产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF
感谢您提供反馈

这篇文章已经过机器翻译.放弃

  切换到英文

身份验证期间轮询

May 11, 2023
投稿者: 
C

从 NetScaler 版本 13.0.79.64 开始,可以在多因素身份验证期间将 NetScaler 设备配置为轮询机制。

如果在 NetScaler 设备上配置了轮询,则端点(如 Web 浏览器或应用程序)可以在身份验证期间按配置的时间间隔轮询(探测)设备,以获取已提交的身份验证请求的状态。

可以将轮询配置为在使用 NetScaler 设备进行身份验证时终端断开 TCP 连接时处理身份验证。

注意事项

  • LDAP、RADIUS 和 TACACS 身份验证方法支持轮询配置。

  • 客户端可以从第二个因素开始探测身份验证请求。

为什么要配置轮询

有时,在进行身份验证时,在应用程序(例如登录应用程序和身份验证器应用程序)之间切换会导致端点与 NetScaler 设备断开连接,从而导致身份验证流程中断。配置轮询后,可以避免身份验证中的这种中断。

了解投票机制

以下是未配置轮询的身份验证期间事件流的示例。

轮询机制使 NetScaler 设备能够恢复对终端节点的持续身份验证,而无需在端点上重置 TCP 连接的极少数情况下重新启动身份验证过程。

轮询电流

  1. 终端节点(应用程序或 Web 浏览器)使用凭据进行身份验证。
  2. 根据现有的第一要素目录(LDAP/Active Directory)验证用户名和密码。
  3. 如果提供了正确的凭据,则身份验证将移至下一个因素。
  4. 此时,NetScaler 设备向 RADIUS Push 服务器发送请求。
  5. 当 NetScaler 设备等待 RADIUS 服务器的响应时,端点断开 TCP 连接。
  6. NetScaler 收到来自 RADIUS Push 服务器的响应。
  7. 由于未找到客户端 TCP 连接,NetScaler 设备会中断会话,登录失败。

以下是配置轮询的身份验证期间事件流的示例。

Pol-New

  1. 终端节点(应用程序或 Web 浏览器)使用凭据进行身份验证。
  2. 根据现有的第一要素目录(LDAP/Active Directory)验证用户名和密码。
  3. 如果提供了正确的凭据,则身份验证将移至下一个因素。
  4. 此时,NetScaler 设备向 RADIUS Push 服务器发送请求。
  5. 当 NetScaler 设备等待 RADIUS 服务器的响应时,端点断开 TCP 连接。
  6. 端点向 NetScaler 设备发送轮询(探测)以检查身份验证状态。
  7. 由于 NetScaler 设备没有收到来自 RADIUS 服务器的回复,因此它请求端点继续轮询。
  8. NetScaler 设备接收来自 RADIUS Push 服务器的响应。
  9. 由于未找到客户端 TCP 连接,ADC 将保存会话状态。
  10. 终端节点再次轮询以检查身份验证状态。
  11. NetScaler 设备建立会话并成功登录。

使用 CLI 配置轮询

以下是 CLI 配置示例。

配置第一因素 

add authentication ldapAction ldap-new -serverIP 10.106.40.65 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword 2f63d3659103464a4fad0ade65e2ccfd4e8440e36ddff941d29796af03e01139 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -alternateEmailAttr userParameters

add authentication Policy ldap-new -rule true -action ldap-new

bind authentication vserver avs -policy ldap-new -priority 1 -nextFactor rad_factor

配置第二个因素 

add authentication radiusAction rad1 -serverIP 10.102.229.120 -radKey 1b1613760143ce2371961e9a9eb5392c86a4954a62397f29a01b5d12b42ce232 -encrypted -encryptmethod ENCMTHD_3

add authentication Policy rad -rule true -action rad1

配置 Poll.xml 登录模式 

add authentication loginSchema polling_schema -authenticationSchema LoginSchema/Poll.xml

add authentication policylabel rad_factor -loginSchema polling_schema

bind authentication policylabel rad_factor -policyName rad -priority 1 -gotoPriorityExpression NEXT

使用 GUI 配置轮询

有关使用 GUI 配置多重身份验证的详细步骤,请参阅 配置 nFactor 身份验证

以下是从第二因素开始配置 NetScaler 进行轮询所需的高级步骤示例。

  1. 创建身份验证的第一个因素,例如 LDAP。
  2. 为身份验证创建第二个因素,例如 RADIUS。
  3. 将 NetScaler(/NSConfig/LoginSchema/)中存在的 Poll.xml 添加为第二个因素的登录模式。
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
身份验证期间轮询
May 11, 2023
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.