-
-
-
-
在 NetScaler 设备上配置 Kerberos 身份验证
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
在 NetScaler 设备上配置 kerberos 身份验证
本主题提供了使用 CLI 和 GUI 在 NetScaler 设备上配置 Kerberos 身份验证的详细步骤。
在 CLI 上配置 Kerberos 身份验证
-
启用身份验证、授权和审核功能,以确保对设备上的流量进行身份验证。
ns-cli-prompt> enable ns feature AAA
-
将密钥表文件添加到 NetScaler 设备。密钥表文件对于解密在 Kerberos 身份验证期间从客户端收到的密钥是必需的。单个 keytab 文件包含绑定到 NetScaler 设备上流量管理虚拟服务器的所有服务的身份验证详细信息。
首先在 Active Directory 服务器上生成密钥表文件,然后将其传输到 NetScaler 设备。
-
登录到 Active Directory 服务器,然后使用以下命令为 Kerberos 身份验证添加用户。
net user <username> <password> /add注意
在“用 户属性”部分中,确保未选择“下次登录时更改密码选项”,并且选择了“密码不会过期”选项。
-
将 HTTP 服务映射到上述用户并导出 keytab 文件。例如,在 Active Directory 服务器上运行以下命令:
ktpass /out keytabfile /princ HTTP/owa.newacp.com@NEWACP.COM /pass <user password> /mapuser newacp\\dummy /ptype KRB5\_NT\_PRINCIPAL注意
如果多个服务需要身份验证,则可以映射多个服务。如果要映射更多服务,请对每个服务重复上述命令。您可以为输出文件指定相同的名称或不同的名称。
-
使用 unix ftp 命令或您选择的任何其他文件传输实用程序将密钥表文件传输到 NetScaler 设备。将 Keytab 文件上载到 NetScaler 设备上的 /nsconfig/krb/ 目录。
-
-
NetScaler 设备必须从完全限定的域名 (FQDN) 中获取域控制器的 IP 地址。因此,Citrix 建议使用 DNS 服务器配置 NetScaler。
ns-cli-prompt> add dns nameserver <ip-address>
注意
或者,您可以添加静态主机条目或使用任何其他方法,以便 NetScaler 设备可以将域控制器的 FQDN 名称解析为 IP 地址。
-
配置身份验证操作,然后将其与身份验证策略关联。
-
配置协商操作。此配置为用作 Kerberos 密钥分发中心 (KDC) 的 Active Directory 服务器创建操作(配置文件)。配置文件包含与该 AD KDC 服务器通信所需的所有配置数据。
ns-cli-prompt> add authentication negotiateAction <name> -domain <domain name> -domainUser <domain user name> -domainUserPasswd <domain user password> -defaultAuthenticationGroup <default authentication group> -keytab <string> -NTLMPath <string>
注意:对于域用户和域名配置,请转到客户端并使用 klist 命令,如以下示例所示:
客户端:Client: username @ AAA.LOCAL
服务器:TTP/onprem_idp.aaa.local @ AAA.LOCAL
add authentication negotiateAction <name> -domain
-domainUser <HTTP/onprem_idp.aaa.local> -
配置协商策略并将协商操作与此策略关联。
ns-cli-prompt> add authentication negotiatePolicy <name> <rule> <reqAction>
-
-
创建身份验证虚拟服务器并将协商策略与其关联。
-
创建身份验证虚拟服务器。
ns-cli-prompt> add authentication vserver <name> SSL <ipAuthVserver> 443 -authenticationDomain <domainName>
-
将协商策略绑定到身份验证虚拟服务器。
ns-cli-prompt> bind authentication vserver <name> -policy <negotiatePolicyName>
-
-
将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。
ns-cli-prompt> set lb vserver <name> -authn401 ON -authnVsName <string>
注意
类似的配置也可以在内容交换虚拟服务器上进行。
-
通过执行以下操作验证配置:
-
使用 FQDN 访问流量管理虚拟服务器。例如, 示例
-
在 CLI 上查看会话的详细信息。
ns-cli-prompt> show aaa session
-
在 GUI 上配置 Kerberos 身份验证
-
启用身份验证、授权和审核功能。
导航到“系统”>“设置”,单击“配置基本功 能”,然后启用身份验证、授权和审核功能。
-
按照上述 CLI 过程的步骤 2 中的详细说明添加 keytab 文件。
-
添加 DNS 服务器。
导航到 流量管理 > DNS > 名称服务器,然后指定 DNS 服务器的 IP 地址。
-
配置协 商 操作和策略。
导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略”,然后创建以“协商”为操作类单击 添加 创建新的身份验证协商服务器,或单击 编辑 以配置现有详细信息。
-
将协商策略绑定到身份验证虚拟服务器。
导航到 安全 > AAA-应用程序流量 > 虚拟服务器,然后将 协商 策略与身份验证虚拟服务器关联。
-
将身份验证虚拟服务器与流量管理(负载平衡或内容交换)虚拟服务器关联。
导航到 流量管理 > 负载平衡 > 虚拟服务器,然后指定相关的身份验证设置。
注意
类似的配置也可以在内容交换虚拟服务器上进行。
-
验证上述 CLI 过程步骤 7 中详细介绍的配置。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.