NetScaler kerberos SSO 概述
要使用 NetScaler Kerberos SSO 功能,用户首先要通过 Kerberos 或支持的第三方身份验证服务器进行身份验证。经过身份验证后,用户将请求访问受保护的 Web 应用程序。Web 服务器响应请求提供用户有权访问该 Web 应用程序的证据。用户的浏览器与 Kerberos 服务器联系,Kerberos 服务器验证用户是否有权访问该资源,然后向用户的浏览器提供服务票据以提供证据。浏览器将用户的请求重新发送到附有服务票证的 Web 应用程序服务器。Web 应用程序服务器验证服务票证,然后允许用户访问该应用程序。
身份验证、授权和审计流量管理实现了此过程,如下图所示。该图说明了在具有 LDAP 身份验证和 Kerberos 授权的安全网络上通过 NetScaler 设备以及身份验证、授权和审计流量管理的信息流。使用其他类型身份验证的身份验证、授权和审计流量管理环境具有基本相同的信息流,尽管它们在某些细节上可能有所不同。
图 1. 使用 LDAP 和 Kerberos 的安全网络
在 Kerberos 环境中使用身份验证和授权进行身份验证、授权和审计流量管理需要执行以下操作。
- 客户端向 NetScaler 设备上的流量管理虚拟服务器发送资源请求。
- 流量管理虚拟服务器将请求传递给身份验证虚拟服务器,后者对客户端进行身份验证,然后将请求传回流量管理虚拟服务器。
- 流量管理虚拟服务器将客户端的请求发送到 Web 应用程序服务器。
- Web 应用程序服务器使用请求 Kerberos 身份验证的 401 未授权消息响应流量管理虚拟服务器,如果客户端不支持 Kerberos,则回退到 NTLM 身份验证。
- 流量管理虚拟服务器联系 Kerberos SSO 守护程序。
- Kerberos SSO 守护程序联系 Kerberos 服务器并获得票证授予票证 (TGT),允许其请求服务票证以授权访问受保护的应用程序。
- Kerberos SSO 守护程序为用户获取服务票证并将该票证发送到流量管理虚拟服务器。
- 流量管理虚拟服务器将票证附加到用户的初始请求,并将修改后的请求发送回 Web 应用程序服务器。
- Web 应用程序服务器以 200 OK 消息进行响应。
这些步骤对客户端来说是透明的,客户端只是发送请求并接收请求的资源。
将 NetScaler Kerberos SSO 与身份验证方法集成
所有身份验证、授权和审计流量管理身份验证机制都支持 NetScaler Kerberos SSO。身份验证、授权和审计流量管理支持 Kerberos SSO 机制以及 Kerberos、CAC(智能卡)和 SAML 身份验证机制,以及对 NetScaler 设备进行任何形式的客户端身份验证。如果客户端使用 HTTP-Basic 或基于表单的身份验证登录 NetScaler 设备,它还支持 HTTP-Basic、HTTP-Digest、基于表单和 NTLM(版本 1 和 2)的 SSO 机制。
下表显示了每种支持的客户端身份验证方法,以及该客户端方法支持的服务器端身份验证方法。
表 1. 支持的身份验证方法
| |
基础/摘要/NTLM |
Kerberos 约束委派 |
用户模拟 |
| CAC(智能卡):位于 SSL/T LS 层 |
|
X |
X |
| 基于表单(LDAP/RADIUS/TACACS) |
X |
X |
X |
| HTTP Basic (LDAP/RADIUS/TACACS) |
X |
X |
X |
| Kerberos |
|
X |
|
| NT LM v1/v2 |
|
X |
X |
| SAML |
|
X |
|
| SAML 双因子 |
X |
X |
X |
| 双因素证书 |
X |
X |
X |
本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
DIESER DIENST KANN ÜBERSETZUNGEN ENTHALTEN, DIE VON GOOGLE BEREITGESTELLT WERDEN. GOOGLE LEHNT JEDE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GEWÄHRLEISTUNG IN BEZUG AUF DIE ÜBERSETZUNGEN AB, EINSCHLIESSLICH JEGLICHER GEWÄHRLEISTUNG DER GENAUIGKEIT, ZUVERLÄSSIGKEIT UND JEGLICHER STILLSCHWEIGENDEN GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK UND DER NICHTVERLETZUNG VON RECHTEN DRITTER.
CE SERVICE PEUT CONTENIR DES TRADUCTIONS FOURNIES PAR GOOGLE. GOOGLE EXCLUT TOUTE GARANTIE RELATIVE AUX TRADUCTIONS, EXPRESSE OU IMPLICITE, Y COMPRIS TOUTE GARANTIE D'EXACTITUDE, DE FIABILITÉ ET TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET D'ABSENCE DE CONTREFAÇON.
ESTE SERVICIO PUEDE CONTENER TRADUCCIONES CON TECNOLOGÍA DE GOOGLE. GOOGLE RENUNCIA A TODAS LAS GARANTÍAS RELACIONADAS CON LAS TRADUCCIONES, TANTO IMPLÍCITAS COMO EXPLÍCITAS, INCLUIDAS LAS GARANTÍAS DE EXACTITUD, FIABILIDAD Y OTRAS GARANTÍAS IMPLÍCITAS DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN EN PARTICULAR Y AUSENCIA DE INFRACCIÓN DE DERECHOS.
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
このサービスには、Google が提供する翻訳が含まれている可能性があります。Google は翻訳について、明示的か黙示的かを問わず、精度と信頼性に関するあらゆる保証、および商品性、特定目的への適合性、第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め、一切保証しません。
ESTE SERVIÇO PODE CONTER TRADUÇÕES FORNECIDAS PELO GOOGLE. O GOOGLE SE EXIME DE TODAS AS GARANTIAS RELACIONADAS COM AS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA DE PRECISÃO, CONFIABILIDADE E QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM PROPÓSITO ESPECÍFICO E NÃO INFRAÇÃO.