Home / NetScaler / Netscaler 11 – LDAPs (Secure LDAP) Monitoring

Netscaler 11 – LDAPs (Secure LDAP) Monitoring

Det er alltid gunstig å bruke LDAPS (Secure LDAP) i stedet for ren tekst basert autentisering når autentisering av brukere gjennom dine access gateways.

Netscaler 11 gir oss endelig muligheten til å lage secure monitor for LDAPs services. Ldaps monitor brukes til å verifisere lastbalansering av domene kontrollere fungerer riktig. Den vil logge seg  inn som en domenekonto (tjenestekonto, så sørg for at passordet aldri utløper og sikre at kontoen er minst medlem av Domain User group), og utfører en LDAP-spørring, og ser etter en positiv respons. Siden denne typen monitor er et Perl-skript, bruker den NSIP som kilde IP.

Netscaler er også brukt som et SSL offloading enhet, derfor vil vi velge SSL_TCP som en protokoll for våre LDAPS lastbalansering vserver (selvfølgelig dette krever et gyldig sertifikat på backend domenekontrollere).

Så hvordan lager vi LDAPS monitor?

1. Logg deg inn på Netscaleren og navigere til: Traffic Management – Load Balancing – Monitors og Klikk Create a monitor:
Gi den et navn og bruk Type: LDAP

monitor_create-300x172

 

 

 

 

 

Scroll ned litt og kryss av i Secure som vist nedenfor

 

secure_ldap

 

 

 

 

 

 

 

Klikk på Special Parameters valget og:

  • use the Script Name drop-down list and select the nsldap.pl script
  • In the Base DN field, enter your domain name in LDAP format (e.g. dc=company,dc=com)
  • In the Bind DN field, enter the User Principal Name of the service account (ex. serviceaccountname@domain.com)
  • Fanally, In the Password field, enter the password for the service account and click Create

ldaps_special_param

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Merk! I Filter field du kan legge in: cn=Builtin, og Bind DN kan se ut slik: cn=Ldap-SA,cn=Service-Accounts,dc=envokeit,dc=com

Nå er det på tide å lage Load balancing server group og Load balancing virtual server.
Start med å definere domenekontroller serverne du ønsker å laste balansere (i mitt tilfelle har jeg bare en). Du kan selvsagt hoppe over dette trinnet og bare legge inn IP-adresser av domenekontrollere ved opprettelse av service group…

dc_server_ip

 

 

 

 

 

Utvid Traffic Management – Load Balancing – Service

Lag en Load Balancing Service Group, gi den ett navn og bruk  SSL_TCP som Protocol.ldap_lbvs_ssl

 

 

 

 

 

 

Bind dine allerede definerte DC servers eller legg inn IP adresse.

dc_binding

 

 

 

 

 

 

 

 

 

 

 

Bind LDAPs monitor du har laget

ldaps_monitor_binding

 

 

 

 

 

 

 

 

Velg Bind – OK og load balancing service group vil komme opp…

Til slutt lag en Load balancing virtual server og bruk protocol SSL_TCP
Merk! Tildel en intern IP hvis du ikke planlegger å skjule LBvserver bak en Content switch vserver.
I dette tilfellet som du ser nedenfor bruker jeg en non direct adressable vServer fordi jeg skal skjule dette bak et Content Switch med SSL_TCP som protokoll.

dc_lbvs_ssl

 

 

 

 

 

 

 

 

 

 

 

 

Nå binder du ditt sertifikat til Load balancing virtual server, og du er ferdig.

Ikke glem å ha sertifikatene på domenekontrollere i tillegg, ellers viser tjenesten en DOWN status

 

 

About Luciano

Senior Infrastructure Engineer med spesialitet på Citrix produkter

Check Also

XenMobile 10 – MAM Netscaler SSL Offload

Hvordan SSL offload XenMobile MAM trafikk? Benytt denne guiden: I første omgang må load balancing FQDN …

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *