Konfigurieren Sie den Endpunktanalyse-Scan vor der Authentifizierung als Faktor in der nFactor-Authentifizierung

In Citrix Gateway kann Endpoint Analysis (EPA) konfiguriert werden, um zu überprüfen, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird heruntergeladen und auf dem Benutzergerät installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis Plug-In nicht auf dem Benutzergerät installiert oder den Scan überspringt, kann sich der Benutzer nicht mit dem Citrix Gateway -Plug-In anmelden. Optional kann der Benutzer in eine Quarantänegruppe versetzt werden, in der der Benutzer eingeschränkten Zugriff auf interne Netzwerkressourcen erhält.

EPA-Scan in nFactor- oder Multifaktor-Authentifizierung

In diesem Thema wird der EPA-Scan als erste Prüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.

Der Benutzer stellt eine Verbindung mit der virtuellen IP-Adresse von Citrix Gateway her. Ein EPA-Scan wird gestartet. Wenn der EPA-Scan erfolgreich ist, wird der Benutzer mit der Anmeldeseite mit Benutzernamen und Kennwortfeldern für die RADIUS- oder OTP-basierte Authentifizierung gerendert. Andernfalls wird der Benutzer mit einer Anmeldeseite gerendert, aber dieses Mal wird der Benutzer mit LDAP- oder AD (Active Directory) -basierten Authentifizierung authentifiziert. Auf der Grundlage des Erfolgs oder Fehlers der vom Benutzer bereitgestellten Anmeldeinformationen wird dem Benutzer Zugriff gewährt.

Implementierung dieser Logik nach EPA:

  1. Wenn der EPA-Scan erfolgreich ist, wird der Benutzer mit einer Standardbenutzergruppe versehen oder markiert.

  2. Wenn der EPA-Scan ein Fehler ist, wird der Benutzer in einer Quarantänegruppe platziert oder markiert.

  3. Die nächste Authentifizierungsmethode (RADIUS oder LDAP) wird basierend auf der Benutzergruppenmitgliedschaft ausgewählt, wie in den ersten beiden Schritten festgelegt.

Voraussetzungen

Stellen Sie sicher, dass die folgende Konfiguration vorhanden ist.

  • Konfigurationen virtueller VPN-Server oder Gateway und Authentifizierung virtueller Server
  • Authentifizierung, Autorisierung und Überwachung von Benutzergruppen (für Standard- und isolierte Benutzergruppen) und zugeordnete Richtlinien
  • LDAP- und RADIUS-Serverkonfigurationen und zugehörige Richtlinien

Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienbezeichnungen. Dies ist der Ansatz, der für die Konfiguration verwendet wird, aber von rechts nach links.

Zuordnung von Richtlinien und Richtlinienbezeichnungen in diesem Beispiel

Hinweis: Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

Darstellung dieses Setups im Visualizer

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie eine LDAP-Authentifizierungsrichtlinie, um die Mitgliedschaft in Quarantined_group zu überprüfen, und ordnen Sie sie einer LDAP-Richtlinie zu, die für die Authentifizierung mit einem bestimmten LDAP-Server konfiguriert ist.

    add authentication Policy ldap-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  2. Konfigurieren Sie die Richtlinie RADIUS-Auth, um die Mitgliedschaft default_group zu überprüfen, und ordnen Sie sie einer RADIUS-Richtlinie zu, die für die Authentifizierung mit einem bestimmten RADIUS-Server konfiguriert ist.

    add authentication Policy radius-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    
    radius_server1 is Radius Policy and radius-auth is policy name
    
  3. Konfigurieren Sie die Richtlinienbezeichnung post-epa-usergroup-check mit einem Anmeldeschema, um Benutzernamen und Kennwort für einzelne Faktoren zu erfassen.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    

    Hinweis: Wenn Sie das in erstellte Schema lschema_single_factor_deviceid nicht verwenden möchten, können Sie das Schema entsprechend Ihrer Anforderung ersetzen.

  4. Ordnen Sie Richtlinien, die in Schritt 1 und 2 konfiguriert sind, mit der in Schritt 3 konfigurierten Richtlinienbezeichnung zu.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    

    Hinweis: END gibt das Ende des Authentifizierungsmechanismus für diesen Abschnitt an.

  5. Erstellen Sie eine Aktion zum Ausführen des EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    

    Die default_group und quarantined_group sind vorkonfigurierte Benutzergruppen. Der Ausdruck in Schritt 5 wird überprüft, ob macOS Benutzer eine Browserversion kleiner als 10.0.3 haben oder wenn Windows 7-Benutzer Service Pack 1 installiert haben.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  6. Verknüpfen Sie eine EPA-Scanrichtlinie der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers mit dem nächsten Schritt, der auf das Richtlinienlabel nach epa-usergroup-check verweist. Dies ist der nächste Schritt in der Authentifizierung durchzuführen.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    

Konfiguration mit dem nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen.

  2. Klicken Sie auf +, um den nFactor Flow hinzuzufügen.

    Klicken Sie hier, um einen Faktor hinzuzufügen

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Fügen Sie einen Namen für den Faktor hinzu

    Hinweis: Für den ersten Faktor ist kein Schema erforderlich.

    Kein Schema für den ersten Faktor erforderlich

  4. Klicken Sie auf Richtlinie hinzufügen und dann auf Hinzufügen, um eine Authentifizierungsrichtlinie für die EPA-Prüfung zu erstellen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

  5. Klicken Sie im Feld Aktion auf Hinzufügen, um die EPA-Aktion hinzuzufügen.

    Klicken Sie hier, um eine Aktion hinzuzufügen

    Weitere Informationen zum EPA finden Sie unterKonfigurieren des erweiterten Endpunktanalyse-Scans.

  6. Klicken Sie auf das grüne + Zeichen im EPA_nFactor-Block, um den nächsten Faktor für die Überprüfung der EPA-Benutzergruppen hinzuzufügen.

    Klicken Sie hier, um den nächsten Faktor für die Überprüfung der EPA-Benutzergruppe hinzuzufügen.

  7. Klicken Sie auf Schema hinzufügen, um das Schema für den zweiten Faktor hinzuzufügen. Wählen Sie das Schema lschema_single_factor_deviceid aus.

    Klicken Sie hier, um ein Schema für den zweiten Faktor hinzuzufügen

    Schema für den zweiten Faktor auswählen

  8. Klicken Sie auf Richtlinie hinzufügen, um die Richtlinie für die LDAP-Authentifizierung auszuwählen.

    Klicken Sie hier, um eine Richtlinie für die LDAP-Authentifizierung hinzuzufügen.

    Die Richtlinie für LDAP prüft, ob der Benutzer Teil der isolierten Gruppe ist. Weitere Informationen zum Erstellen von LDAP-Authentifizierung finden Sie unterKonfigurieren der LDAP-Authentifizierung.

    Auswählen der Richtlinie für die LDAP-Authentifizierung

  9. Klicken Sie auf das blaue +-Zeichen im EPA_nFactor-Block, um die zweite Authentifizierung hinzuzufügen.

    Klicken Sie hier, um die zweite Authentifizierung hinzuzufügen

  10. Klicken Sie auf Hinzufügen, um die Richtlinie für die RADIUS-Authentifizierung auszuwählen. Weitere Informationen zum Erstellen von RADIUS-Authentifizierung finden Sie unterKonfigurieren der RADIUS-Authentifizierung.

    Klicken Sie auf Hinzufügen, um eine Richtlinie für die RADIUS-Authentifizierung auszuwählen.

    Die Richtlinie für den LDAP prüft, ob der Benutzer Teil der Standardgruppe ist.

    Auswählen der Richtlinie für LDAP

  11. Klicken Sie auf Fertig.

  12. Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver. Klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen .

    Klicken Sie hier, um den Flow an den virtuellen Authentifizierungsserver zu binden.

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor-Fluss aus, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus, und klicken Sie auf Bindung aufheben.

    Bindung des nFactor-Flows aufheben

Konfigurieren Sie den Endpunktanalyse-Scan vor der Authentifizierung als Faktor in der nFactor-Authentifizierung