous pouvez utiliser l’utilitaire de configuration pour lier une stratégie d’authentification.

Pour lier une stratégie d’authentification globalement à l’aide de l’utilitaire de configuration :

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Politiques > Authentification. Remarque : Pour configurer à partir d’ADC, accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification
2. Cliquez sur un type d’authentification.
3. Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur un serveur, puis dans Action, cliquez sur Liaisons globales.
4. Dans l’onglet Principal ou Secondaire, sous Détails, cliquez sur Insérer une stratégie.

5. Sous Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur OK.

   Remarque : Lorsque vous sélectionnez la politique, NetScaler Gateway attribue automatiquement à l’expression la valeur True.

Pour dissocier une stratégie d’authentification globale à l’aide de l’utilitaire de configuration :

1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Politiques > Authentification. Remarque : Pour configurer à partir d’ADC, accédez à Sécurité > AAA - Trafic des applications > Stratégies > Authentification
2. Dans l’onglet Stratégies, dans Action, cliquez sur Liaisons globales.
3. Dans la boîte de dialogue Lier/délier les stratégies d’authentification à Global, sous l’onglet Principal ou Secondaire, dans Nom de la stratégie, sélectionnez la stratégie, cliquez sur Dissocier la stratégie, puis cliquez sur OK.

Ajouter une action d’authentification

Ajouter une action d’authentification à l’aide de la CLI

Si vous n’utilisez pas l’authentification LOCALE, vous devez ajouter une action d’authentification explicite. À l’invite de commandes, tapez la commande suivante :

add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Exemple

add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->

Configurer une action d’authentification à l’aide de la CLI

Pour configurer une action d’authentification existante, tapez la commande suivante à l’invite de commandes :

set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
<!--NeedCopy-->

Exemple

set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
<!--NeedCopy-->

Supprimer une action d’authentification à l’aide de l’interface de ligne de commande

Pour supprimer une action RADIUS existante, tapez la commande suivante à l’invite de commandes :

rm authentication radiusAction <name>
<!--NeedCopy-->

Exemple

rm authentication tacacsaction Authn-Act-1
<!--NeedCopy-->

L’authentification NoAuth

L’appliance NetScaler prend en charge la fonctionnalité d’authentification NoAuth qui permet au client de configurer un paramètre DefaultAuthenticationGroup dans la commande, lorsqu’un utilisateur applique cette politique. noAuthAction L’administrateur peut vérifier la présence de ce groupe dans le groupe de l’utilisateur afin de déterminer la navigation de l’utilisateur dans la stratégie NoAuth.

Pour configurer une authentification NoAuth à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez ;

add authentication noAuthAction <name> [-defaultAuthenticationGroup <string>]
<!--NeedCopy-->

Exemple

add authentication noAuthAction noauthact –defaultAuthenticationGroup mynoauthgroup
<!--NeedCopy-->

Types d’authentification globale par défaut

Lorsque vous avez installé NetScaler Gateway et exécuté l’assistant NetScaler Gateway, vous avez configuré l’authentification dans l’assistant. Cette politique d’authentification est liée automatiquement au niveau global de NetScaler Gateway. Le type d’authentification que vous configurez dans l’assistant NetScaler Gateway est le type d’authentification par défaut. Vous pouvez modifier le type d’autorisation par défaut en exécutant à nouveau l’assistant NetScaler Gateway ou vous pouvez modifier les paramètres d’authentification globaux dans l’utilitaire de configuration.

Si vous devez ajouter d’autres types d’authentification, vous pouvez configurer des politiques d’authentification sur NetScaler Gateway et lier les politiques à NetScaler Gateway à l’aide de l’utilitaire de configuration. Lorsque vous configurez l’authentification globalement, vous définissez le type d’authentification, configurez les paramètres et définissez le nombre maximal d’utilisateurs pouvant être authentifiés.

Après avoir configuré et lié la stratégie, vous pouvez définir la priorité pour définir le type d’authentification prioritaire. Par exemple, vous configurez les stratégies d’authentification LDAP et RADIUS. Si la stratégie LDAP a un numéro de priorité de 10 et que la stratégie RADIUS a un numéro de priorité de 15, la stratégie LDAP est prioritaire, quel que soit l’endroit où vous liez chaque stratégie. C’est ce qu’on appelle l’authentification en cascade.

Vous pouvez choisir de fournir des pages de connexion à partir du cache en mémoire de NetScaler Gateway ou à partir du serveur HTTP exécuté sur NetScaler Gateway. Si vous choisissez de diffuser la page de connexion depuis le cache en mémoire, la diffusion de la page de connexion depuis NetScaler Gateway est plus rapide que depuis le serveur HTTP. Le fait de choisir de diffuser la page d’ouverture de session à partir du cache en mémoire réduit le temps d’attente lorsque de nombreux utilisateurs ouvrent une session en même temps. Vous pouvez uniquement configurer la remise des pages d’ouverture de session à partir du cache dans le cadre d’une stratégie d’authentification globale.

Vous pouvez également configurer l’adresse IP NAT (Network Address Translation) qui est une adresse IP spécifique pour l’authentification. Cette adresse IP est unique pour l’authentification et ne correspond pas au sous-réseau NetScaler Gateway, aux adresses IP mappées ou virtuelles. Ce paramètre est facultatif.

Remarque :

• Vous ne pouvez pas utiliser l’assistant NetScaler Gateway pour configurer l’authentification SAML.

• Vous pouvez utiliser l’assistant de configuration rapide pour configurer l’authentification par certificat LDAP, RADIUS et client. Lorsque vous exécutez l’assistant, vous pouvez sélectionner un serveur LDAP ou RADIUS existant configuré sur NetScaler Gateway. Vous pouvez également configurer les paramètres de LDAP ou de RADIUS. Si vous utilisez l’authentification à deux facteurs, Citrix recommande d’utiliser LDAP comme type d’authentification principal.

Configurer les types d’authentification globale par défaut

1. Dans l’interface graphique, sous l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres généraux.
2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres d’authentification.
3. Dans Nombre maximum d’utilisateurs, tapez le nombre d’utilisateurs qui peuvent être authentifiés à l’aide de ce type d’authentification.
4. Dans Adresse IP NAT, saisissez l’adresse IP unique pour l’authentification.
5. Sélectionnez Activer la miseen cache statique pour diffuser les pages d’ouverture de session plus rapidement.
6. Sélectionnez Activer les commentaires sur l’authentification améliorée pour envoyer un message aux utilisateurs en cas d’échec de l’authentification. Les messages que les utilisateurs reçoivent incluent les erreurs de mot de passe, le compte désactivé ou verrouillé, ou l’utilisateur est introuvable, pour n’en nommer que quelques-uns.
7. Dans Type d’authentification par défaut, sélectionnez le type d’authentification.
8. Configurez les paramètres de votre type d’authentification, puis cliquez sur OK.

Prise en charge de la récupération des tentatives de connexion actuelles d’un utilisateur

L’appliance NetScaler fournit une option permettant de récupérer la valeur des tentatives de connexion en cours pour un utilisateur à l’aide d’une nouvelle expression. aaa.user.login_attempts L’expression prend soit un argument (nom d’utilisateur), soit aucun argument. S’il n’y a aucun argument, l’expression récupère le nom d’utilisateur à partir de aaa_session ou aaa_info.

Vous pouvez utiliser l’expression aaa.user.login_attempts avec des stratégies d’authentification pour un traitement ultérieur.

Pour configurer le nombre de tentatives de connexion par utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

add expression er aaa.user.login_attempts