Application Delivery Management

启用外部身份验证服务器和备用选项

Fallback 选项允许在外部服务器身份验证失败时接管本地身份验证。在 NetScaler ADM 和外部身份验证服务器上配置的用户可以登录 NetScaler ADM,即使配置的外部身份验证服务器已关闭或无法访问。要确保备用身份验证正常运行,请执行以下操作:

  • 如果外部服务器已关闭或无法访问,非 nsroot 用户必须能够访问 NetScaler ADM

  • 必须添加至少一台外部服务器

NetScaler ADM 还支持统一的身份验证、授权和记账系统 (AAA) 协议(LDAP、RADIUS 和 TACACS)以及本地身份验证。这种统一支持提供了一个通用接口,用于对访问系统的所有用户和外部 AAA 客户端进行身份验证和授权。

无论用户要与系统通信的实际协议如何,NetScaler ADM 都可以对用户进行身份验证。 级联外部身份验证服务器提供持续无故障的外部用户身份验证和授权处理。如果第一个身份验证服务器上的身份验证失败,NetScaler ADM 将尝试使用第二个外部身份验证服务器对用户进行身份验证,依此类推。要启用级联身份验证,必须在 NetScaler ADM 中添加外部身份验证服务器。可以添加任何类型的受支持的外部身份验证服务器(RADIUS、LDAP 和 TACACS)。

例如,假设您要添加四台外部身份验证服务器并配置两台 RADIUS 服务器、一台 LDAP 服务器和一台 TACACS 服务器。NetScaler ADM 尝试根据配置向外部服务器进行身份验证。在此示例场景中,NetScaler ADM 尝试:

  • 连接第一台 RADIUS 服务器

  • 如果第一个 RADIUS 服务器的身份验证失败,请连接第二个 RADIUS 服务器

  • 如果两台 RADIUS 服务器的身份验证均失败,请连接 LDAP 服务器

  • 如果 RADIUS 服务器和 LDAP 服务器的身份验证均失败,请连接 TACACS 服务器。

注意

您可以在 NetScaler ADM 中配置多达 32 个外部身份验证服务器。

配置回退和级联外部服务器

  1. 导航到“设置”>“身份验证”。

  2. 在“身份验证”页面上,单击“设置

  3. 在“身份验证配置”页面上,从“服务器类型”列表中选择 EXTERNAL(只能级联外部服务器)。

  4. 单击“插入”,然后在“外部服务器”页面上,选择一个或多个要级联的身份验证服务器。

  5. 如果您希望在外部身份验证失败时接管 本地身份验证,请选中“启用备 用本地身份验证”复选框。

  6. 如果要在系统审核 日志中捕获外部用户组信息 ,请选中“记录外部组信息”复选框。

  7. 击“确定”关闭页面。

    选定的服务器显示在“外部服务器”下:

    外部服务器

还可以使用服务器名称旁边的图标在列表中上下移动服务器来指定身份验证顺序。

启用外部身份验证服务器和备用选项