ADC

出于管理目的,在 NetScaler 设备上配置 LDAP 身份验证

出于管理目的(超级用户、只读、网络权限和所有其他权限),您可以使用 active Directory 凭据(用户名和密码)配置用户登录 NetScaler 设备。

必备条件

  • Windows Active Directory 域控制器服务器
  • 面向 NetScaler 管理员的专用域组
  • NetScaler Gateway 10.1 及更高版本

下图说明了 NetScaler 设备上的 LDAP 身份验证。

用于管理目的的 LDAP 身份验证工作流

高级配置步骤

  1. 创建 LDAP 服务器
  2. 创建 LDAP 策略
  3. 绑定 LDAP 策略
  4. 通过以下方式之一向管理员分配权限
    • 在组上应用权限
    • 为每个用户单独应用权限

创建身份验证 LDAP 服务器

  1. 导航到 系统 > 身份验证 > LDAP
  2. 单击 服务器 选项卡,然后单击 添加
  3. 完成配置,然后单击 创建

LDAP 身份验证服务器

注意:

在此示例中,通过设置搜索筛选器对用户组成员身份进行身份验证,访问权限仅限于 NetScaler 设备。本示例中使用的值为-&(memberof=cn=nsg_admin,OU= 管理员组,DC = Citrix,DC = 实验室)

创建 LDAP 策略

  1. 导航到 系统 > 身份验证 > 高级策略 > 策略
  2. 单击添加
  3. 输入策略的名称,选择在前面的步骤中创建的服务器。
  4. 在“表达式”文本字段中,输入相应的表达式,然后单击“创建”。

全局绑定 LDAP 策略

  1. 导航到 系统 > 身份验证 > 高级策略 > 策略
  2. 在“身份验证策略”页面中,单击“全局绑定”。
  3. 选择您创建的策略(在本例中为 pol_ldapmgmt)。
  4. 相应地选择一个优先级(数字越低,优先级越高)
  5. 单击 绑定, 然后单击 完成全局绑定 列中会出现一个绿色的复选标记。

全局绑定 LDAP 身份验证策略

向管理员分配权限

您可以选择以下两个选项之一。

  • 对组应用权限: 在 NetScaler 设备中添加一个组,并为属于该组的每个用户分配相同的访问权限。
  • 为每个用户分别应用权限: 创建每个用户管理员帐户并为每个用户分配权限。

对组应用权限

对组应用权限时,在搜索筛选器中配置的 Active Directory 组的成员(在本示例中为 NSG_Admin)的用户可以连接到 NetScaler 管理界面并具有超级用户命令策略。

  1. 导航到 系统 > 用户管理 > 组
  2. 根据要求输入详细信息,然后单击“创建”。

创建用户组并分配权限

您已经定义了用户所属的活动目录组,以及登录时必须与该帐户关联的命令策略级别。您可以将新的管理员用户添加到在搜索筛选器上配置的 LDAP 组。

注意:

组名必须与活动目录记录匹配。

为每个用户单独应用权限

在这种情况下,在搜索筛选器中配置的 Active Directory 组(在本示例中为 nsg_Admin)的用户可以连接到 NetScaler 管理界面,但是在您在 NetScaler 设备上创建特定用户并将命令策略绑定到该用户之前,他们没有任何权限。

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 单击添加
  3. 根据要求输入详细信息。

    注意: 确保选择 启用外部身份验证

创建用户并分配权限

  1. 单击继续

您已定义活动目录用户和登录时必须与帐户关联的命令策略级别。

注意:

  • 用户名必须与现有用户的活动目录记录匹配。
  • 将用户添加到 NetScaler 进行外部身份验证时,如果外部身份验证不可用,则必须提供密码。为了使外部身份验证正常工作,内部密码不得与用户帐户 LDAP 密码相同。

向用户添加命令策略

  1. 导航到 System(系统)> User Administration(用户管理)> Users(用户)。
  2. 选择您创建的用户,然后单击“编辑”。
  3. 在绑定中,单击 系统命令策略
  4. 选择要应用于您的用户的正确命令策略。
  5. 单击 绑定, 然后单击 关闭

将命令策略绑定到用户

添加更多管理员;

  • 将管理员用户添加到您在搜索过滤器上配置的 LDAP 组中。
  • 在 NetScaler 中创建系统用户并分配正确的命令策略。

使用 CLI 在 NetScaler 设备上配置 LDAP 身份验证以进行管理

使用以下命令作为参考,在 NetScaler 设备 CLI 上为具有超级用户权限的组配置登录。

  1. 创建 LDAP 服务器

    add authentication ldapAction LDAP_mgmt -serverIP myAD.citrix.lab -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword -ldapLoginName sAMAccountName -searchFilter "&(memberof=CN=NSG_Admin,OU=AdminGroups,DC=citrix,DC=lab)" -groupAttrName memberOf
    <!--NeedCopy-->
    
  2. 创建和 LDAP 策略

    add authentication ldapPolicy pol_LDAPmgmt ns_true LDAP_mgmt
    <!--NeedCopy-->
    
  3. 绑定 LDAP 策略

    bind system global pol_LDAPmgmt -priority 110
    <!--NeedCopy-->
    
  4. 向管理员分配权限

    • 对组应用权限
    add system group NSG_Admin
    bind system group NSG_Admin -policyName superuser 100
    <!--NeedCopy-->
    
    • 为每个用户单独应用权限
    add system user admyoa
    bind system user admyoa superuser 100
    <!--NeedCopy-->
    
出于管理目的,在 NetScaler 设备上配置 LDAP 身份验证