Konfigurieren des periodischen Endpunktanalyse-Scans als Faktor bei der nFactor-Authentifizierung

In Citrix Gateway kann Endpoint Analysis (EPA) konfiguriert werden, um zu überprüfen, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird heruntergeladen und auf dem Benutzergerät installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert, kann sich der Benutzer nicht mit dem Citrix Gateway-Plug-In anmelden.

Weitere Informationen zu EPA in nFactor Konzepten finden Sie unter Konzepte und Entitäten, die für EPA in nFactor Authentication über NetScaler verwendet werden.

In der klassischen Richtlinie wurde periodisches EPA als Teil der Sitzungsrichtlinie unter vpn session action konfiguriert. Unter Advanced Policy Infrastructurekann es mit nFactor verknüpft werden.

In diesem Thema wird der EPA-Scan als kontinuierliche Überprüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.

Darstellung des EPA-Scans als kontinuierliche Überprüfung der nFactor- oder Multifaktor-Authentifizierung

Der Benutzer versucht, eine Verbindung mit der virtuellen IP-Adresse von Citrix Gateway herzustellen. Eine einfache Anmeldeseite mit Benutzername und Kennwort Feld wird dem Benutzer gerendert, um Anmeldedaten bereitzustellen. Mit diesen Anmeldeinformationen wird die LDAP- oder AD-basierte Authentifizierung am Back-End durchgeführt. Wenn erfolgreich, wird dem Benutzer ein Popup angezeigt, um den EPA-Scan zu autorisieren. Sobald der Benutzer autorisiert hat, wird der EPA-Scan durchgeführt und basierend auf dem Erfolg oder Fehler der Benutzerclient-Einstellungen erhält der Benutzer Zugriff.

Wenn der Scan erfolgreich ist, wird der EPA-Scan regelmäßig durchgeführt, um festzustellen, dass die konfigurierten Sicherheitsanforderungen weiterhin erfüllt sind. Wenn der EPA-Scan während einer solchen Prüfung fehlschlägt, wird die Sitzung beendet.

Voraussetzungen

Es wird davon ausgegangen, dass die folgenden Konfigurationen vorhanden sind:

  • Konfigurationen virtueller VPN-Server/Gateway- und Authentifizierungsserver
  • LDAP-Serverkonfigurationen und zugehörige Richtlinien

Die erforderlichen Richtlinien und Richtlinienbeschriftungen werden angezeigt und einem Authentifizierungsprofil in diesem Thema zugeordnet.

Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienbezeichnungen. Dies ist der Ansatz, der für die Konfiguration verwendet wird, aber von rechts nach links.

Zuordnung von Richtlinien und Richtlinienbezeichnungen, die in diesem Beispiel verwendet werden

Führen Sie Folgendes mit der CLI aus

  1. Erstellen Sie eine Aktion zum Ausführen des EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    

    Der obige Ausdruck scannt, ob der Prozess ‘Firefox’ ausgeführt wird. Das EPA-Plug-In prüft alle 2 Minuten auf die Prozessexistenz, was durch die Ziffer ‘2’ im Scanausdruck gekennzeichnet ist.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. Konfigurieren Sie das Richtlinienlabel nach ldap-epa-Scan, das die Richtlinie für den EPA-Scan hostet.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    Hinweis: LSCHEMA_INT ist im erstellten Schema ohne Schema, was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.

  3. Ordnen Sie die in Schritt 1 konfigurierte Richtlinie mit der in Schritt 2 konfigurierten Richtlinienbezeichnung zu.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    

    In diesem Befehl gibt END das Ende des Authentifizierungsmechanismus an.

  4. Konfigurieren Sie die ldap-auth-Richtlinie einer LDAP-Richtlinie, die für die Authentifizierung mit einem bestimmten LDAP-Server konfiguriert ist, und verknüpfen Sie sie mit einer LDAP-Richtlinie.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    Dabei steht ldap_server1 für die LDAP-Richtlinie und ldap-auth für den Richtliniennamen.

  5. Ordnen Sie die ldap-auth-Richtlinie dem Authentifizierungs-, Autorisierungs- und Überwachungsserver virtuellen Server zu, wobei der nächste Schritt auf die Richtlinienbezeichnung nach ldap-epa-scan verweist, um EPA-Scan durchzuführen.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

Konfiguration mithilfe des nFactor Visualizers in der GUI

Die vorangegangene Konfiguration kann auch mit nFactor Visualizer durchgeführt werden. Dies ist eine Funktion, die auf Firmware 13.0 und höher verfügbar ist.

Darstellung von nFactor-Flow im Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen.

  2. Klicken Sie auf +, um den nFactor Flow hinzuzufügen.

    Klicken Sie hier, um einen Flow hinzuzufügen

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Hinzufügen eines Namens für den nFactor-Flow

  4. Klicken Sie auf Schema hinzufügen, um ein Schema für den ersten Faktor hinzuzufügen, und klicken Sie dann auf Hinzufügen.

    Klicken Sie hier, um Schema hinzuzufügen

  5. Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

    Erstellen einer Authentifizierungsrichtlinie

    Hinweis: Sie können eine LDAP-Richtlinie erstellen. Klicken Sie auf Hinzufügen, und wählen Sie im Feld Aktion die Option LDAP aus. Weitere Informationen zum Hinzufügen eines LDAP-Servers finden Sie unter https://support.citrix.com/article/CTX123782)

  6. Klicken Sie auf +, um den EPA-Faktor hinzuzufügen.

    Klicken Sie hier, um den EPA-Faktor hinzuzufügen.

  7. Lassen Sie den Abschnitt Schema hinzufügen leer, damit das Standardschema für diesen Faktor nicht angewendet wird. Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und -Aktion nach der Authentifizierung hinzuzufügen.

    EPA-Aktion:

    EPA-Aktion erstellen

    EPA-Richtlinie:

    EPA-Richtlinie erstellen

    Klicken Sie auf Erstellen.

  8. Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    Binden des Flows an den virtuellen Authentifizierungsserver

    ​​​​Hinweis: Wenn periodische EPA als mehrere Faktoren konfiguriert ist, wird der neueste Faktor mit periodischer EPA-Konfiguration berücksichtigt.

    Beispiel:

    Beispiel für die Konfiguration

    In diesem Beispiel ist EPA der erste Faktor, bei dem der Scan nach dem Prozess Firefox sucht. Wenn der EPA-Scan erfolgreich ist, führt dies zur LDAP-Authentifizierung, gefolgt von dem nächsten EPA-Scan, der nach dem Prozess Chrome sucht. Wenn mehrere periodische Scans vorhanden sind, die als unterschiedliche Faktoren konfiguriert sind, hat der neueste Scan Vorrang. In diesem Fall scannt das EPA-Plug-In alle 3 Minuten nach erfolgreicher Anmeldung nach dem Prozess Chrome.

Konfigurieren des periodischen Endpunktanalyse-Scans als Faktor bei der nFactor-Authentifizierung