Konfigurieren der Endpunktanalyse nach der Authentifizierung als Faktor in der Citrix ADC nFactor-Authentifizierung
In Citrix Gateway kann Endpoint Analysis (EPA) konfiguriert werden, um zu überprüfen, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt und dem Benutzer entsprechend internen Ressourcen Zugriff gewährt. Das Endpoint Analysis-Plug-In wird heruntergeladen und auf dem Benutzergerät installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert oder den Scan überspringt, kann sich der Benutzer nicht mit dem Citrix Gateway -Plug-In anmelden. Optional können Benutzer in eine Quarantänegruppe versetzt werden, in der der Benutzer eingeschränkte Zugriff auf interne Netzwerkressourcen erhält.
Früher wurde Post-EPA als Teil der Sitzungsrichtlinie konfiguriert. Jetzt kann es mit nFactor verknüpft werden, was mehr Flexibilität bietet, wenn es ausgeführt werden kann.
In diesem Thema wird der EPA-Scan als abschließende Prüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.
Der Benutzer versucht, eine Verbindung mit der virtuellen IP-Adresse von Citrix Gateway herzustellen. Eine einfache Anmeldeseite mit Benutzername und Kennwort Feld wird dem Benutzer gerendert, um Anmeldedaten bereitzustellen. Mit diesen Anmeldeinformationen wird die LDAP- oder AD-basierte Authentifizierung am Back-End durchgeführt. Wenn erfolgreich, wird dem Benutzer eine Popup-Meldung angezeigt, um den EPA-Scan zu autorisieren. Sobald der Benutzer autorisiert hat, wird der EPA-Scan durchgeführt und basierend auf dem Erfolg oder Fehler der Benutzerclient-Einstellungen erhält der Benutzer Zugriff.
Voraussetzungen
Es wird davon ausgegangen, dass folgende Konfiguration vorhanden ist.
- Konfigurationen virtueller VPN-Server/Gateway- und Authentifizierungsserver
- LDAP-Serverkonfigurationen und zugehörige Richtlinien
Hinweis: Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.
Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienbezeichnungen. Dies ist der Ansatz, der für die Konfiguration verwendet wird, aber von rechts nach links.
Führen Sie Folgendes mit der CLI aus
-
Erstellen Sie eine Aktion zum Ausführen des EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")" <!--NeedCopy-->Der obige Ausdruck wird überprüft, ob macOS Benutzer eine Browserversion kleiner als 10.0.3 haben oder wenn Windows 7-Benutzer Service Pack 1 installiert haben.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy--> -
Konfigurieren Sie die Richtlinienbezeichnung nach ldap-epa-Scan, die die Richtlinie für den EPA-Scan hostet.
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->Hinweis: LSCHEMA_INT ist ein eingebautes Schema ohne Schema (Noschema), was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.
-
Ordnen Sie die in Schritt 1 konfigurierte Richtlinie mit der in Schritt 2 konfigurierten Richtlinienbezeichnung zu.
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100 -gotoPriorityExpression END <!--NeedCopy--> -
Konfigurieren Sie die ldap-auth-Richtlinie für eine LDAP-Richtlinie, die für die Authentifizierung mit einem bestimmten LDAP-Server konfiguriert ist, und verknüpfen Sie sie mit einer LDAP-Richtlinie.
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->Dabei steht ldap_server1 für LDAP-Richtlinie und ldap-auth für den Richtliniennamen
-
Ordnen Sie ldap-auth-Richtlinie dem Authentifizierungs-, Autorisierungs- und Überwachungsvirtuellem Server zu, wobei der nächste Schritt auf die Richtlinienbezeichnung nach ldap-epa-scan verweist, um EPA-Scan durchzuführen.
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->Hinweis: Der EPA-Scan vor der Authentifizierung wird immer als erster Schritt in der nFactor-Authentifizierung durchgeführt. Der EPA-Scan nach der Authentifizierung wird immer als letzter Schritt in der nFactor-Authentifizierung durchgeführt. EPA-Scans können nicht zwischen einer nFactor-Authentifizierung durchgeführt werden.
Konfigurieren mit dem nFactor Visualizer
Die obige Konfiguration kann auch mit nFactor Visualizer durchgeführt werden, der eine Funktion ist, die auf Firmware 13.0 und höher verfügbar ist.
-
Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen .
-
Klicken Sie auf +, um den nFactor Flow hinzuzufügen.
-
Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.
-
Klicken Sie auf Schema hinzufügen, um ein Schema für den ersten Faktor hinzuzufügen, und klicken Sie dann auf Hinzufügen.
-
Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen.
Hinweis: Sie können eine LDAP-Richtlinie erstellen. Klicken Sie auf Hinzufügen, und wählen Sie im Feld Aktion die Option LDAP aus. Weitere Informationen zum Hinzufügen eines LDAP-Servers finden Sie unter https://support.citrix.com/article/CTX123782)
-
Klicken Sie auf +, um den EPA-Faktor hinzuzufügen.
-
Lassen Sie den Abschnitt Schema hinzufügen leer, damit das Standardschema für diesen Faktor nicht angewendet wird. Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und -Aktion nach der Auth hinzuzufügen.
EPA-Aktion:
EPA-Richtlinie:
Klicken Sie auf Erstellen.
-
Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.
