用户身份管理
越来越多的安全漏洞和移动设备的日益普及,凸显了确保外部互联网的使用符合企业策略,并且只有授权用户才能访问企业员工提供的外部资源的必要性。身份管理通过验证个人或设备的身份来实现这一点。它不决定个人可以执行哪些任务或可以查看哪些文件。
安全 Web 网关 (SWG) 部署在允许访问互联网之前识别用户。来自用户的所有请求和响应都会被检查。用户活动会被记录,并且记录会导出到 Citrix® Application Delivery Management (ADM) 以供报告。在 Citrix ADM 中,您可以查看有关用户活动、事务和带宽消耗的统计信息。
默认情况下,仅保存用户的 IP 地址,但您可以配置 Citrix SWG 设备以记录有关用户的更多详细信息,并使用此身份信息为特定用户创建更丰富的互联网使用策略。
Citrix ADC 设备支持以下用于显式代理配置的身份验证模式。
- 轻型目录访问协议 (LDAP)。通过外部 LDAP 身份验证服务器对用户进行身份验证。有关详细信息,请参阅LDAP 身份验证策略。
- RADIUS。通过外部 RADIUS 服务器对用户进行身份验证。有关详细信息,请参阅RADIUS 身份验证策略。
- TACACS+。通过外部终端访问控制器访问控制系统 (TACACS) 身份验证服务器对用户进行身份验证。有关详细信息,请参阅身份验证策略。
- 协商。通过 Kerberos 身份验证服务器对用户进行身份验证。如果 Kerberos 身份验证出现错误,设备将使用 NTLM 身份验证。有关详细信息,请参阅协商身份验证策略。
对于透明代理,目前仅支持基于 IP 的 LDAP 身份验证。当收到客户端请求时,代理通过检查活动目录中客户端 IP 地址的条目来对用户进行身份验证,并根据用户 IP 地址创建会话。但是,如果您在 LDAP 操作中配置了 ssoNameAttribute,则会使用用户名而不是 IP 地址创建会话。透明代理设置中的身份验证不支持经典策略。
注意
对于显式代理,您必须将 LDAP 登录名设置为
sAMAccountName。对于透明代理,您必须将 LDAP 登录名设置为networkAddress,并将attribute1设置为sAMAccountName。
显式代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName sAMAccountName
<!--NeedCopy-->
透明代理示例:
add authentication ldapAction swg-auth-action-explicit -serverIP 10.105.157.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword freebsd123$ -ldapLoginName networkAddress -authentication disable -Attribute1 sAMAccountName
<!--NeedCopy-->
使用 Citrix SWG CLI 设置用户身份验证
在命令提示符下,键入:
add authentication vserver <vserver name> SSL
bind ssl vserver <vserver name> -certkeyName <certkey name>
add authentication ldapAction <action name> -serverIP <ip_addr> -ldapBase <string> -ldapBindDn <string> -ldapBindDnPassword -ldapLoginName <string>
add authentication Policy <policy name> -rule <expression> -action <string>
bind authentication vserver <vserver name> -policy <string> -priority <positive_integer>
set cs vserver <name> -authn401 ON -authnVsName <string>
<!--NeedCopy-->
参数:
虚拟服务器名称:
要绑定策略的身份验证虚拟服务器的名称。
最大长度:127
服务类型:
身份验证虚拟服务器的协议类型。始终为 SSL。
可能的值:SSL
默认值:SSL
操作名称:
新 LDAP 操作的名称。必须以字母、数字或下划线字符 (_) 开头,并且只能包含字母、数字、连字符 (-)、句点 (.)、井号 (#)、空格 ( )、at (@)、等号 (=)、冒号 (:) 和下划线字符。添加 LDAP 操作后无法更改。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将其用双引号或单引号括起来(例如,“my authentication action”或 ‘my authentication action’)。
最大长度:127
服务器 IP:
分配给 LDAP 服务器的 IP 地址。
LDAP 基准:
开始 LDAP 搜索的基准(节点)。如果 LDAP 服务器在本地运行,则基准的默认值为 dc=netscaler®、dc=com。最大长度:127
LDAP 绑定 DN:
用于绑定到 LDAP 服务器的完整专有名称 (DN)。
默认值:cn=Manager,dc=netscaler,dc=com
最大长度:127
LDAP 绑定 DN 密码:
用于绑定到 LDAP 服务器的密码。
最大长度:127
LDAP 登录名:
LDAP 登录名属性。Citrix ADC 设备使用 LDAP 登录名查询外部 LDAP 服务器或 Active Directory。最大长度:127
策略名称:
高级身份验证策略的名称。必须以字母、数字或下划线字符 (_) 开头,并且只能包含字母、数字、连字符 (-)、句点 (.)、井号 (#)、空格 ( )、at (@)、等号 (=)、冒号 (:) 和下划线字符。创建身份验证策略后无法更改。以下要求仅适用于 CLI:
如果名称包含一个或多个空格,请将其用双引号或单引号括起来(例如,“my authentication policy”或 ‘my authentication policy’)。
最大长度:127
规则:
规则名称或默认语法表达式,策略使用它来确定是否尝试使用身份验证服务器对用户进行身份验证。
最大长度:1499
操作:
如果策略匹配,要执行的身份验证操作的名称。
最大长度:127
优先级:
指定策略优先级的正整数。数字越小,优先级越高。策略按优先级顺序进行评估,并应用与请求匹配的第一个策略。在绑定到身份验证虚拟服务器的策略列表中必须是唯一的。
最小值:0
最大值:4294967295
示例:
add authentication vserver swg-auth-vs SSL
Done
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
Done
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzz -ldapLoginName sAMAccountName
Done
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit Done
bind authentication vserver swg-auth-vs -policy swg-auth-policy -priority 1
Done
set cs vserver testswg -authn401 ON -authnVsName swg-auth-vs
Done
<!--NeedCopy-->
使用 Citrix SWG CLI 启用用户名日志记录
在命令提示符下,键入:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
参数:
AAAUserName
启用 AppFlow® AAA 用户名日志记录。
可能的值:ENABLED, DISABLED
默认值:DISABLED
示例:
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->