-
-
身份验证
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
身份验证
May 24, 2018
用户可以通过 Citrix Application Delivery Management (ADM) 进行内部身份验证,也可以通过身份验证服务器进行外部身份验证,或两者兼而有之。如果使用本地身份验证,则用户必须位于 Citrix ADM 安全数据库中。如果在外部对用户进行身份验证,则用户的“外部名称”应该匹配向身份验证服务器注册的外部用户标识,具体取决于选定的身份验证协议。
Citrix ADM 支持通过 RADIUS、LDAP 和 TACACS 协议进行外部身份验证。此统一支持提供公用接口来对访问系统的所有本地和外部身份验证、授权和记帐 (AAA) 服务器用户进行身份验证和授权。Citrix ADM 可以对用户进行身份验证,无论用户使用何种实际协议与系统进行通信。当用户尝试访问配置为外部身份验证的 Citrix ADM 实现时,所请求的应用服务器会将用户名和密码发送到 RADIUS、LDAP 或 TACACS 服务器进行身份验证。如果身份验证成功,则使用相应的协议在 Citrix ADM 中识别用户。
您可以通过两种方式在 Citrix ADM 中对用户进行身份验证:
- 通过使用 Citrix ADM 本地服务器
- 使用外部身份验证服务器
以下流程图显示了对本地或外部用户进行身份验证时要遵循的工作流程:
配置外部身份验证服务器
Citrix ADM 支持多种协议来提供外部身份验证、授权和记账 (AAA) 服务。
Citrix ADM 将所有身份验证、授权和记账 (AAA) 服务请求发送到远程 RADIUS、LDAP 或 TACACS+ 服务器。远程 AAA 服务器接收请求,验证请求,然后向 Citrix ADM 发送响应。当配置为使用远程 RADIUS、TACACS+ 或 LDAP 服务器进行身份验证时,Citrix ADM 将变成 RADIUS、TACACS+ 或 LDAP 客户端。在其中任何配置中,身份验证记录都存储在远程主机服务器数据库中。每个用户的登录和注销帐户名称、分配的权限和时间记帐记录也都存储在 AAA 服务器中。
此外,您可以使用 Citrix ADM 的内部数据库在本地对用户进行身份验证。可在数据库中创建用户及其密码和默认角色条目。还可以针对特定类型的身份验证创建服务器组。服务器组中的服务器列表是有序列表。除非列表中的第一个服务器不可用,否则始终使用该服务器,如果不可用,则使用列表中的下一个服务器。可以在一个组中配置不同类型的服务器,还可以将内部数据库包含为配置的 AAA 服务器列表的回退身份验证备份。
配置 RADIUS 身份验证服务器
您可以将 Citrix ADM 配置为使用一台或多台 RADIUS 服务器对用户的访问进行身份验证。您的配置可能需要使用网络访问服务器 IP (NAS IP) 地址或网络访问服务器标识符 (NAS ID)。将 Citrix ADM 配置为使用 RADIUS 身份验证服务器时,请遵循以下准则:如果启用使用 NAS IP 地址,则设备会将其配置的 IP 地址发送到 RADIUS 服务器,而不是发送建立 RADIUS 连接时使用的源 IP 地址。
- 如果配置 NAS ID,设备会将标识符发送到 RADIUS 服务器。如果不配置 NAS ID,则设备将其主机名发送到 RADIUS 服务器。
- 如果启用 NAS IP 地址,则设备忽略配置的任何 NAS ID,并使用 NAS IP 与 RADIUS 服务器通信。
要配置 RADIUS 身份验证服务器,请执行以下操作:
-
在 Citrix ADM 中,导航到系统 > 身份验证 > RADIUS。
-
在 RADIUS 页面上,单击“添加”。
-
在“创建 RADIUS 服务器”页面上,设置参数并单击“创建”将服务器添加到 RADIUS 身份验证服务器列表中。以下参数是必需的:
-
名称。RADIUS 服务器的名称。
-
服务器名称/IP 地址。RADIUS 服务器的服务器名称或 IP 地址。
-
Port(端口)。默认情况下,端口 1812 用于 RADIUS 身份验证。如有需要,可以指定其他端口号。
-
超时(秒)。Citrix ADM 系统等待 RADIUS 服务器响应的时间,以秒为单位。
-
密钥。任何字母数字表达式。这是 Citrix ADM 和 RADIUS 服务器之间共享的密钥,用于启用通信。
-
-
单击“详细信息”展开该部分并设置其他参数,然后单击“创建”。
有关如何添加 RADIUS 服务器的更多详细信息,请参阅 如何添加 RADIUS 身份验证服务器。
配置 LDAP 身份验证服务器
您可以将 Citrix ADM 配置为使用一台或多台 LDAP 服务器对用户的访问进行身份验证。LDAP 授权要求在 Active Directory、LDAP 服务器和 Citrix ADM 上使用相同的组名。字符和大小写也必须匹配。
要配置 LDAP 身份验证服务器,请执行以下操作:
-
在 Citrix ADM 中,导航到 系统 > 身份验证 > LDAP。
-
在 LDAP 页面上,单击添加。
-
在“创建 LDAP 服务器”页面上,设置参数并单击“创建”将服务器添加到 LDAP 身份验证服务器列表中。以下参数是必需的:
-
名称。LDAP 服务器的名称。
-
服务器名称/IP 地址。LDAP 服务器的服务器名称或 IP 地址。
-
安全类型。系统与 LDAP 服务器之间所需的通信类型。从下拉列表中选择。如果纯文本通信无法满足要求,还可以选择加密通信,即选择传输层安全性 (TLS) 或 SSL。
-
Port(端口)。默认情况下,端口 389 用于 LDAP 身份验证。如有需要,可以指定其他端口号。
-
服务器类型。选择 Active Directory (AD) 或 Novell Directory Service (NDS) 作为 LDAP 服务器的类型。
-
超时(秒)。Citrix ADM 系统等待 LDAP 服务器响应的时间,以秒为单位。
-
您可以提供其他详细信息。您还可以通过选中“验证 LDAP 证书”复选框并指定要在 证书上输入的主机名来验证 L DAP 证书。可以添加的其他一些参数包括用于针对目录服务进行查询的域名服务器 (DN) 详细信息、默认身份验证组、组属性及其他属性。
通常,在绑定 DN 的基础上删除用户名并指定用户所属组,即得到基础 DN。在“Administrator Bind DN”(管理员绑定 DN)文本框中,键入管理员绑定 DN 以用于对 LDAP 目录的查询。
基本 DN 的语法示例如下:
-
ou=users,dc=ace,dc=com
-
cn=Users,dc=ace,dc=com
绑定 DN 的语法示例如下:
-
domain/user name
-
ou=administrator,dc=ace,dc=com
-
user@domain.name (for Active Directory)
-
cn=Administrator,cn=Users,dc=ace,dc=com
您在 Citrix ADM 中定义的组名和用户名必须与 LDAP 服务器上配置的组名和用户名相似。
注意
配置 RADIUS 或 LDAP 服务器时,您可以在“详细信息”部分中输入 默认身份验证组的名称。身份验证成功时,将选择此默认组为用户授权,无论用户是否绑定到某个组。然后,用户收到基于用户是否分配到该组在此默认组和其他组上配置的权限组合。
有关如何添加 LDAP 服务器的更多详细信息,请参阅 如何添加 LDAP 身份验证服务器。
有关如何级联外部身份验证服务器的更多详细信息,请参阅 如何级联外部身份验证服务器。
配置 TACACS 身份验证服务器
与 RADIUS 和 LDAP 一样,TACACS 处理网络访问的远程身份验证服务。
配置 TACACS 身份验证服务器:
-
在 Citrix ADM 中,导航到系统 > 身份验证 > TACACS。
-
在 TACACS 页面上,单击“添加”。
-
在创建 TACACS 服务器页面上,输入以下详细信息:
-
TACACS 服务器的名称。
-
TACACS 服务器的 IP 地址。
-
端口和超时(以秒为单位)
-
系统和 TACACS 服务器共享用于通信的密钥。
-
如果您希望设备在 TACACS 服务器上记录审核信息,请选择“会计”。
-
-
单击创建。
有关如何添加 TACACS 服务器的更多详细信息,请参阅 如何添加 TACACS 身份验证服务器。
注意
要搜索在 Citrix ADM 中添加的身份验证服务器,请在搜索栏中单击并选择所需的搜索条件。
在 Citrix ADM 中配置用户的本地身份验证
如果您使用本地身份验证,请创建用户,然后将他们添加到在 Citrix ADM 上创建的组中。配置用户和组后,您可以应用授权和会话策略、创建书签、指定应用程序以及指定用户有权访问的文件共享和服务器的 IP 地址。
要在 Citrix ADM 中配置本地身份验证,请执行以下操作:
-
在 Citrix ADM 中,导航到“系统”>“身份验证”,然后单击“身份验证配置”。
-
在“身份验证配置”页面上,从“服务器类型”下拉框中选择“本地”,然后单击“**确定”。
在 Citrix ADM 中配置外部身份验证
在 Citrix ADM 中配置外部身份验证服务器时,在这些外部服务器上进行身份验证的用户组将被导入到 Citrix ADM 中。您无需在 Citrix ADM 上创建用户。用户由 Citrix ADM 在外部服务器上进行管理。但是,您必须确保在 Citrix ADM 中保持用户组在外部身份验证服务器上的权限级别。Citrix ADM 通过分配组权限来对用户进行授权,以访问特定的负载平衡虚拟服务器和系统上的特定应用程序。如果以后从系统中删除某个身份验证服务器时,将会自动从系统中删除组和用户。
要在 Citrix ADM 中配置外部身份验证,请执行以下操作:
-
在 Citrix ADM 中,导航到“系统”>“身份验证**”,然后单击“身份验证**配置”。
-
在“身份验证配置”页面上,从“服务器类型”下拉列表中选择“外部”。
-
单击“插入”。
-
在“外部服务器”页面上,选择身份验证服务器。(可选)可以选择多个身份验证服务器进行级联。
注意
只能级联外部服务器。
-
如果您希望在外部 身份验证失败时接管本地身份验证,请选择“启用备 用本地身份验证”。
-
单 击“确定”关闭页面。
所选服务器显示在“身份验证服务器”页面上。
还可以使用服务器名称旁边的图标在列表中上下移动服务器来指定身份验证顺序。
在 Citrix ADM 中配置组
Citrix ADM 允许您通过创建组并将用户添加到组来对用户进行身份验证和授权。组可以具有“管理”或“只读”权限,组中的所有用户将具有相同的权限。
在 Citrix ADM 中,组被定义为具有类似权限的用户的集合。组可以有一个或多个角色。用户定义为可以具有基于分配的权限的访问权限的实体。用户可以属于一个或多个组。
您可以在 Citrix ADM 中创建本地组,并对组中的用户使用本地身份验证。如果您使用外部服务器进行身份验证,请在 Citrix ADM 上配置组,使其与内部网络中身份验证服务器上配置的组相匹配。当用户登录并通过身份验证时,如果组名与身份验证服务器上的组匹配,则用户将继承 Citrix ADM 上该组的设置。
配置组后,可以应用授权和会话策略、创建书签、指定应用程序以及指定用户有权访问的文件共享和服务器的 IP 地址。
如果您使用本地身份验证,请创建用户并将其添加到在 Citrix ADM 上配置的组中。然后,用户继承这些组的设置
注意
如果用户是 Active Directory 组的成员,则该组的名称和 Citrix ADM 上的用户名必须与 Active Directory 组中的用户名相同。
要在 Citrix ADM 中配置用户组,请执行以下操作:
-
在 Citrix ADM 中,导航到 系统 > 用户管理 > 组。
-
在“组**”页面上,单击“添**加”以创建组。默认情况下,在 Citrix ADM 中创建两个组,权限设置为管理员和只读。您可以向这些组添加您的用户,也可以为您的用户创建其他组。
-
在 创建系统组页面的组 设置 选项卡上,键入组的名称,并将 角色 设置为管理员或只读。您可以选择“配置用户会话超时”来为该组登录的用户会话设置超时限制。
注意
确保在 Citrix ADM 上创建的用户组的名称与在外部身份验证服务器上创建的用户组的名称相同。如果不同,系统将无法识别组,因此组成员将不会被提取到系统中。
-
在“授权设置”选项卡中,选择所需的组。单击创建组。
-
在“分配用户”选项卡中,选择要添加到组的用户。当您在 Citrix ADM 的“配置用户”中配置用户时,用户会添加到此表中。
-
单击完成。
在系统中创建了组后,外部身份验证服务器中的所有用户都被提取到系统中。如果组名匹配外部身份验证服务器上的组名,用户会在登录系统时继承所有授权定义。
在 Citrix ADM 中配置用户
您可以在 Citrix ADM 上本地创建用户帐户,以补充身份验证服务器上的用户。例如,您可能要为临时用户(例如顾问或来宾)创建本地用户帐户,但不在身份验证服务器上为这些用户创建条目。如果您要对外部身份验证服务器上的用户进行本地身份验证,请确保身份验证服务器和 Citrix ADM 上都有相同的用户。
要在 Citrix ADM 中配置用户,请执行以下操作:
-
在 Citrix ADM 中,导航到“系统”>“用户管理”>“用 户”。
-
在“**用户”页面上,单击“添**加”将 用户添加到 Citrix ADM。
-
在 创建系统用户 页面上,设置以下参数:
-
用户名。用户的名称
-
密码。用户登录 Citrix ADM 时使用的密码
-
启用外部身份验证。如果未启用此功能,则用户将被验证为本地用户。
-
配置用户会话超时。用户可以保持活动的时间。可以分钟或小时为单位设置此时间段。
-
-
在 组** 表格中,选择要向其添加用户的组。在 Citrix ADM 的配置用户组中配置组时,组成员将添加到此表中。
-
单击创建。
注意
如果用户在 Active Directory 上,请确保 Citrix ADM 中的组名与外部服务器上 Active Directory 组的组名相同。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.