Para configurar un servicio de autenticación ldap, seguiremos los siguientes pasos:
- Logar-nos en Netscaler a través de la IP de gestión (NSIP)
- Situarnos “Autentication” > “Dashboard”
- Seleccionar “Add”
- Seleccionamos el Tipo de Autenticación (LDAP,RADIUS, TACACS, SAML, etc)
- Indicamos un nombre para el Servicio
- Indicar la IP/NombreDNS del servidor de autenticación.
- Indicar seguridad (PLAINTEXT, SSL, TSL), puerto, tipo de servidor, timeout.
- Se establecen los datos de conexión:
- Base DN (lugar LDAP dónde están los usuarios)
- Ejmpl: dc=clevertask, dc=com
- Administrator Bind DN
- Ejmplo: user@domain
- Password de Administador
- Base DN (lugar LDAP dónde están los usuarios)
- En este punto, podemos ejecutar un “TEST CONNECTION” y validar el correcto funcionamiento.
- Finalizamos con “other Settings”. En mi caso, configuramos el Atributo sAMAccountName para la consulta en LDAP.
Con esto, ya tenemos nuestro NetScaler, listo para la validación contra nuestro AD. Para realizar este proceso desde Linea de Comandos:
add authentication ldapAction svc_ldap -serverIP IP_Auth_SRV -serverPort 389 -ldapBase «dc=XXX,dc=XX» -ldapBindDn «Domain\\User» -ldapBindDnPassword Passw0rd -ldapLoginName samaccountname
Esto configura el servidor de Autenticación, pero no permite la autenticación. Para ello, tenemos que generar una regla que permita el proceso. Esto se realiza a través de las directivas (Policy). Para generar la directiva, seguiremos los siguientes pasos:
- Situar-nos en “Netscaler Gateway” > “Policies” > “Autentication” > “LDAP”
- En nuestro caso LDAP dado que estamos configurando una autenticación contra nuestros servidores AD.
- Seleccionamos “Add”
- Establecemos un nombre para la directiva.
- Ejmpl: pl_ldap_auth
- Seleccionamos el Servidor de Autenticación, previamente generado.
- Especificamos la regla/expresión que se evaluará. En este caso, incluiremos: ns_true
Igual que vimos anteriormente, la policita puede ser generada desde la CLI en nuestro Netscaler, para ello ejecutaremos:
add authentication ldapPolicy pl_ldap_auth ns_true svc_ldap
Donde pl_ldap_auth es el nombre de la nueva directiva
ns_true es la expresión que incluimos
svc_ldap es el servidor de autenticación definido previamente
Nota: Recordad, guardar los cambios para que estos queden persistentes en nuestro Netscaler.
Leave a Reply