This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
用户身份管理
越来越多的安全漏洞和移动设备的日益普及都强调了确保外部互联网的使用符合公司策略的必要性。只有经过授权的用户才能访问公司人员配置的外部资源。身份管理通过验证个人或设备的身份来实现这一目标。它不确定个人可以执行哪些任务或个人可以看到哪些文件。
SSL 转发代理部署在允许访问互联网之前识别用户。检查用户的所有请求和响应。记录用户活动,并将记录导出到 NetScaler Application Delivery Management (ADM) 进行报告。在 NetScaler 控制台中,您可以查看有关用户活动、交易和带宽消耗的统计信息。
默认情况下,只保存用户的 IP 地址,但是您可以配置该功能以记录有关用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的 Internet 使用策略。
NetScaler 设备支持以下身份验证模式进行显式代理配置。
- 轻量级目录访问协议 (LDAP)。通过外部 LDAP 身份验证服务器对用户进行身份验证。有关更多信息,请参阅 LDAP 身份验证策略。
- RADIUS。通过外部 RADIUS 服务器对用户进行身份验证。有关更多信息,请参阅 RADIUS 身份验证。
- TACACS+。通过外部端点访问控制器访问控制系统 (TACACS) 身份验证服务器对用户进行身份验证。有关更多信息,请参阅 TACACS 身份验证策略。
- 谈判。通过 Kerberos 身份验证服务器对用户进行身份验证。如果 Kerberos 身份验证有错误,设备将使用 NTLM 身份验证。有关更多信息,请参阅 协商身份验证策略。
对于透明代理,仅支持基于 IP 的 LDAP 身份验证。收到客户端请求后,代理会通过检查活动目录中客户端 IP 地址的条目来验证用户身份。然后,它会根据用户 IP 地址创建会话。但是,如果在 LDAP 操作中配置 ssoNameAttribute,则会使用用户名而不是 IP 地址来创建会话。在透明代理设置中,不支持传统策略进行身份验证。
注意
对于显式代理,必须将 LDAP 登录名设置为 sAMAccountName。对于透明代理,必须将 LDAP 登录名设置为 networkAddress,将属性 1 设置为 sAMAccountName。
显式代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
透明代理的示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
使用 CLI 设置用户身份验证
在命令提示符下,键入:
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
参数:
虚拟服务器名称:
要绑定策略的身份验证虚拟服务器的名称。
最大长度:127
服务类型:
身份验证虚拟服务器的协议类型。始终使用 SSL。
可能的值:SSL
默认值:SSL
操作名称:
新 LDAP 操作的名称。必须以字母、数字或下划线字符 (_) 开头,并且必须只包含字母、数字和连字符 (-)、句点 (.) 井号 (#)、空格 ( )、at (@)、等号 (=)、冒号 (:) 和下划线字符。添加 LDAP 操作后无法更改。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证操作”或“我的身份验证操作”)。
最大长度:127
serverIP:
分配给 LDAP 服务器的 IP 地址。
ldapBase:
从中启动 LDAP 搜索的基础(节点)。如果 LDAP 服务器在本地运行,则 base 的默认值为 dc=netscaler
, dc=com。最大长度:127
ldapBindDn:
用于绑定到 LDAP 服务器的完整可分辨名称 (DN)。
默认值:CN = 管理器、dc=netscaler
、dc=com
最大长度:127
ldapBindDnPassword:
用于绑定到 LDAP 服务器的密码。
最大长度:127
ldapLoginName:
LDAP 登录名属性。NetScaler 设备使用 LDAP 登录名查询外部 LDAP 服务器或活动目录。最大长度:127
策略名称:
高级身份验证策略的名称。必须以字母、数字或下划线字符 (_) 开头,并且必须只包含字母、数字和连字符 (-)、句点 (.) 井号 (#)、空格 ( )、at (@)、等号 (=)、冒号 (:) 和下划线字符。创建身份验证策略后无法更改。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的身份验证策略”或“我的身份验证策略”)。
最大长度:127
规则:
策略用于确定是否尝试使用验证服务器对用户进行身份验证的规则或高级策略表达式的名称。
最大长度:1499
操作:
策略匹配时要执行的身份验证操作的名称。
最大长度:127
优先级:
正整数,用于指定策略的优先级。较小的数字表示较高的优先级。按照策略的优先级顺序评估策略,然后应用与请求匹配的第一个策略。在绑定到身份验证虚拟服务器的策略列表中必须是唯一的。
最小值:0
最大值:4294967295
示例:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
使用 CLI 启用用户名日志记录
在命令提示符下,键入:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
参数:
AAAUserName
启用 AppFlow 身份验证、授权和审核用户名日志记录。
可能的值:ENABLED、DISABLED
默认值:已禁用
示例:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.