目的

NetScaler Gateway支持两种限制登录访问的方法:

  • LDAP搜索过滤器 – 只有与LDAP搜索过滤器匹配的用户(例如,Active Directory组成员身份)才能登录。
  • 允许在NetScaler Gateway会话策略/配置文件中登录的组 – 此方法支持多个Active Directory组。

本文介绍LDAP搜索筛选器方法。

要求

LDAP搜索过滤器方法不需要任何其他NetScaler Gateway许可。注意:对于“允许登录的组”方法,NetScaler Gateway虚拟服务器必须处于SmartAccess模式(仅取消选中ICA),因此必须获得NetScaler Gateway Universal Licenses许可。NetScaler 11.1及更高版本的标准版及更高版本具有内置的NetScaler Gateway Universal Licenses。请参阅CTX125797 – 如何使用允许登录NetScaler功能的组限制Active Directory组用户。本文假定已经为LDAP身份验证配置了NetScaler Gateway Virtual Server。请参阅CTX108876 –  如何在NetScaler设备  上配置LDAP身份验证以在NetScaler设备上配置LDAP身份验证。

背景

当用户在NetScaler Gateway虚拟服务器的登录页面上键入凭据并按Enter键时,NetScaler首先在Active Directory(LDAP)中搜索输入的用户名。如果LDAP策略/服务器中未定义LDAP搜索过滤器,则NetScaler将搜索所有Active Directory用户名以查找匹配项。找到匹配后,NetScaler会提取用户的完整专有名称(DN),并使用用户的DN和密码对Active Directory进行身份验证。如果定义了LDAP搜索过滤器,则仅搜索与LDAP搜索过滤器匹配的用户名以查找用户名匹配。例如,如果将LDAP搜索过滤器构造为仅搜索Active Directory组的成员,则用户输入的用户名必须与该组的成员匹配。


说明

要为一个Active Directory组的成员配置LDAP搜索筛选器,请执行以下过程:

  1. 确定具有访问权限的Active Directory组,并获取其完整的专有名称。获取组的完整专有名称的简单方法是通过  Active Directory用户和计算机
  2. 在“ Active Directory用户和计算机”中,打开“  视图”  菜单,然后启用“  高级功能”

3.将树浏览到组对象,右键单击它,然后单击“  属性”
注意:您不能使用查找。相反,您必须在树中导航才能找到该对象。

4.在右侧,切换到“  属性编辑器”  选项卡。只有在启用了“ 高级功能”且未使用“ 查找”功能时,此选项卡才可见。

5.向下滚动到  distinguishedName,双击它,然后将其复制到剪贴板。

6.在NetScaler配置GUI的“ 配置”选项卡上,在左侧的菜单树中,转至NetScaler Gateway > 虚拟服务器

7.在右窗格中,右键单击现有NetScaler Gateway虚拟服务器,然后单击“ 编辑”

 

8.向下滚动到“ 基本身份验证”部分,然后单击“ #LDAP策略”所在的位置

9.右键单击现有LDAP策略,然后单击“ 编辑服务器”

10.向下滚动到“ 其他设置”部分。

11.在“  搜索过滤器”  字段中,键入  memberOf =  ,然后在等号后面粘贴Active Directory组的专有名称。不要担心空间。

搜索过滤器的示例如下:
memberOf = CN = Citrix Remote,OU = Citrix,DC = corp,DC = local

12.嵌套组 – 默认情况下,NetScaler仅搜索作为Active Directory组直接成员的用户名。如果要搜索嵌套组,请将Microsoft OID:1.2.840.113556.1.4.1941:添加到LDAP搜索筛选器。在memberOf和=之间插入OID,如下所示:
memberOf:1.2.840.113556.1.4.1941:= CN = Citrix Remote,OU = Citrix,DC = corp,DC = local

13.单击“ 确定”完成LDAP服务器的编辑。

官方KB:https://support.citrix.com/article/CTX111079