Citrix ADC

Konfigurieren der Vorauthentifizierung und des EPA-Scans nach der Authentifizierung als Faktor in nFactor-Authentifizierung

In Citrix Gateway kann Endpoint Analysis (EPA) konfiguriert werden, um zu überprüfen, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird heruntergeladen und auf dem Benutzergerät installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert, kann sich der Benutzer nicht mit dem Citrix Gateway-Plug-In anmelden.

Weitere Informationen zu EPA in nFactor Konzepten finden Sie unter Konzepte und Entitäten, die für EPA in nFactor Authentication über NetScaler verwendet werden.

In diesem Thema wird der EPA-Scan als erste Prüfung in einer nFactor- oder Multifaktor-Authentifizierung verwendet, gefolgt von der Anmeldung und dem EPA-Scan als abschließende Prüfung.

Darstellung des EPA-Scans, der als Erstüberprüfung in nFactor- oder Multifaktor-Authentifizierung verwendet wird

Der Benutzer stellt eine Verbindung mit der virtuellen IP-Adresse von Citrix Gateway her. Ein EPA-Scan wird gestartet. Wenn der EPA-Scan erfolgreich ist, wird der Benutzer die Anmeldeseite mit Benutzernamen und Kennwortfeldern für die LDAP- oder AD (Active Directory) -basierte Authentifizierung gerendert. Basierend auf dem Erfolg der Benutzeranmeldeinformationen wird der Benutzer zum nächsten EPA-Faktor umgeleitet.

Höchste Schritte in dieser Konfiguration

  1. Wenn der Scan erfolgreich ist, wird der Benutzer mit einer Standardbenutzergruppe versehen oder markiert.

  2. Die nächste Authentifizierungsmethode (LDAP) wird gewählt.

  3. Basierend auf dem Ergebnis der Authentifizierung wird dem Benutzer der nächste Satz von Scan angezeigt.

Voraussetzungen

Es wird davon ausgegangen, dass folgende Konfiguration vorhanden ist.

  • Konfigurationen virtueller VPN-Server/Gateway- und Authentifizierungsserver
  • Authentifizierung, Autorisierung und Überwachung von Benutzergruppen (für standardmäßige und isolierte Benutzergruppen) und zugeordnete Richtlinien
  • LDAP-Serverkonfigurationen und zugehörige Richtlinien

Konfiguration mit der CLI

  1. Erstellen Sie eine Aktion zum Ausführen eines EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    

    Der vorhergehende Ausdruck scannt, ob der Firefox-Prozess auf dem Clientcomputer ausgeführt wird.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    
  2. Konfigurieren Sie das Richtlinienlabel nach dem EPA-Scan, das die Richtlinie für den EPA-Scan hostet.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    

    Hinweis: LSCHEMA_INT ist ein eingebautes Schema ohne Schema (Noschema), was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.

  3. Ordnen Sie die in Schritt 1 konfigurierte Richtlinie mit der in Schritt 2 konfigurierten Richtlinienbezeichnung zu.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    

    END gibt das Ende des Authentifizierungsmechanismus an.

  4. Konfigurieren Sie die ldap-auth-Richtlinie und verknüpfen Sie sie mit einer LDAP-Richtlinie, die für die Authentifizierung mit einem bestimmten LDAP-Server konfiguriert ist.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  5. Konfigurieren Sie die Richtlinienbezeichnung ldap-factor mit Anmeldeschema, um Benutzernamen und Kennwort für einzelne Faktoren zu erfassen.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    

    Hinweis: Ersetzen Sie durch das gewünschte Schema, falls Sie nicht in erstelltem Schema LoginSchema/SingleAuth.xml verwenden möchten

  6. Ordnen Sie die in Schritt 4 konfigurierte Richtlinie mit der in Schritt 5 konfigurierten Richtlinienbezeichnung zu.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    

    END gibt das Ende des Authentifizierungsmechanismus für dieses Bein an, und NextFactor gibt den nächsten Faktor nach der Authentifizierung an.

  7. Erstellen Sie eine Aktion zum Ausführen des EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    

    Hier ist default_group eine vorkonfigurierte Benutzergruppe.

    Der obige Ausdruck wird überprüft, ob Windows 7-Benutzer Service Pack 1 installiert haben.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    
  8. Verknüpfen Sie eine EPA-Scan-Richtlinie zu Authentifizierung, Autorisierung und Überwachung des virtuellen Servers mit dem nächsten Schritt, der auf die Richtlinienbezeichnung ldap-factor verweist, um den nächsten Schritt in der Authentifizierung durchzuführen.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    

Konfiguration mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > EPA.

    Erster EPA-Scan, um nach automatischem Windows Update und einer Standardgruppe zu suchen

    Erster EPA-Scan erstellen

    Zweiter EPA Scan zur Überprüfung des Firefox-Browsers

    Erstellen eines zweiten EPA-Scans

  2. Erstellen Sie eine EPA-Richtlinie. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und binden Sie die in Schritt 1 erstellte Aktion.

    Richtlinie für den ersten EPA-Scan

    Richtlinie für den ersten EPA-Scan erstellen

    Richtlinie für den zweiten EPA-Scan

    Richtlinie für den zweiten EPA-Scan erstellen

    Weitere Informationen zu Advanced EPA finden Sie unterErweiterte Endpunktanalysescans

  3. Erstellen Sie einen nFactor-Flow. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen.

    Klicken Sie hier, um nFactor hinzuzufügen

    Hinweis: nFactor Visualizer ist auf Firmware 13.0 und höher verfügbar.

  4. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Faktorname hinzufügen

    Für den EPA-Scan ist kein Schema erforderlich.

  5. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie für den ersten Faktor hinzuzufügen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

  6. Wählen Sie die erste EPA-Richtlinie aus, die in Schritt 2 erstellt wurde.

    Klicken Sie hier, um die erste EPA-Richtlinie auszuwählen.

  7. Klicken Sie auf das grüne + Zeichen und fügen Sie den nächsten Faktor hinzu, also die LDAP-Authentifizierung.

    Klicken Sie hier, um den nächsten Faktor hinzuzufügen

  8. Klicken Sie auf Schema hinzufügen, und klicken Sie dann auf Hinzufügen, um ein Schema für den zweiten Faktor hinzuzufügen.

    Klicken Sie hier, um ein Schema hinzuzufügen

  9. Erstellen Sie ein Schema, in diesem Beispiel Single_Auth, und wählen Sie dieses Schema aus.

    Erstellen eines einzelnen Authentifizierungsschemas

    Auswählen eines einzelnen Authentifizierungsschemas

  10. Klicken Sie auf Richtlinie hinzufügen, um eine LDAP-Richtlinie für die Authentifizierung hinzuzufügen.

    Hinzufügen einer LDAP-Richtlinie für die Authentifizierung

    Weitere Informationen zum Erstellen der LDAP-Authentifizierung finden Sie unterKonfigurieren der LDAP-Authentifizierung

  11. Erstellen Sie den nächsten Faktor für den EPA-Scan nach der Authentifizierung.

    Erstellen des nächsten Faktors für den Postauth-EPA-Scan

  12. Klicken Sie auf Richtlinie hinzufügen, wählen Sie SecondePA_Check-Richtlinie aus, die in Schritt 2 erstellt wurde, und klicken Sie auf Hinzufügen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

  13. Klicken Sie auf Fertig.

  14. Klicken Sie auf An Authentifizierungsserver binden, wählen Sie den nFactor-Flow aus, und klicken Sie dann auf Erstellen.

    Binden des Flows an einen virtuellen Authentifizierungsserver

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor-Flow, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus, und klicken Sie auf Bindung aufheben.

    Bindung des Flows vom virtuellen Authentifizierungsserver aufheben

Konfigurieren der Vorauthentifizierung und des EPA-Scans nach der Authentifizierung als Faktor in nFactor-Authentifizierung