Konfigurieren der Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema in Citrix ADC nFactor-Authentifizierung
Im folgenden Abschnitt wird der Anwendungsfall der Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema beschrieben.
Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema
Angenommen, ein Anwendungsfall, in dem Administratoren die Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema konfigurieren. Client übermittelt einen Benutzernamen und zwei Kennwörter. Der erste Satz von Benutzernamen und Kennwort wird durch eine LDAP-Richtlinie als erster Faktor ausgewertet, und das zweite Kennwort wird durch eine RADIUS-Richtlinie als zweiter Faktor ausgewertet.
-
Sobald Sie auf den virtuellen Server für die Datenverkehrsverwaltung zugreifen, werden Sie zur Authentifizierung auf die Anmeldeseite umgeleitet.
-
Der Client übermittelt einen Benutzernamen und zwei Kennwörter, zum Beispiel Benutzer1, Pass1 und Pass2.
-
Der erste Faktor wird anhand einer LDAP-Aktion für user1 und pass1 ausgewertet. Die Auswertung ist erfolgreich und wird an den nächsten Faktor, die Richtlinie “label1” übergeben; in diesem Fall.
-
Die Richtlinienbeschriftung gibt an, dass der zweite Faktor Passthrough mit einer RADIUS-Richtlinie ist. Ein Passthrough-Schema bedeutet, dass die Citrix ADC Appliance nicht für weitere Eingaben zum Client zurückkehrt. Citrix ADC verwendet einfach die Informationen, die es bereits hat. In diesem Fall sind es user1 und pass2. Der zweite Faktor wird dann implizit ausgewertet.
-
Der Authentifizierungsserver gibt Cookies und eine Antwort zurück, die den Browser des Clients zurück an den virtuellen Server der Datenverkehrsverwaltung weiterleitet, wo der angeforderte Inhalt verfügbar ist. Wenn die Anmeldung fehlschlägt, wird dem Clientbrowser die ursprüngliche Anmeldeseite angezeigt, damit der Client es erneut versuchen kann.
Führen Sie Folgendes mit der CLI aus
-
Konfigurieren Sie den virtuellen Server für die Datenverkehrsverwaltung und -authentifizierung.
add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ONadd authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
-
Konfigurieren Sie einen zweiten Faktor.
add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2add authentication loginSchemaPolicy login1 -rule true -action login1add authentication loginSchema login2 -authenticationSchema noschemaadd authentication loginSchemaPolicy login2 -rule true -action login2add authentication policylabel label1 -loginSchema login2
-
Konfigurieren Sie den LDAP- und RADIUS-Faktor.
add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CNadd authentication Policy ldap -rule true -action ldapAct1add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8add authentication Policy radius -rule true -action radius
-
Binden Sie die Richtlinien.
bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression ENDbind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression nextbind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end
Hinweis:
Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.
Konfigurieren mit dem nFactor Visualizer
-
Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows, und klicken Sie auf Hinzufügen .
-
Klicken Sie auf +, um den nFactor Flow hinzuzufügen.
-
Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows. Klicken Sie auf Erstellen.
-
Um das zwei Kennwortschema für den ersten Faktor hinzuzufügen, klicken Sie auf Schema hinzufügen.
-
Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Sie können eine Authentifizierungsrichtlinie erstellen oder eine vorhandene Authentifizierungsrichtlinie aus der Liste auswählen.
-
Wählen Sie auf der Registerkarte Aktion die Option LDAP-Server aus.
Hinweis:
Wenn kein LDAP-Server hinzugefügt wird, finden Sie weitere Informationen zum Hinzufügen eines LDAP-Servers unter LDAP-Authentifizierungsrichtlinien
-
Klicken Sie auf grün +, um den RADIUS-Faktor hinzuzufügen, und klicken Sie auf Erstellen .
-
Fügen Sie kein Schema für diesen Faktor hinzu, da standardmäßig kein Schema verwendet wird. Um die RADIUS-Authentifizierungsrichtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen.
Hinweis:
Wenn der RADIUS-Server nicht hinzugefügt wird, finden Sie weitere Informationen zum Hinzufügen eines RADIUS-Servers unter So konfigurieren Sie die RADIUS-Authentifizierung
-
Klicken Sie auf Fertig, um die Konfiguration zu speichern.
-
Um den erstellten nFactor-Flow an einen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen .
