NetScaler SDX

Configurer les paramètres d’authentification et d’autorisation

L’authentification avec le service de gestion NetScaler SDX peut être locale ou externe. Avec l’authentification externe, le service de gestion accorde l’accès à l’utilisateur en fonction de la réponse d’un serveur externe. Le service de gestion prend en charge les protocoles d’authentification externes suivants :

  • Service utilisateur de numérotation d’authentification à distance (RADIUS)
  • Système de contrôle d’accès au contrôleur d’accès terminal (TACACS)
  • LDAP (Lightweight Directory Access Protocol)

Le service de gestion prend également en charge les demandes d’authentification provenant de SSH. L’authentification SSH prend uniquement en charge les demandes d’authentification interactives au clavier. L’autorisation des utilisateurs SSH est limitée aux privilèges d’administrateur uniquement. Les utilisateurs disposant de privilèges en lecture seule ne peuvent pas se connecter via SSH.

Pour configurer l’authentification, spécifiez le type d’authentification et configurez un serveur d’authentification.

L’autorisation via le service de gestion est locale. Le service de gestion prend en charge deux niveaux d’autorisation. Les utilisateurs disposant de privilèges d’administrateur sont autorisés à effectuer n’importe quelle action sur le service de gestion. Les utilisateurs disposant de privilèges en lecture seule sont autorisés à effectuer uniquement des opérations de lecture. L’autorisation des utilisateurs SSH est limitée aux privilèges d’administrateur uniquement. Les utilisateurs disposant de privilèges en lecture seule ne peuvent pas se connecter via SSH.

L’autorisation pour RADIUS et LDAP est prise en charge par l’extraction de groupe. Vous pouvez définir les attributs d’extraction de groupe lors de la configuration des serveurs RADIUS ou LDAP sur le service de gestion. Le nom de groupe extrait est mis en correspondance avec les noms de groupe sur le service de gestion afin de déterminer les privilèges accordés à l’utilisateur. Un utilisateur peut appartenir à plusieurs groupes. Dans ce cas, si un groupe auquel l’utilisateur appartient possède des privilèges d’administrateur, l’utilisateur dispose de privilèges d’administrateur. Un attribut de groupe d’authentification par défaut peut être défini lors de la configuration. Ce groupe est pris en compte avec les groupes extraits pour autorisation.

Dans l’autorisation TACACS, l’administrateur du serveur TACACS doit autoriser une commande spéciale, admin pour un utilisateur ayant des privilèges d’administrateur et refuser cette commande pour les utilisateurs disposant de privilèges en lecture seule. Lorsqu’un utilisateur ouvre une session sur un dispositif SDX, le service de gestion vérifie si l’utilisateur est autorisé à exécuter cette commande. Si l’utilisateur dispose d’une autorisation, l’utilisateur se voit attribuer les privilèges d’administrateur, sinon l’utilisateur se voit attribuer des privilèges en lecture seule.

Ajouter un groupe d’utilisateurs

Les groupes sont des ensembles logiques d’utilisateurs qui ont besoin d’accéder à des informations communes ou d’effectuer des tâches similaires. Vous pouvez organiser les utilisateurs en groupes définis par un ensemble d’opérations courantes. En accordant des autorisations spécifiques à des groupes plutôt qu’à des utilisateurs individuels, vous pouvez gagner du temps lors de la création d’utilisateurs.

Si vous utilisez des serveurs d’authentification externes pour l’authentification, les groupes dans SDX peuvent être configurés pour correspondre aux groupes configurés sur les serveurs d’authentification. Lorsqu’un utilisateur appartenant à un groupe dont le nom correspond à un groupe sur un serveur d’authentification, ouvre une session et est authentifié, l’utilisateur hérite des paramètres du groupe.

Pour ajouter un groupe d’utilisateurs

  1. Dans l’onglet Configuration, sous Système, développez Administration des utilisateurs, puis cliquez sur Groupes.
  2. Dans le volet d’informations, cliquez sur Ajouter.

    add-group

  3. Sur la page Créer un groupe de systèmes, définissez les paramètres suivants :
    • Nom du groupe
    • Description du groupe
    • Accès au système : Cochez cette case pour donner accès à l’ensemble de l’appliance SDX et aux instances qui s’y exécutent. Vous pouvez également spécifier les instances sous Instances pour l’accès au niveau de l’ instance.
    • Autorisation
    • Configurer le délai d’expiration de session utilisateur
    • Utilisateurs : utilisateurs de la base de données appartenant au groupe. Sélectionnez les utilisateurs que vous souhaitez ajouter au groupe.
  4. Cliquez sur Créer et Fermer.

Remarque : Pour créer un groupe avec un rôle d’administrateur sur une appliance SDX mise à niveau de la version 10.5 vers la version 11.1, activez l’autorisation « lecture-écriture » et la case à cocher « Accès au système ». Dans SDX 10.5, cette case à cocher n’est pas disponible et les valeurs de l’autorisation sont « admin » et « lecture seule ».

Configurer les comptes utilisateur

Un utilisateur ouvre une session sur l’appliance SDX pour effectuer des tâches de gestion de l’appliance. Pour autoriser un utilisateur à accéder à l’appliance, vous devez créer un compte utilisateur sur l’appliance SDX pour cet utilisateur. Les utilisateurs sont authentifiés localement, sur l’appliance.

Important : le mot de passe s’applique à l’appliance SDX, au service de gestion et à Citrix Hypervisor. Ne modifiez pas le mot de passe directement sur Citrix Hypervisor.

Pour configurer un compte utilisateur

  1. Dans l’onglet Configuration, sous Système, développez Administration, puis cliquez sur Utilisateurs. Le volet Utilisateurs affiche une liste des comptes d’utilisateurs existants, avec leurs autorisations.

  2. Dans le volet Utilisateurs, effectuez l’une des opérations suivantes :

    • Pour créer un compte utilisateur, cliquez sur Ajouter.
    • Pour modifier un compte d’utilisateur, sélectionnez-le, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Créer un utilisateur systèmeou Modifier un utilisateur système, définissez les paramètres suivants :

    • Nom* : nom d’utilisateur du compte. Les caractères suivants sont autorisés dans le nom : les lettres de a à z et de A à Z, les chiffres de 0 à 9, le point (.), l’espace et le trait de soulignement (_). Longueur maximale : 128. Vous ne pouvez pas modifier le nom.
    • Mot de passe* : mot de passe pour la connexion à l’appliance. Longueur maximale : 128
    • Confirmer le mot de passe* : le mot
    • Permission* : les privilèges de l’utilisateur sur l’appliance. Valeurs possibles :
      • ADMIN : l’utilisateur peut effectuer toutes les tâches d’administration liées au service de gestion.
      • Lecture seule : l’utilisateur peut uniquement surveiller le système et modifier le mot de passe du compte. Par défaut : admin.
    • Activer l’authentification externe : active l’authentification externe pour cet utilisateur. Le service de gestion tente une authentification externe avant l’authentification des utilisateurs de la base Si ce paramètre est désactivé, l’utilisateur n’est pas authentifié auprès du serveur d’authentification externe. Remarque : Si le serveur d’authentification distant n’est pas accessible, l’utilisateur risque de perdre l’accès à l’appliance. Dans ce cas, l’authentification revient à l’utilisateur admin par défaut (nsroot).
    • Configurer le délai d’expiration de session : vous permet de configurer la période pendant laquelle un utilisateur peut rester actif. Spécifiez les détails suivants :
      • Délai d’expiration de session : la période pendant laquelle une session utilisateur peut rester active.
      • Session Timeout Unit : unité de délai d’expiration, en minutes ou en heures.
    • Groupes : affectez les groupes à l’utilisateur.

    *Paramètre obligatoire

  4. Cliquez sur Créer ou sur OK, puis sur Fermer. L’utilisateur que vous avez créé est répertorié dans le volet Utilisateurs.

Pour supprimer un compte utilisateur

  1. Dans l’onglet Configuration, dans le volet de navigation, développez Système, développez Administration, puis cliquez sur Utilisateurs.
  2. Dans le volet Utilisateurs, sélectionnez le compte d’utilisateur, puis cliquez sur Supprimer.
  3. Dans la zone de message Confirmer, cliquez sur OK.

Définition du type d’authentification

Dans l’interface du service de gestion, vous pouvez spécifier une authentification locale ou externe. L’authentification externe est désactivée par défaut pour les utilisateurs locaux. Il peut être activé en cochant l’option Activer l’authentification externe lors de l’ajout de l’utilisateur local ou de la modification des paramètres de l’utilisateur.

Important : L’authentification externe n’est prise en charge qu’après avoir configuré un serveur d’authentification RADIUS, LDAP ou TACACS.

Pour définir le type d’authentification

  1. Dans l’onglet Configuration, sous Système, cliquez sur Authentification.
  2. Dans le volet d’informations, cliquez sur Configuration de l’authentification.
  3. Définissez les paramètres suivants :
    • Type de serveur : type de serveur d’authentification configuré pour l’authentification des utilisateurs. Valeurs possibles : LDAP, RADIUS, TACACS et Local.
    • Nom du serveur : nom du serveur d’authentification configuré dans le service de gestion. Le menu répertorie tous les serveurs configurés pour le type d’authentification sélectionné.

    • Activer l’authentification locale de secours : vous pouvez également choisir d’authentifier un utilisateur avec l’authentification locale en cas d’échec de l’authentification externe. Cette option est activée par défaut.
  4. Cliquez sur OK.

Activer ou désactiver l’authentification de base

Vous pouvez vous authentifier auprès de l’interface NITRO du service de gestion en utilisant l’authentification de base. Par défaut, l’authentification de base est activée dans l’appliance SDX. Pour désactiver l’authentification de base à l’aide de l’interface du service de gestion, procédez comme suit

Pour désactiver l’authentification de base

  1. Dans l’onglet Configuration, cliquez sur Système.
  2. Dans le groupe Paramètres système, cliquez sur Modifier les paramètres système.
  3. Dans la boîte de dialogue Configurer les paramètres du système, désactivez la case à cocher Autoriser l’authentification de base .
  4. Cliquez sur OK.
Configurer les paramètres d’authentification et d’autorisation