Citrix ADC

Konfigurieren des Vorfüllbenutzernamens aus dem Zertifikat in der Citrix ADC nFactor-Authentifizierung

Im folgenden Abschnitt wird der Anwendungsfall der Zwei-Faktor-Authentifizierung beschrieben. Der erste Faktor ist die Zertifikatauthentifizierung gefolgt von LDAP.

Anwendungsfall: Zertifikats- und LDAP-Authentifizierung

Angenommen, ein Anwendungsfall, in dem Administratoren Zwei-Faktor-Authentifizierung konfigurieren. Erste Ebene als Zertifikatauthentifizierung und gefolgt von der LDAP-Authentifizierung. Als Teil des ersten Faktors fordert der Client ein Benutzerzertifikat an. Der Benutzername wird aus dem Zertifikat extrahiert und im Feld Benutzername des Anmeldeformulars, das für den nächsten Faktor zurückgegeben wird, vorausgefüllt.

  1. Client-Browser greift auf den virtuellen Server der Datenverkehrsverwaltung zu und wird zur Authentifizierung auf eine Anmeldeseite umgeleitet.

  2. Der erste Faktor wird anhand einer Zertifikataktion ausgewertet, die den Benutzernamen extrahiert. Die Auswertung ist erfolgreich und wird in diesem Fall an den nächsten Faktor, die Richtlinie “label1” übergeben.

  3. Die Richtlinienbezeichnung gibt an, dass der zweite Faktor das Anmeldeschema “login1” mit LDAP-Richtlinie ist.

  4. Das Anmeldeformular mit dem vorgegebenen Benutzernamen wird zurückgegeben, um das Kennwort vom Benutzer für die LDAP-Authentifizierung zu erhalten.

  5. Der Authentifizierungsserver gibt Cookies und eine Antwort zurück, die den Browser des Clients an den virtuellen Server der Datenverkehrsverwaltung weiterleitet, wo sich der angeforderte Inhalt befindet. Auf der anderen Seite, wenn die Anmeldung fehlschlägt, wird der Browser des Clients mit der ursprünglichen Anmeldeseite angezeigt, so dass der Client es wiederholen kann.

Hinweis:

Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

nFactor Visualisierer SAML und LDAP

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie den virtuellen Server und den Authentifizierungsserver für die Verkehrsverwaltung.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      oder

    • set ssl parameter –denysslrenegotiation NO
  2. Konfigurieren Sie einen ersten Faktor als Zertifikataktion.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Konfigurieren Sie einen zweiten Faktor.

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. Konfigurieren Sie die LDAP-Aktion.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Binden Sie die Richtlinien.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Konfigurieren mit dem nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen.

  2. Klicken Sie auf +, um den nFactor Flow hinzuzufügen.

    Klicken Sie hier, um einen Flow hinzuzufügen

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Hinzufügen eines Namens für den Flow

  4. Für die Zertifikatauthentifizierung ist kein Schema erforderlich.

  5. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie für die Zertifikatauthentifizierung zu erstellen.

    Vorabfüllrichtlinie

  6. Fügen Sie eine Richtlinie für die Zertifikatauthentifizierung hinzu.

    Zertifizierungsrichtlinie hinzufügen

    Hinweis

    Weitere Informationen zur Zertifikatauthentifizierung finden Sie unter Konfigurieren und Binden einer Richtlinie für die Clientzertifikatauthentifizierung.

  7. Klicken Sie neben Zertifizierungsrichtlinie auf grün+, um den nächsten Faktor hinzuzufügen.

    Nächstes RichtlinienFactor hinzufügen

  8. Wählen Sie Faktor erstellen, um einen Faktor für die LDAP-Authentifizierung zu erstellen.

    Faktor LDAP erstellen

  9. Klicken Sie auf Schema hinzufügen, um ein PrefilUserFormExpr.xml Schema für den zweiten Faktor hinzuzufügen, der einen vorausgefüllten Benutzernamen hat.

    Vorausgefüllter Benutzername

  10. Wählen Sie Richtlinie hinzufügen aus, um Richtlinie für die LDAP-Authentifizierung hinzuzufügen.

    Richtlinie für LDAP

    Hinweis

    Weitere Informationen zum Erstellen von LDAP-Authentifizierung finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mit dem Konfigurationsdienstprogramm.

  11. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

  12. Um den erstellten nFactor Flow an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen.

    Authentifizierserver binden

    Hinweis

    Binden und lösen Sie die Bindung des nFactor Flow über die Option, die in nFactor Flow unter Nur Bindungen anzeigenangegeben ist.

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor Flow aus, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus, und klicken Sie auf Bindung aufheben.

    Unbind auth server

Konfigurieren des Vorfüllbenutzernamens aus dem Zertifikat in der Citrix ADC nFactor-Authentifizierung