Citrix ADC

Konfigurieren der Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema in Citrix ADC nFactor-Authentifizierung

Im folgenden Abschnitt wird der Anwendungsfall der Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema beschrieben.

Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema

Angenommen, ein Anwendungsfall, in dem Administratoren die Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema konfigurieren. Client übermittelt einen Benutzernamen und zwei Kennwörter. Der erste Satz von Benutzernamen und Kennwort wird durch eine LDAP-Richtlinie als erster Faktor ausgewertet, und das zweite Kennwort wird durch eine RADIUS-Richtlinie als zweiter Faktor ausgewertet.

  1. Sobald Sie auf den virtuellen Server für die Datenverkehrsverwaltung zugreifen, werden Sie zur Authentifizierung auf die Anmeldeseite umgeleitet.

  2. Der Client übermittelt einen Benutzernamen und zwei Kennwörter, zum Beispiel Benutzer1, Pass1 und Pass2.

  3. Der erste Faktor wird anhand einer LDAP-Aktion für user1 und pass1 ausgewertet. Die Auswertung ist erfolgreich und wird an den nächsten Faktor, die Richtlinie “label1” übergeben; in diesem Fall.

  4. Die Richtlinienbeschriftung gibt an, dass der zweite Faktor Passthrough mit einer RADIUS-Richtlinie ist. Ein Passthrough-Schema bedeutet, dass die Citrix ADC Appliance nicht für weitere Eingaben zum Client zurückkehrt. Citrix ADC verwendet einfach die Informationen, die es bereits hat. In diesem Fall sind es user1 und pass2. Der zweite Faktor wird dann implizit ausgewertet.

  5. Der Authentifizierungsserver gibt Cookies und eine Antwort zurück, die den Browser des Clients zurück an den virtuellen Server der Datenverkehrsverwaltung weiterleitet, wo der angeforderte Inhalt verfügbar ist. Wenn die Anmeldung fehlschlägt, wird dem Clientbrowser die ursprüngliche Anmeldeseite angezeigt, damit der Client es erneut versuchen kann.

    Anmeldeseite

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie den virtuellen Server für die Datenverkehrsverwaltung und -authentifizierung.

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. Konfigurieren Sie einen zweiten Faktor.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. Konfigurieren Sie den LDAP- und RADIUS-Faktor.

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. Binden Sie die Richtlinien.

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

Hinweis:

Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

nFactor Visualisierer zwei Faktoren

Konfigurieren mit dem nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flows, und klicken Sie auf Hinzufügen .

  2. Klicken Sie auf +, um den nFactor Flow hinzuzufügen.

    Hinzufügen eines Flows

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows. Klicken Sie auf Erstellen.

    Hinzufügen eines Namens für den Flow

  4. Um das zwei Kennwortschema für den ersten Faktor hinzuzufügen, klicken Sie auf Schema hinzufügen.

    Hinzufügen eines Schemas

  5. Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Sie können eine Authentifizierungsrichtlinie erstellen oder eine vorhandene Authentifizierungsrichtlinie aus der Liste auswählen.

    LDAP-Richtlinie hinzufügen

  6. Wählen Sie auf der Registerkarte Aktion die Option LDAP-Server aus.

    LDAP-Richtlinie hinzufügen

    Hinweis:

    Wenn kein LDAP-Server hinzugefügt wird, finden Sie weitere Informationen zum Hinzufügen eines LDAP-Servers unterLDAP-Authentifizierungsrichtlinien

  7. Klicken Sie auf grün +, um den RADIUS-Faktor hinzuzufügen, und klicken Sie auf Erstellen .

    Nächsten Faktor hinzufügen

  8. Fügen Sie kein Schema für diesen Faktor hinzu, da standardmäßig kein Schema verwendet wird. Um die RADIUS-Authentifizierungsrichtlinie hinzuzufügen, klicken Sie auf Richtlinie hinzufügen.

    Radius-Authentifizierungsrichtlinie

    Hinweis:

    Wenn der RADIUS-Server nicht hinzugefügt wird, finden Sie weitere Informationen zum Hinzufügen eines RADIUS-Servers unterSo konfigurieren Sie die RADIUS-Authentifizierung

  9. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

  10. Um den erstellten nFactor-Flow an einen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen .

    Authentifizierserver binden

Konfigurieren der Zwei-Faktor-Authentifizierung mit einem Anmeldeschema und einem Passthrough-Schema in Citrix ADC nFactor-Authentifizierung