Restreindre l’accès à NetScaler Gateway pour les membres d’un groupe Active Directory
NetScaler Gateway prend en charge deux méthodes de restriction de l’accès à la connexion.
- Filtre de recherche LDAP : seuls les noms d’utilisateur correspondant au filtre de recherche LDAP (par exemple, appartenance à un groupe Active Directory) peuvent se connecter à NetScaler Gateway.
- Groupes autorisés à se connecter dans le cadre d’une stratégie ou d’un profil de session NetScaler Gateway : cette méthode prend en charge plusieurs groupes Active Directory. Pour plus d’informations, consultez la section https://support.citrix.com/article/CTX125797.
Cet article décrit la méthode de filtrage de recherche LDAP.
Vue d’ensemble
Lorsqu’un utilisateur saisit les informations d’identification sur la page de connexion du serveur virtuel NetScaler Gateway et appuie sur ENTER, l’appliance recherche d’abord le nom d’utilisateur dans Active Directory (LDAP). Si aucun filtre de recherche LDAP n’est défini dans la stratégie LDAP ou dans le serveur, l’appliance recherche une correspondance dans tous les noms d’utilisateurs Active Directory. Une fois qu’une correspondance est trouvée, l’appliance extrait le nom distinctif (DN) complet de l’utilisateur et utilise le nom unique et le mot de passe de l’utilisateur pour s’authentifier auprès d’Active Directory.
Si un filtre de recherche LDAP est défini, seuls les noms d’utilisateurs qui correspondent au filtre de recherche LDAP sont recherchés pour trouver une correspondance de nom d’utilisateur. Par exemple, si le filtre de recherche LDAP est conçu pour rechercher uniquement les membres d’un groupe Active Directory, le nom d’utilisateur saisi par l’utilisateur doit correspondre aux membres du groupe.
Pré-requis
Le serveur virtuel NetScaler Gateway doit être configuré pour l’authentification LDAP.
Étapes à suivre pour configurer un filtre de recherche LDAP pour les membres d’un groupe Active Directory
-
Déterminez le groupe Active Directory qui dispose d’une autorisation d’accès et obtenez son nom distinctif complet.
Un moyen simple d’obtenir le nom distinctif complet du groupe consiste à utiliser Utilisateurs et ordinateurs Active Directory.
-
Dans Utilisateurs et ordinateurs Active Directory, dans le menu Affichage, activez les fonctionnalités avancées.
-
Parcourez l’arborescence jusqu’à l’objet de groupe, cliquez avec le bouton droit de la souris, puis cliquez sur Propriétés. Remarque : Vous ne pouvez pas utiliser la fonction Rechercher. Au lieu de cela, vous devez parcourir l’arborescence pour trouver l’objet.
-
Sur la droite, accédez à l’onglet Éditeur d’attributs.
Cet onglet n’est visible que si les fonctionnalités avancées sont activées et si vous n’avez pas utilisé la fonction Rechercher.
-
Faites défiler l’écran jusqu’à DistinguishedName, double-cliquez dessus, puis copiez-le dans le presse-papiers.
- Dans l’interface graphique de NetScaler Gateway, accédez à NetScaler Gateway> Serveurs virtuels.
- Sélectionnez un serveur virtuel NetScaler Gateway existant et cliquez sur Modifier.
- Dans la section Authentification de base, cliquez sur Stratégies LDAP.
-
Cliquez avec le bouton droit de la souris sur une stratégie LDAP existante, puis cliquez sur Modifier le serveur.
-
Dans la section Autres paramètres, dans le champ Filtre de recherche, tapez memberOf=, puis collez le nom unique du groupe Active Directory après le signe égal (=).
Un exemple de filtre de recherche est le suivant : memberof=CN=Citrix Remote, OU=Citrix, DC=Corp, DC=Local Remarque : Par défaut, NetScaler recherche uniquement les noms d’utilisateurs qui sont des membres directs du groupe Active Directory. Si vous souhaitez rechercher des groupes imbriqués, ajoutez le Microsoft OID። au filtre de recherche LDAP. L’OID est inséré entre MemberOf et =.
Exemple : memberof:1.2.840.113556.1.4.1941 : =CN=Citrix Remote, OU=Citrix, DC=Corp, DC = local
- Cliquez sur OK.