配置身份验证和授权设置
使用 NetScaler SDX Management Service 进行身份验证可以是本地的,也可以是外部的。使用外部身份验证时,管理服务会根据来自外部服务器的响应授予用户访问权限。管理服务支持以下外部身份验证协议:
- 远程身份验证拨入用户服务 (RADIUS)
- 终端门禁控制器访问控制系统 (TACACS)
- 轻型目录访问协议 (LDAP)
管理服务还支持来自 SSH 的身份验证请求。SSH 身份验证仅支持键盘交互式身份验证请求。SSH 用户的授权仅限于管理员权限。具有只读权限的用户无法通过 SSH 登录。
要配置身份验证,请指定身份验证类型,然后配置身份验证服务器。
通过管理服务进行的授权是本地的。管理服务支持两个级别的授权。允许具有管理员权限的用户对管理服务执行任何操作。具有只读权限的用户只能执行读取操作。SSH 用户的授权仅限于管理员权限。具有只读权限的用户无法通过 SSH 登录。
组提取支持对 RADIUS 和 LDAP 的授权。您可以在管理服务上配置 RADIUS 或 LDAP 服务器期间设置组提取属性。提取的组名与管理服务上的组名相匹配,以确定授予用户的权限。一个用户可以属于多个组。在这种情况下,如果用户所属的任何组具有管理员权限,则该用户具有管理员权限。可以在配置期间设置“默认身份验证”组属性。将此组与提取的组一起考虑进行授权。
在 TACACS 授权中,TACACS 服务器管理员必须允许特殊命令,即具有管理员权限的用户的 admin 命令,对具有只读权限的用户拒绝此命令。当用户登录到 SDX 设备时,管理服务会检查用户是否有权运行此命令。如果用户具有权限,则会为该用户分配管理员权限,否则将为该用户分配只读权限。
添加用户组
组是需要访问公共信息或执行类似任务的逻辑用户组。您可以将用户组织到由一组常见操作定义的组中。通过向组而不是单个用户提供特定权限,您可以在创建用户时节省时间。
如果使用外部身份验证服务器进行身份验证,则可以将 SDX 中的组配置为与身份验证服务器上配置的组匹配。如果用户所属的组的名称与身份验证服务器上的组相匹配,则登录并通过身份验证,则该用户将继承该组的设置。
添加用户组
-
导航到 “ 配置” > “系统” > “用户管理” > “群组”,然后单击 “ 添加”。
- 在 “ 创建系统组 ” 页面中,更新以下参数:
- 组名:输入群组的名称。允许的字符包括字母数字、下划线 (_)、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等号 (=) 和连字符 (-)。最大长度:64。
- 群组描述:输入群组的简要描述。
- 系统访问权限:选择该选项以授予对整个 SDX 设备及其上运行的实例的访问权限。或者,要获得实例级访问权限,请在 “ 所有实例” 下选择实例。
-
权限:从列表中选择群组权限。管理员拥有读写权限。可能的值如下:
- 读写:该组可以执行与管理服务相关的所有管理任务。默认情况下,群组权限设置为读写。
- 读取:该组只能监视系统。
-
配置用户会话超时:选择该选项以配置用户保持活动状态的时间段。
启用后,您可以指定以下参数:
- 会话超时:输入用户会话可以保持活动状态的时间段。默认值:15。
- 会话超时单位:从列表中选择超时单位,以分钟或小时为单位。默认值:分钟。
- 用户会话限制:输入每个用户允许的最大会话数。
注意:默认情况下,管理员和只读组的
成员分配 40 个用户会话。默认情况下,会为其他群组的成员分配 20 个用户会话。
- 用户:列出属于该组的用户。通过从 “可 用 ” 列表中进行选择,然后移至 “ 已配置 ” 列表,可以将用户添加到组中。
- 单击创建和关闭。
配置用户帐户
用户登录到 SDX 设备以执行设备管理任务。要允许用户访问设备,必须在 SDX 设备上为该用户创建一个用户帐户。用户在设备上进行本地身份验证。
重要: 密码适用于 SDX 设备、管理服务和 Citrix Hypervisor。请勿直接在 Citrix Hypervisor 上更改密码。
配置用户帐户
-
在“配置”选项卡上的“系统”下,展开“管理”,然后单击“用户”。“用户”窗格显示现有用户帐户及其权限的列表。
-
在“用户”窗格中,执行以下操作之一:
- 要创建用户帐户,请单击“添加”。
- 要修改用户帐户,请选择该用户,然后单击 修改。
-
在“创建系统用户”或“修改系统用户”对话框中,设置以下参数:
- 名称*:账户的用户名。名称中允许使用以下字符:字母 a 到 z 和 A 到 Z、数字 0 到 9、句点 (.)、空格和下划线 (_)。最大长度:128。此名称无法更改。
- 密码*:登录设备的密码。最大长度:128
- 确认密码*:密码。
-
权限*:用户在设备上的权限。可能的值:
- 管理员:用户可以执行与管理服务相关的所有管理任务。
- 只读:用户只能监视系统和更改帐户的密码。 默认值:管理员。
-
启用外部身份验证:为此用户启用外部身份验证。管理服务在进行数据库用户身份验证之前尝试进行外部身份验证。如果禁用此参数,则不会使用外部身份验证服务器对用户进行身份验证。
注意: 如果无法访问远程身份验证服务器,则用户可能会失去对设备的访问权限。在这种情况下,身份验证将回退到默认的 admin user (
nsroot)。 -
配置会话超时:允许您配置用户可以保持活动状态的时间段。指定以下详细信息:
- 会话超时:用户会话可以保持活动状态的时间段。
- 会话超时单位:超时单位,以分钟或小时为单位。
- 群组:将群组分配给用户。
*必需的参数
-
单击“创建”或“确定”,然后单击“关闭”。您创建的用户将列在“用户”窗格中。
删除用户帐户
- 在 配置 选项卡的导航窗格中,展开 “ 系统”,展开 “ 管理”,然后单击 “ 用户”。
- 在“用户”窗格中,选择用户帐户,然后单击“删除”。
- 在“确认”消息框中,单击“确定”。
设置身份验证类型
在管理服务界面中,您可以指定本地或外部身份验证。默认情况下,对本地用户禁用外部身份验证。在添加本地用户或修改用户的设置时,可以通过选中 启用外部身份验证选项来启用它。
重要: 只有在设置 RADIUS、LDAP 或 TACACS 身份验证服务器后,才支持外部身份验证。
设置身份验证类型
- 在 “ 配置 ” 选项卡上的 “ 系统” 下,单击 “ 身份验证”。
- 在详细信息窗格中,单击 “ 身份验证配置”。
- 设置以下参数:
- 服务器类型:为用户身份验证配置的身份验证服务器的类型。可能的值:LDAP、RADIUS、TACACS 和本地。
-
服务器名称:在管理服务中配置的身份验证服务器的名称。该菜单列出了为所选身份验证类型配置的所有服务器。
- 启用备用本地身份验证:或者,您可以选择在外部身份验证失败时使用本地身份验证对用户进行身份验证。默认情况下启用此选项。
- 单击确定。
启用或禁用基本身份验证
您可以使用基本身份验证向管理服务 NITRO 接口进行身份验证。默认情况下,在 SDX 设备中启用基本身份验证。要使用管理服务界面禁用基本身份验证,请执行以下操作。
禁用基本身份验证
- 在“配置”选项卡上,单击“系统”。
- 在“系统设置”组中,单击“更改系统设置”。
- 在“配置系统设置”对话框中,清除“允许基本身份验证”复选框。
- 单击确定。