ADC

Konfigurieren des regelmäßigen Endpoint Analysis-Scans als Faktor bei der nFactor-Authentifizierung

Auf NetScaler Gateway kann Endpoint Analysis (EPA) so konfiguriert werden, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird auf dem Benutzergerät heruntergeladen und installiert, wenn sich Benutzer zum ersten Mal bei NetScaler Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert, kann sich der Benutzer nicht mit dem NetScaler Gateway-Plug-In anmelden.

Informationen zum Verständnis von EPA in nFactor-Konzepten finden Sie unter Konzepte und Entitäten, die für EPA in nFactor Authentication Through NetScaler verwendet werden.

In der klassischen Richtlinie wurde periodisches EPA als Teil der Sitzungsrichtlinie unter vpn session action konfiguriert. Unter Advanced Policy Infrastructurekann es mit nFactor verknüpft werden.

In diesem Thema wird der EPA-Scan als kontinuierliche Überprüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.

Darstellung des EPA-Scans als kontinuierliche Überprüfung der nFactor- oder Multifaktor-Authentifizierung

Der Benutzer versucht, eine Verbindung zur virtuellen IP-Adresse von Citrix Gateway herzustellen. Eine einfache Anmeldeseite mit Benutzername und Kennwortfeld wird dem Benutzer zur Eingabe der Anmeldeinformationen angezeigt. Mit diesen Anmeldeinformationen wird die LDAP- oder AD-basierte Authentifizierung im Backend durchgeführt. Bei Erfolg wird dem Benutzer ein Popup angezeigt, in dem er den EPA-Scan autorisieren kann. Nach der Autorisierung durch den Benutzer wird ein EPA-Scan durchgeführt. Basierend auf dem Erfolg oder Misserfolg der Client-Einstellungen des Benutzers erhält der Benutzer Zugriff.

Wenn der Scan erfolgreich ist, wird regelmäßig ein EPA-Scan durchgeführt, um sicherzustellen, dass die konfigurierten Sicherheitsanforderungen weiterhin erfüllt sind. Wenn der EPA-Scan bei einer solchen Überprüfung fehlschlägt, wird die Sitzung beendet.

Voraussetzungen

Es wird davon ausgegangen, dass die folgenden Konfigurationen vorhanden sind:

  • Konfigurationen für virtuelle VPN-Server/Gateway und virtuelle Authentifizierungsserver
  • LDAP-Serverkonfigurationen und zugehörige Richtlinien

In diesem Thema werden die erforderlichen Richtlinien und Richtlinienlabel-Konfigurationen angezeigt und einem Authentifizierungsprofil zugeordnet.

Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienlabel. Dies ist der Ansatz für die Konfiguration, jedoch von rechts nach links.

Abbildung der in diesem Beispiel verwendeten Richtlinien und des Richtlinienlabels

Führen Sie Folgendes mit der CLI aus

  1. Erstellen Sie eine Aktion, um einen EPA-Scan durchzuführen, und verknüpfen Sie ihn mit einer EPA-Scanrichtlinie.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    <!--NeedCopy-->
    

    Der obige Ausdruck scannt, ob der Prozess ‘Firefox’ läuft. Das EPA-Plug-in prüft alle 2 Minuten die Existenz des Prozesses, was durch die Ziffer ‘2’ im Scan-Ausdruck gekennzeichnet ist.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  2. Konfigurieren Sie das Policy-Label post-ldap-epa-scan, das die Richtlinie für den EPA-Scan hostet.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Hinweis: LSCHEMA_INT befindet sich in einem erstellten Schema ohne Schema, was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.

  3. Verknüpfen Sie die in Schritt 1 konfigurierte Policy Label mit der in Schritt 2 konfigurierten Richtlinienbezeichnung.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    In diesem Befehl gibt END das Ende des Authentifizierungsmechanismus an.

  4. Konfigurieren Sie die ldap-Auth-Richtlinie und verknüpfen Sie sie mit einer LDAP-Richtlinie, die für die Authentifizierung bei einem bestimmten LDAP-Server konfiguriert ist.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    wobei ldap_server1 die LDAP-Richtlinie und ldap-auth der Richtlinienname ist.

  5. Ordnen Sie die ldap-Auth-Richtlinie dem virtuellen Server für Authentifizierung, Autorisierung und Überwachung zu, wobei der nächste Schritt auf das Richtlinienlabel nach ldap-epa-Scan verweist, um den EPA-Scan durchzuführen.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Konfiguration mit dem nFactor Visualizer in der GUI

Die vorherige Konfiguration kann auch mit nFactor Visualizer durchgeführt werden, einer Funktion, die in Firmware 13.0 und höher verfügbar ist.

Darstellung von nFactor-Flow im Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Application Traffic > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.

  2. Klicken Sie auf +, um den nFactor-Flow hinzuzufügen.

    Klicken Sie, um einen Flow hinzuzufügen

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Fügen Sie einen Namen für den nFactor-Flow hinzu

  4. Klicken Sie auf Schema hinzufügen, um ein Schema für den ersten Faktor hinzuzufügen, und klicken Sie dann auf Hinzufügen.

    Klicken Sie hier, um ein Schema hinzuzufügen

  5. Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

    Hinweis:

    Um eine LDAP-Richtlinie zu erstellen, klicken Sie auf Hinzufügen und wählen Sie im Feld Aktion die Option LDAP aus. Weitere Informationen zum Hinzufügen eines LDAP-Servers finden Sie unter https://support.citrix.com/article/CTX123782.

  6. Klicken Sie auf +, um den EPA-Faktor hinzuzufügen.

    Klicken Sie, um den EPA-Faktor hinzuzufügen

  7. Lassen Sie den Abschnitt Schema hinzufügen leer, wenn für diesen Faktor standardmäßig kein Schema angewendet werden soll. Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und Aktion nach der Authentifizierung hinzuzufügen.

    EPA-Maßnahme:

    EPA-Aktion erstellen

    EPA-Richtlinie:

    EPA-Richtlinie erstellen

    Klicken Sie auf Erstellen.

  8. Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    Binden Sie den Flow an den virtuellen Authentifizierungsserver

    ​​​​Hinweis: Wenn die periodische EPA als mehrere Faktoren konfiguriert ist, wird der neueste Faktor mit der periodischen EPA-Konfiguration berücksichtigt.

    Beispiel:

    Beispiel für die Konfiguration

    In diesem Beispiel ist EPA der erste Faktor, bei dem der Scan nach dem Prozess „Firefox“ sucht. Wenn der EPA-Scan erfolgreich ist, führt er zur LDAP-Authentifizierung, gefolgt vom nächsten EPA-Scan, der nach dem Prozess „Chrome“ sucht. Wenn mehrere regelmäßige Scans existieren, die als verschiedene Faktoren konfiguriert sind, hat der letzte Scan Vorrang. In diesem Fall scannt das EPA-Plug-in alle 3 Minuten nach erfolgreicher Anmeldung nach dem Prozess “Chrome”.

Konfigurieren des regelmäßigen Endpoint Analysis-Scans als Faktor bei der nFactor-Authentifizierung