ADC

用户身份管理

February 1, 2022

投稿者:

越来越多的安全漏洞以及移动设备越来越受欢迎，这突出表明需要确保外部互联网的使用符合公司政策。必须只允许授权用户访问公司人员提供的外部资源。身份管理通过验证人员或设备的身份来实现这一目标。它不确定个人可以执行哪些任务或个人可以看到哪些文件。

SSL 转发代理部署在允许访问 Internet 之前识别用户。检查用户的所有请求和响应。将记录用户活动，并将记录导出到 Citrix Application Delivery Management (ADM) 以进行报告。在 Citrix ADM 中，可以查看与用户活动、事务和带宽占用量有关的统计信息。

默认情况下，仅保存用户的 IP 地址，但是您可以配置该功能以记录有关用户的更多详细信息。您可以使用此身份信息为特定用户创建更丰富的互联网使用策略。

Citrix ADC 设备支持以下身份验证模式进行显式代理配置。

轻型目录访问协议 (LDAP)。通过外部 LDAP 身份验证服务器对用户进行身份验证。有关详细信息，请参阅 LDAP 身份验证策略。
RADIUS。通过外部 RADIUS 服务器对用户进行身份验证。有关更多信息，请参阅 RADIUS 验证策略
TACACS+。通过外部端点访问控制器访问控制系统 (TACACS) 身份验证服务器对用户进行身份验证。有关详细信息，请参阅验证策略。
谈判。通过 Kerberos 身份验证服务器对用户进行身份验证。如果 Kerberos 身份验证有错误，设备将使用 NTLM 身份验证。有关详细信息，请参阅协商验证策略。

对于透明代理，仅支持基于 IP 的 LDAP 身份验证。收到客户端请求后，代理通过检查活动目录中客户端 IP 地址的条目来对用户进行身份验证。然后，它会根据用户 IP 地址创建会话。但是，如果在 LDAP 操作中配置 ssonameAttribute，则会通过使用用户名而不是 IP 地址来创建会话。透明代理设置中的身份验证不支持经典策略。

注意

对于显式代理，您必须将 LDAP 登录名设置为 同一帐户名称。对于透明代理，必须将 LDAP 登录名称设置为 networkAddress ，并将 attribute1 设置为 sAMAccountName。

显式代理示例：

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->

透明代理的示例：

add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->

使用 CLI 设置用户身份验证

在命令提示符下，键入：

add authentication vserver <vserver name> SSL

bind ssl vserver <vserver name> -certkeyName <certkey name>

add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>

add authentication Policy <policy name> -rule <expression> -action <string>

bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>

set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->

参数：

虚拟服务器名称：

要绑定策略的身份验证虚拟服务器的名称。

最大长度：127

服务类型：

身份验证虚拟服务器的协议类型。始终是 SSL。

可能的值：SSL

默认值：SSL

操作名称：

新 LDAP 操作的名称。必须以字母、数字或下划线字符 (_) 开头，并且必须仅包含字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、位于 (@)、equals (=)、冒号 (:) 和下划线字符。添加 LDAP 操作后无法更改。以下要求仅适用于 CLI：

如果名称包含一个或多个空格，请将名称括在双引号或单引号中（例如，“我的身份验证操作”或“我的身份验证操作”）。

最大长度：127

服务器 IP：

分配给 LDAP 服务器的 IP 地址。

ldapBase:

从中开始 LDAP 搜索的基数（节点）。如果 LDAP 服务器在本地运行，则 base 的默认值为 dc=netscaler, dc=com。最大长度：127

ldapBindDn:

用于绑定到 LDAP 服务器的完整可分辨名称 (DN)。

默认值：CN = Manager、dc=netscaler、dc=com

最大长度：127

ldapBindDnPassword：

用于绑定到 LDAP 服务器的密码。

最大长度：127

LDAPLOGO 名称：

LDAP 登录名属性。Citrix ADC 设备使用 LDAP 登录名来查询外部 LDAP 服务器或活动目录。最大长度：127

策略名称：

高级身份验证策略的名称。必须以字母、数字或下划线字符 (_) 开头，并且必须仅包含字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、位于 (@)、equals (=)、冒号 (:) 和下划线字符。创建身份验证策略后无法更改。以下要求仅适用于 CLI：

如果名称包含一个或多个空格，请将名称用双引号或单引号括起来（例如，“我的身份验证策略”或“我的身份验证策略”）。

最大长度：127

规则：

策略用于确定是否尝试使用身份验证服务器对用户进行身份验证的规则名称或默认语法表达式。

最大长度：1499

操作：

策略匹配时要执行的身份验证操作的名称。

最大长度：127

优先权：

指定策略优先级的正整数。较低的数字指定了较高的优先级。策略将按其优先级顺序进行评估，并应用与请求匹配的第一个策略。必须在绑定到身份验证虚拟服务器的策略列表中唯一。

最小值：0

最大值：4294967295

例如：

add authentication vserver swg-auth-vs SSL

Done

bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey

Done

add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName

Done

add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
Done

bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1

Done

set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs

Done
<!--NeedCopy-->

使用 CLI 启用用户名记录

在命令提示符下，键入：

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

参数：

AAAAuuser名称

启用 AppFlow 身份验证、授权和审核用户名记录。

可能的值：ENABLED、DISABLED

默认值：禁用

例如：

set appflow param -AAAUserName ENABLED
<!--NeedCopy-->

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

用户身份管理

February 1, 2022

投稿者:

February 1, 2022

投稿者: