TACACS 身份验证
TACACS 身份验证策略对外部终端访问控制器访问控制系统 (TACACS) 身份验证服务器进行身份验证。 用户对 TACACS 服务器进行身份验证后,NetScaler 会连接到同一 TACACS 服务器以进行所有后续授权。当主 TACACS 服务器不可用时,此功能可防止 ADC 等待第一台 TACACS 服务器超时时出现任何延迟。它发生在向第二台 TACACS 服务器重新发送授权请求之前。
注意:
TACACS 授权服务器不支持字符串长度超过 255 个字符的命令。
解决方法: 使用本地授权而不是 TACACS 授权服务器。
通过 TACACS 服务器进行身份验证时,身份验证、授权和审计流量管理日志只能成功运行 TACACS 命令。它可以防止日志显示由无权运行这些命令的用户输入的 TACACS 命令。
从 NetScaler 12.0 Build 57.x 开始,终端访问控制器访问控制系统 (TACACS) 在发送 TACACS 请求时没有阻塞身份验证、授权和审计守护进程。允许 LDAP 和 RADIUS 身份验证继续执行请求。一旦 TACACS 服务器确认 TACACS 请求,TACACS 身份验证请求就会恢复。
重要:
Citrix 建议您在运行“clear ns config”命令时不要修改任何与 TACACS 相关的配置。
当高级策略的“clear ns config”命令中的“RBAconfig”参数设置为 NO 时,与高级策略相关的 TACACS 相关配置将被清除并重新应用。
TACACS 身份验证的名称值属性支持
现在,您可以使用唯一的名称和值配置 TACACS 身份验证属性。名称在 TACACS 操作参数中配置,值是通过查询名称获得的。通过指定 name 属性值,管理员可以轻松搜索与属性名称关联的属性值。此外,管理员不再需要仅凭其值来记住属性。
重要
- 在 tacacsAction 命令中,最多可以配置 64 个以逗号分隔的属性,总大小小于 2048 字节。
使用 CLI 配置名称/值属性
在命令提示符下,键入:
add authentication tacacsAction <name> [-Attributes <string>]
示例:
add authentication tacacsAction tacacsAct1 -attributes “mail,sn,userprincipalName”
使用命令行界面添加身份验证操作
如果不使用 LOCAL 身份验证,则需要添加显式身份验证操作。在命令提示符下,键入以下命令:
add authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
示例
add authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users"
使用命令行界面配置身份验证操作
要配置现有身份验证操作,请在命令提示符下键入以下命令:
set authentication tacacsAction <name> -serverip <IP> [-serverPort <port>][-authTimeout <positive_integer>][ ... ]
示例
> set authentication tacacsaction Authn-Act-1 -serverip 10.218.24.65 -serverport 1812 -authtimeout 15 -tacacsSecret "minotaur" -authorization OFF -accounting ON -auditFailedCmds OFF -defaultAuthenticationGroup "users" Done
使用命令行界面删除身份验证操作
要删除现有 RADIUS 操作,请在命令提示符下键入以下命令:
rm authentication radiusAction <name>
示例
rm authentication tacacsaction Authn-Act-1