身份验证虚拟服务器
流量管理虚拟服务器(负载平衡或内容切换)将所有身份验证请求重定向到身份验证虚拟服务器。此虚拟服务器处理关联的身份验证策略并相应地提供对应用程序的访问。
注意: 不能将流量管理策略绑定到身份验证、授权和审计虚拟服务器。
设置身份验证虚拟服务器
设置身份验证虚拟服务器所涉及的步骤如下:
-
启用身份验证、授权和审核功能。
enable ns feature AAA <!--NeedCopy-->
-
配置身份验证虚拟服务器。它必须是 SSL 类型,并确保将 SSL 证书密钥对绑定到虚拟服务器。
add authentication vserver <name> SSL <ipaddress> <port> bind ssl certkey <auth-vserver-name> <certkey> <!--NeedCopy-->
-
为身份验证虚拟服务器指定域的 FQDN。
set authentication vserver <name> -authenticationDomain <FQDN> <!--NeedCopy-->
-
将身份验证虚拟服务器与相关流量管理虚拟服务器关联。
注意事项:
- 流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一域中,才能正常运行域会话 cookie。在流量管理虚拟服务器上:
- 启用身份验证。
- 指定身份验证虚拟服务器的 FQDN 作为流量管理虚拟服务器的身份验证主机。
- [可选] 指定流量管理虚拟服务器上的身份验证域。
- 如果未配置身份验证域,设备将分配一个 FQDN,该 FQDN 由身份验证虚拟服务器的 FQDN 组成,而不包含主机名部分。例如,如果身份验证虚拟服务器的域名是 tm.xyz.bar.com,则设备会将 xyz.bar.com 分配为身份验证域。
- 对于负载平衡:
set lb vserver <name> -authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>] <!--NeedCopy-->
- 对于内容切换:
set cs vserver <name> <protocol> <IPAddress> <port> <!--NeedCopy-->
- 如果必须为身份验证域设置域范围 Cookie,则必须在负载平衡虚拟服务器上启用身份验证配置文件。
- 流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一域中,才能正常运行域会话 cookie。在流量管理虚拟服务器上:
-
验证两个虚拟服务器都已启动并正确配置。
show authentication vserver <name> <!--NeedCopy-->
使用 GUI 设置身份验证虚拟服务器
-
启用身份验证、授权和审核功能。
导航到系统 > 设置,单击配置基本功能,然后启用身份验证、授权和审核。
-
配置身份验证虚拟服务器。
导航到 安全 > AAA-应用程序流量 > 虚拟服务器,然后根据需要进行配置。
-
配置流量管理虚拟服务器进行身份验证。
-
对于负载平衡:
导航到 流量管理 > 负载平衡 > 虚拟服务器,然后根据需要配置虚拟服务器。
-
对于内容切换:
导航到 流量管理 > 内容交换 > 虚拟服务器,然后根据需要配置虚拟服务器。
-
-
-
验证身份验证设置。
导航到“安全”>“AAA-应用程序流量”>“虚拟服务器”,并检查相关身份验证虚拟服务器的详细信息。
-
配置身份验证虚拟服务器
要配置身份验证、授权和审核,请首先配置身份验证虚拟服务器以处理身份验证流量。接下来,将 SSL 证书密钥对绑定到虚拟服务器,以使其能够处理 SSL 连接。 有关配置 SSL 和创建证书密钥对的其他信息,请参阅 SSL 证书。
使用 CLI 配置身份验证虚拟服务器
要配置身份验证虚拟服务器并验证配置,请在命令提示符下按相同顺序键入以下命令:
dd authentication vserver <name> ssl <ipaddress>
show authentication vserver <name>
bind ssl certkey <certkeyName>
show authentication vserver <name>
set authentication vserver <name>
show authentication vserver <name>
<!--NeedCopy-->
示例:
add authentication vserver Auth-Vserver-2 SSL 10.102.29.77 443 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
bind ssl certkey Auth-Vserver-2 Auth-Cert-1 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: UP Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
show authentication vserver Auth-Vserver-2 Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT State: DOWN[Certkey not bound] Client Idle Timeout: 180 sec Down state flush: DISABLED Disable Primary Vserver On Down : DISABLED Authentication : ON Current AAA Users: 0 Done
<!--NeedCopy-->
注意
“身份验证域”参数已弃用。使用身份验证配置文件设置域范围的 Cookie。
使用 GUI 配置身份验证虚拟服务器
- 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。
-
在详细信息窗格中,执行以下操作之一:
- 要创建新的身份验证虚拟服务器,请单击“添加”。
- 若要修改现有身份验证虚拟服务器,请选择虚拟服务器,然后单击“编辑”。此时将打开“配置”对话框,并展开“基本设置”区域。
-
指定参数的值,如下所示(星号表示必填参数):
- 名称*— 名称(无法为之前创建的虚拟服务器更改)
- IP 地址类型 *— 身份验证虚拟服务器的 IP 地址类型
- IP 地址*— 身份验证虚拟服务器的 IP 地址
- 端口*— 虚拟服务器接受连接的 TCP 端口。
- 登录失败超时-failedLoginTimeout(在登录失败之前允许秒数,用户必须重新启动登录过程。)
- 最大登录尝试 - maxLoginAttempts(用户被锁定之前允许的登录尝试次数)
注意:身
份验证虚拟服务器仅使用 SSL 协议和端口 443,因此这些选项显示为灰色。任何未提及的选项都可以忽略。
- 单击“继续”以显示“证书”区域。
-
在“证书”区域中,配置要与此虚拟服务器一起使用的任何 SSL 证书。
- 要配置 CA 证书,请单击 CA 证书右侧的箭头以显示“CA 证书密钥”对话框,选择要绑定到此虚拟服务器的证书,然后单击“保存”。
- 要配置服务器证书,请单击服务器证书右侧的箭头,然后执行与 CA 证书相同的过程。
- 单击继续显示高级身份验证策略区域。
- 如果要将高级身份验证策略绑定到虚拟服务器,请单击行右侧的箭头以显示“身份验证策略”对话框,选择要绑定到服务器的策略,设置优先级,然后单击“确定”。
- 单击继续显示“基本身份验证策略”区域。
- 如果要创建基本身份验证策略并将其绑定到虚拟服务器,请单击加号以显示“策略”对话框,然后按照提示配置策略并将其绑定到此虚拟服务器。
- 单击继续显示基于 401 的虚拟服务器区域。
-
在基于 401 的虚拟服务器区域中,配置要绑定到此虚拟服务器的任何负载平衡或内容交换虚拟服务器。
- 要绑定负载平衡虚拟服务器,请单击负载平衡虚拟服务器右侧的箭头以显示负载平衡虚拟服务器对话框,然后按照提示进行操作。
- 要绑定内容交换虚拟服务器,请单击内容交换虚拟服务器右侧的箭头以显示内容切换虚拟服务器对话框,然后按照绑定 LB 虚拟服务器相同的过程进行操作。
- 如果要创建或配置组,请在“组”区域中单击箭头以显示“组”对话框,然后按照提示操作。
- 检查您的设置,完成后,单击“完成”。此对话框将关闭。如果您创建了新的身份验证虚拟服务器,它现在会显示在“配置”窗口列表中。
流量管理虚拟服务器
创建并配置身份验证虚拟服务器后,接下来创建或配置流量管理虚拟服务器,然后将身份验证虚拟服务器与其关联。您可以将负载平衡或内容交换虚拟服务器用于流量管理虚拟服务器。 有关创建和配置任一类型的虚拟服务器的详细信息,请参阅 流量管理中的 Citrix 流量管理 指南。
注意:
流量管理虚拟服务器的 FQDN 必须与身份验证虚拟服务器的 FQDN 位于同一域中,域会话 Cookie 才能正常运行。
通过启用身份验证,然后将身份验证服务器的 FQDN 分配给流量管理虚拟服务器,可以配置流量管理虚拟服务器进行身份验证、授权和审核。您还可以当前在流量管理虚拟服务器上配置身份验证域。如果未配置此选项,Citrix ADC 设备会为流量管理虚拟服务器分配一个 FQDN,该 FQDN 由身份验证虚拟服务器的 FQDN 组成,而不包含主机名部分。例如,如果身份验证虚拟服务器的域名是 tm.xyz.bar.com,则设备会将 xyz.bar.com.bar.com. 分配为身份验证域。
使用 CLI 配置流量管理虚拟服务器
在命令提示符下,键入以下命令集之一:
set lb vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show lb vserver <name>
set cs vserver <name> –authentication ON -authenticationhost <FQDN> [-authenticationdomain <authdomain>]
show cs vserver <name>
<!--NeedCopy-->
示例:
set lb vserver vs-cont-sw -Authentication ON -AuthenticationHost mywiki.index.com Done
show lb vserver vs-cont-sw vs-cont-sw (0.0.0.0:0) - TCP Type: ADDRESS State: DOWN Last state change was at Wed Aug 19 10:03:15 2009 (+410 ms) Time since last state change: 5 days, 20:00:40.290 Effective State: DOWN Client Idle Timeout: 9000 sec Down state flush: ENABLED Disable Primary Vserver On Down : DISABLED No. of Bound Services : 0 (Total) 0 (Active) Configured Method: LEASTCONNECTION Mode: IP Persistence: NONE Connection Failover: DISABLED Authentication: ON Host: mywiki.index.com
Done
<!--NeedCopy-->
使用 GUI 配置流量管理虚拟服务器
-
在导航窗格中,执行以下操作之一。
- 导航到流量管理 > 负载平衡 > 虚拟服务器。
- 导航到流量管理 > 内容切换 > 虚拟服务器
- 在详细信息窗格中,选择要在其上启用身份验证的虚拟服务器,然后单击“编辑”。
- 在“域”文本框中,键入身份验证域。
- 在右侧的“高级”菜单中,选择“身份验证”。
-
选择基于表单的身份验证或基于 401 的身份验证,然后填写身份验证信息。
- 对于基于表单的身份验证,输入身份验证 FQDN(身份验证服务器的完全限定域名)、身份验证虚拟服务器(身份验证虚拟服务器的 IP 地址)和身份验证配置文件(用于身份验证的配置文件)。
- 对于基于 401 的身份验证,仅输入验证虚拟服务器和身份验证配置文件。
- 单击 OK(确定)。状态栏中将显示一条消息,指出虚拟服务器已成功配置。
对身份验证、授权和审核的简化登录协议支持
身份验证、授权和审核流量管理虚拟服务器与身份验证、授权和审核虚拟服务器之间的登录协议被简化为使用内部机制,而不是通过查询参数发送加密数据。使用此功能,请求的重放将被阻止。
配置 DNS
要使身份验证过程中使用的域会话 cookie 正常运行,必须将 DNS 配置为将身份验证和流量管理虚拟服务器分配给同一域中的 FQDN。有关如何配置 DNS 地址记录的信息,请参阅 域名系统。
验证验证虚拟服务器
在配置身份验证和流量管理虚拟服务器之后,在创建用户帐户之前,必须验证两个虚拟服务器配置正确且处于 UP 状态。
使用 CLI 配置 NoAuth 身份验证
在命令提示符下,键入以下命令:
show authentication vserver <name>
<!--NeedCopy-->
示例:
show authentication vserver Auth-Vserver-2
Auth-Vserver-2 (10.102.29.77:443) - SSL Type: CONTENT
State: UP
Client Idle Timeout: 180 sec
Down state flush: DISABLED
Disable Primary Vserver On Down : DISABLED
Authentication : ON
Current AAA Users: 0
Authentication Domain: myCompany.employee.com
Done
<!--NeedCopy-->
使用 GUI 配置 NoAuth 身份验证
- 导航到 安全 > Citrix ADC AAA-应用程序流量 > 虚拟服务器。 注意:从 Citrix Gateway 中,导航到 Citrix Gateway > 虚拟服务器。
- 查看 AAA 虚拟服务器窗格中的 信息,以验证您的配置是否正确以及身份验证虚拟服务器是否接受流量。您可以选择特定虚拟服务器以在详细信息窗格中查看详细信息。