配置身份验证和授权设置
NetScaler SDX 管理服务的身份验证可以是本地的,也可以是外部的。通过外部身份验证,管理服务根据外部服务器的响应授予用户访问权限。管理服务支持以下外部身份验证协议:
- 远程身份验证拨入用户服务 (RADIUS)
- 终端访问控制器访问控制系统 (TACACS)
- 轻量级目录访问协议 (LDAP)
管理服务还支持来自 SSH 的身份验证请求。SSH 身份验证仅支持键盘交互式身份验证请求。SSH 用户的授权仅限于管理员权限。具有只读权限的用户无法通过 SSH 登录。
要配置身份验证,请指定身份验证类型并配置身份验证服务器。
通过管理服务的授权是本地的。管理服务支持两个级别的授权。具有管理员权限的用户可以对管理服务执行任何操作。具有只读权限的用户只能执行读取操作。SSH 用户的授权仅限于管理员权限。具有只读权限的用户无法通过 SSH 登录。
RADIUS 和 LDAP 的授权通过组提取支持。您可以在管理服务上配置 RADIUS 或 LDAP 服务器时设置组提取属性。提取的组名与管理服务上的组名匹配,以确定授予用户的权限。一个用户可以属于多个组。在这种情况下,如果用户所属的任何组具有管理员权限,则该用户具有管理员权限。可以在配置期间设置默认身份验证组属性。此组与提取的组一起用于授权。
在 TACACS 授权中,TACACS 服务器管理员必须允许具有管理员权限的用户使用特殊命令 admin,并拒绝具有只读权限的用户使用此命令。当用户登录到 SDX 设备时,管理服务会检查用户是否具有运行此命令的权限。如果用户具有权限,则为用户分配管理员权限;否则,为用户分配只读权限。
添加用户组
组是需要访问公共信息或执行类似任务的用户的逻辑集合。您可以将用户组织到由一组通用操作定义的组中。通过向组而不是单个用户提供特定权限,您可以在创建用户时节省时间。
如果您使用外部身份验证服务器进行身份验证,则可以将 SDX 中的组配置为与身份验证服务器上配置的组匹配。当属于某个组(其名称与身份验证服务器上的组匹配)的用户登录并进行身份验证时,该用户将继承该组的设置。
添加用户组
- 在 “配置” 选项卡上,在 “系统” 下,展开 “用户管理”,然后单击 “组”。
-
在详细信息窗格中,单击 “添加”。
- 在 “创建系统组” 页面中,设置以下参数:
- 组名称
- 组描述
- 系统访问:选中此框可授予对整个 SDX 设备及其上运行的实例的访问权限。或者,对于实例级访问,请在 “实例” 下指定实例。
- 权限
- 配置用户会话超时
- 用户:属于该组的数据库用户。选择要添加到该组的用户。
- 单击 “创建” 和 “关闭”。
注意: 要在从版本 10.5 升级到版本 11.1 的 SDX 设备上创建具有管理员角色的组,请选择“读写”权限和“系统访问”复选框。在 SDX 10.5 中,此复选框不可用,权限的值为“admin”和“read-only”。
配置用户帐户
用户登录到 SDX 设备以执行设备管理任务。要允许用户访问设备,您必须为该用户在 SDX 设备上创建用户帐户。用户在设备上进行本地身份验证。
重要提示: 密码适用于 SDX 设备、管理服务和 Citrix Hypervisor。请勿直接在 Citrix Hypervisor 上更改密码。
配置用户帐户
-
在 “配置” 选项卡上,在 “系统” 下,展开 “管理”,然后单击 “用户”。 “用户” 窗格显示现有用户帐户及其权限的列表。
-
在 “用户” 窗格中,执行以下操作之一:
- 要创建用户帐户,请单击 “添加”。
- 要修改用户帐户,请选择用户,然后单击 “修改”。
-
在 “创建系统用户” 或 “修改系统用户” 对话框中,设置以下参数:
- 名称*—帐户的用户名。名称中允许使用以下字符:字母 a 到 z 和 A 到 Z、数字 0 到 9、句点 (.)、空格和下划线 (_)。最大长度:128。您无法更改名称。
- 密码*—用于登录设备的密码。最大长度:128
- 确认密码*—密码。
- 权限*—用户在设备上的权限。可能的值:
- admin—用户可以执行与管理服务相关的所有管理任务。
- read-only—用户只能监视系统并更改帐户密码。 默认值:admin。
- 启用外部身份验证—为此用户启用外部身份验证。管理服务在数据库用户身份验证之前尝试外部身份验证。如果此参数被禁用,则用户不会通过外部身份验证服务器进行身份验证。
注意: 如果远程身份验证服务器不可访问,用户可能会失去对设备的访问权限。在这种情况下,身份验证将回退到默认管理员用户 (
nsroot)。 - 配置会话超时—使您能够配置用户可以保持活动状态的时间段。指定以下详细信息:
- 会话超时—用户会话可以保持活动状态的时间段。
- 会话超时单位—超时单位,以分钟或小时为单位。
- 组—将组分配给用户。
*必需参数
-
单击 “创建” 或 “确定”,然后单击 “关闭”。您创建的用户将列在 “用户” 窗格中。
删除用户帐户
- 在 “配置” 选项卡上,在导航窗格中,展开 “系统”,展开 “管理”,然后单击 “用户”。
- 在 “用户” 窗格中,选择用户帐户,然后单击 “删除”。
- 在 “确认” 消息框中,单击 “确定”。
设置身份验证类型
通过管理服务界面,您可以指定本地或外部身份验证。默认情况下,本地用户禁用外部身份验证。可以通过在添加本地用户或修改用户设置时选中 “启用外部身份验证” 选项来启用它。
重要提示: 仅在设置 RADIUS、LDAP 或 TACACS 身份验证服务器后才支持外部身份验证。
设置身份验证类型
- 在 “配置” 选项卡上,在 “系统” 下,单击 “身份验证”。
- 在详细信息窗格中,单击 “身份验证配置”。
- 设置以下参数:
- 服务器类型—为用户身份验证配置的身份验证服务器类型。可能的值:LDAP、RADIUS、TACACS 和 Local。
-
服务器名称—在管理服务中配置的身份验证服务器的名称。菜单列出了为所选身份验证类型配置的所有服务器。
- 启用回退本地身份验证—或者,您可以在外部身份验证失败时选择使用本地身份验证对用户进行身份验证。此选项默认启用。
- 单击 “确定”。
启用或禁用基本身份验证
您可以使用基本身份验证对管理服务 NITRO 接口进行身份验证。从版本 13.1 build 59.x 开始,“允许基本身份验证” 选项默认禁用。
执行以下操作以使用管理服务界面启用或禁用基本身份验证。
- 在 “配置” 选项卡上,单击 “系统”。
- 在 “系统设置” 组中,单击 “更改系统设置”。
- 在 “配置系统设置” 对话框中,选择 “允许基本身份验证” 以启用,或清除 “允许基本身份验证” 以禁用。
- 单击 “确定”。