配置外部身份验证服务器
NetScaler SDX Management Service 可以使用本地用户帐户或使用外部身份验证服务器对用户进行身份验证。设备支持以下身份验证类型:
- 本地-使用密码对管理服务进行身份验证,无需引用外部身份验证服务器。用户数据存储在本地管理服务上。
- RADIUS — 向外部 RADIUS 身份验证服务器进行身份验证。
- LDAP-向外部 LDAP 身份验证服务器进行身份验证。
- TACACS-对外部终端访问控制器访问控制系统 (TACACS) 身份验证服务器进行身份验证。
要配置外部身份验证,请指定身份验证类型并配置身份验证服务器。
添加 RADIUS 服务器
要配置 RADIUS 身份验证,请将身份验证类型指定为 RADIUS,然后配置 RADIUS 身份验证服务器。
管理服务根据 RADIUS 规范支持 RADIUS 质询响应身份验证。可以在 RADIUS 服务器上为 RADIUS 用户配置一次性密码。当用户登录到 SDX 设备时,系统会提示用户指定此一次性密码。
添加 RADIUS 服务器
- 在“配置”选项卡上的“系统”下,展开“身份验证”,然后单击“Radius”。
- 在详细信息窗格中,单击“添加”。
- 在“创建 Radius 服务器”对话框中,键入或选择参数值:
- 名称*-服务器的名称。
- 服务器名称/ IP地址*-完全限定的域名 (FQDN) 或服务器 IP 地址。 注意:DNS 必须能够将指定的 FQDN 解析为 IP 地址,并且只有主 DNS 用于解析 FQDN。要手动设置主 DNS,请参阅“为 FQDN 名称解析添加主 DNS”部分。“
- 端口*—运行 RADIUS 服务器的端口。默认值:1812。
- 超时* — 系统等待来自 RADIUS 服务器的响应的秒数。默认值:3。
- 密钥* - 客户端与服务器之间共享的密钥。此信息是系统与 RADIUS 服务器之间的通信所必需的。
- 启用 NAS IP 地址提取 — 如果启用,将根据 RADIUS 协议将管理服务 IP 地址作为发送到服务器。
nasip - NASID — 如果已配置,则会根据 RADIUS 协议将此字符串作为发送到 RADIUS 服务器。
nasid - 组前缀-用于提取 RADIUS 组的 RADIUS 属性中组名称前面的前缀字符串。
- 组供应商 ID-用于使用 RADIUS 组提取的供应商 ID。
- 组属性类型-RADIUS 组提取的属性类型。
- 组分隔符-用于分隔 RADIUS 组提取的 RADIUS 属性内的组名称的组分隔符字符串。
- IP 地址供应商标识符 — RADIUS 中表示内部网 IP 的属性的供应商 ID。值为 0 表示该属性不是供应商编码的。
- IP 地址属性类型 — RADIUS 响应中远程 IP 地址属性的属性类型。
- 密码供应商标识符 — RADIUS 响应中密码的供应商 ID。用于提取用户密码。
- 密码属性类型-RADIUS 响应中密码属性的属性类型。
- 密码编码 — 如何在从系统传输到 RADIUS 服务器的 RADIUS 数据包中对密码进行编码。可能的值:pap、chap、mschapv1 和 mschapv2。
- 默认身份验证组 - 除提取的组外,身份验证成功时选择的默认组。
- 记帐-启用管理服务以使用 RADIUS 服务器记录审核信息。
- 单击“创建”,然后单击“关闭”。
添加 LDAP 身份验证服务器
要配置 LDAP 身份验证,请将身份验证类型指定为 LDAP,然后配置 LDAP 身份验证服务器。
添加 LDAP 服务器
- 在“配置”选项卡的“系统”下,展开“身份验证”,然后单击“LDAP”。
- 在详细信息窗格中,单击“添加”。
- 在“创建 LDAP 服务器”对话框中,键入或选择参数值:
-
名称*-服务器的名称。
-
服务器名称/ IP地址*—FQDN或服务器IP地址。
注意:DNS 必须能够将指定的 FQDN 解析为 IP 地址,并且只有主 DNS 用于解析 FQDN。要手动设置主 DNS,请参阅“为 FQDN 名称解析添加主 DNS”部分。“ -
端口*—运行 LDAP 服务器的端口。默认值:389。
-
超时*-系统等待来自 LDAP 服务器的响应的秒数。
-
基本 DN-必须启动 LDAP 搜索的基本节点或节点。
-
类型-LDAP 服务器的类型。可能的值:Active Directory (AD) 和 Novell 目录服务 (NDS)。
-
管理绑定 DN-用于绑定到 LDAP 服务器的完整可分辨名称。
-
管理密码-用于绑定到 LDAP 服务器的密码。
-
验证 LDAP 证书-选中此选项可验证从 LDAP 服务器接收的证书。
-
LDAP 主机名-LDAP 服务器的主机名。如果启用了 validateServerCert 参数,则此参数将指定 LDAP 服务器证书上的主机名。主机名不匹配会导致连接失败。
-
服务器登录名属性-系统用于查询外部 LDAP 服务器或 Active Directory 的名称属性。
-
搜索过滤器-要与默认 LDAP 用户搜索字符串组合以构成值的字符串。例如,使用 ldaploginame
samaccount和用户提供的用户名 bob 的 vpnallowed=true 会生成一个 LDAP 搜索字符串:(& (vpnallowed=true) (samaccount=bob)。 -
组属性-从 LDAP 服务器中提取组的属性名称。
-
子属性名称-用于从 LDAP 服务器中提取组的子属性名称。
-
安全类型-设备与身份验证服务器之间通信的加密类型。可能的值:
PLAINTEXT:不需要加密。
TLS:使用 TLS 协议进行通信。
SSL:使用 SSL 协议进行通信
-
默认身份验证组 - 除提取的组外,身份验证成功时选择的默认组。
-
引用-启用对从 LDAP 服务器接收的 LDAP 引用的关注。
-
最大的 LDAP 引用次数-可跟随的最大 LDAP 引用数。
-
启用更改密码-允许用户在密码过期时修改密码。仅当配置的安全类型为 TLS 或 SSL 时,才能更改密码。
-
启用嵌套组提取-启用嵌套组提取功能。
-
最大嵌套级别-允许组提取的级别数。
-
组名标识符-唯一标识 LDAP 服务器中组的名称。
-
组搜索属性-LDAP 组搜索属性。用于确定组所属的组。
-
组搜索子属性-LDAP 组搜索子属性。用于确定组所属的组。
-
组搜索过滤器-要与默认 LDAP 组搜索字符串组合以构成搜索值的字符串。
-
- 单击 Create(创建),然后单击 Close(关闭)。
LDAP 用户的 SSH 公钥身份验证支持
SDX 设备现在可以通过用于登录的 SSH 公钥身份验证对 LDAP 用户进行身份验证。公钥列表存储在 LDAP 服务器中的用户对象上。在身份验证过程中,SSH 会从 LDAP 服务器中提取 SSH 公钥。如果任何检索到的公钥支持 SSH,则登录成功。
提取的公钥的相同属性名称必须存在于 LDAP 服务器和 NetScaler SDX 设备中。
重要提示
对于基于密钥的身份验证,您必须通过在以下方面设置
/etc/sshd_config文件中的Authorizedkeysfile的值来指定公钥的位置:
AuthorizedKeysFile .ssh/authorized_keys
系统用户。通过设置 /etc/sshd_config*` 文件中的 Authorizedkeysfile 的值,可以为任何系统用户指定公钥的位置。
LDAP 用户。检索到的公钥存储在 /var/pubkey/<user_name>/tmp_authorized_keys-<pid> 目录中。 pid 是添加的唯一编号,用于区分来自同一用户的并发 SSH 请求。此位置是在身份验证过程中保存公钥的临时位置。验证完成后,公共密钥将从系统中删除。
要使用用户登录,请在 shell 提示符下运行以下命令:
$ ssh –i <private key> <username>@<IPAddress>
要使用 GUI 配置 LDAP 服务器,请执行以下操作:
- 导航到 系统 > 身份验证 > LDAP。
- 在 LDAP 页面上,单击 **服务器** 选项卡。
- 单击任何可用的 LDAP 服务器。
- 在 配置身份验证 LDAP 服务器 页面上,选择 身份验证。
注意:
清除身份验证复选框以使用“sshPublicKeys”对 LDAP 用户进行身份验证。
为 FQDN 名称解析添加主 DNS
如果使用服务器的 FQDN 而不是 IP 地址来定义 RADIUS 或 LDAP 服务器,请手动设置主 DNS 以解析服务器名称。您可以使用 GUI 或 CLI。
要使用 GUI 设置主 DNS,请转到 系统 > 网络配置 > DNS。
要使用 CLI 设置主 DNS,请执行以下步骤。
- 打开安全外壳 (SSH) 控制台。
- 使用管理员凭据登录 NetScaler SDX 设备。
- 运行
networkconfig命令。 - 选择相应的菜单并更新 DNS IPv4 地址,然后保存更改。
如果再次运行 networkconfig 命令,您将看到更新后的 DNS 地址。
添加 TACACS 服务器
要配置 TACACS 身份验证,请将身份验证类型指定为 TACACS,然后配置 TACACS 身份验证服务器。
添加 TACACS 服务器
- 在 配置 选项卡的 系统下,展开 身份验证,然后单击 TACACS。
- 在详细信息窗格中,单击“添加”。
- 在“创建 TACACS 服务器”对话框中,键入或选择参数值:
- 名称 — TACAS 服务器的名称
- IP 地址 — TACACS 服务器的 IP 地址
- 端口 — TACACS 服务器运行的端口。默认值:49
- 超时—系统等待来自 TACACS 服务器的响应的最大秒数
- TACACS 密钥—客户端和服务器之间共享的密钥。此信息是系统与 TACACS 服务器通信所必需的
- 记帐-使管理服务能够使用 TACACAS 服务器记录审计信息
- 组属性名称-在 TACACS+ 服务器中配置的组属性的名称
- 单击“创建”,然后单击“关闭”。