Citrix ADC

Konfigurieren der nFactor-Authentifizierung

Sie können mehrere Authentifizierungsfaktoren mit der nFactor-Konfiguration konfigurieren und nicht nur mit zwei Faktoren. Die nFactor-Konfiguration wird nur in den Citrix ADC Advanced und Premium Editionen unterstützt.

Methoden zum Konfigurieren von nFactor

Sie können die nFactor-Authentifizierung mit einer der folgenden Methoden konfigurieren:

Wichtig: Dieses Thema enthält Details zum Konfigurieren von nFactor über die Citrix ADC GUI.

Konfigurationselemente, die an der nFactor-Konfiguration beteiligt sind

Die folgenden Elemente sind bei der Konfiguration von nFactor beteiligt. Ausführliche Schritte finden Sie in den entsprechenden Abschnitten in diesem Thema.

Konfigurationselement Zu durchzuführende Aufgaben
Virtueller AAA-Server Erstellen eines virtuellen AAA-Servers
  Portaldesign an virtuellen AAA-Server binden
  Clientzertifikatauthentifizierung aktivieren
Login-Schema Konfigurieren eines Login-Schemaprofils
  Erstellen und Binden einer Login-Schemarichtlinie
Erweiterte Authentifizierungsrichtlinien Erstellen erweiterter Authentifizierungsrichtlinien
  Binden der erweiterten Authentifizierungsrichtlinie des ersten Faktors an den virtuellen Citrix ADC AAA-Server
  Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen
Authentifizierungsrichtlinien-Label Authentifizierungsrichtlinienlabel erstellen
  Kennzeichen für die Authentifizierungsrichtlinie binden
nFactor für Citrix Gateway Erstellen eines Authentifizierungsprofils zum Verknüpfen eines virtuellen Citrix ADC AAA-Servers mit dem virtuellen Citrix Gateway -Server
  Konfigurieren von SSL-Parametern und CA-Zertifikaten für Citrix Gateway
  Konfigurieren der Citrix Gateway -Datenverkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

Funktionsweise von nFactor

Wenn ein Benutzer eine Verbindung mit dem virtuellen Citrix ADC AAA- oder Citrix Gateway -Server herstellt, lauten die folgenden Ereignisse:

  1. Wenn die formularbasierte Authentifizierung verwendet wird, wird das Anmeldeschema angezeigt, das an den virtuellen Citrix ADC AAA-Server gebunden ist.

  2. Erweiterte Authentifizierungsrichtlinien, die an den virtuellen Citrix ADC AAA-Server gebunden sind, werden ausgewertet.
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und der nächste Faktor (Authentifizierungsrichtlinienlabel) konfiguriert ist, wird der nächste Faktor ausgewertet. Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
    • Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck auf Weiter festgelegt ist, wird die nächste gebundene erweiterte Authentifizierungsrichtlinie ausgewertet. Wenn keine der erweiterten Authentifizierungsrichtlinien erfolgreich ist, schlägt die Authentifizierung fehl.
  3. Wenn für die nächste Faktor-Authentifizierungsrichtlinienbezeichnung ein Anmeldeschema gebunden ist, wird es dem Benutzer angezeigt.
  4. Die erweiterten Authentifizierungsrichtlinien, die an das nächste Faktor-Authentifizierungsrichtlinienlabel gebunden sind, werden ausgewertet.
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und der nächste Faktor (Authentifizierungsrichtlinienlabel) konfiguriert ist, wird der nächste Faktor ausgewertet.
    • Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
  5. Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck auf Weiter gesetzt ist, wird die nächste gebundene erweiterte Authentifizierungsrichtlinie ausgewertet.

  6. Wenn keine der erweiterten Authentifizierungsrichtlinien erfolgreich ist, schlägt die Authentifizierung fehl.

Virtueller AAA-Server

Um nFactor mit Citrix Gateway zu verwenden, konfigurieren Sie es zunächst auf einem virtuellen AAA-Server. Anschließend verknüpfen Sie den virtuellen AAA-Server später mit dem virtuellen Citrix Gateway -Server.

Virtuellen AAA-Server erstellen

  1. Wenn die AAA-Funktion noch nicht aktiviert ist, navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr, und klicken Sie mit der rechten Maustaste, um die Funktion zu aktivieren.

    lokalisiertes Bild

  2. Navigieren Sie zu Konfiguration > Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server.

    lokalisiertes Bild

  3. Klicken Sie auf Hinzufügen, um einen virtuellen Authentifizierungsserver zu erstellen.

    lokalisiertes Bild

  4. Geben Sie die folgenden Informationen ein, und klicken Sie auf OK.

    Parametername Parameterbeschreibung
    Name Name für den virtuellen AAA-Server.
    IP-Adresse Typ Ändern Sie den IP-Adresstyp in Nicht adressierbar, wenn dieser virtuelle Server nur für Citrix Gateway verwendet wird.

    lokalisiertes Bild

  5. Wählen Sie unter Zertifikat die Option Kein Serverzertifikataus.

    lokalisiertes Bild

  6. Klicken Sie auf den Text, Klicken Sie auf, um das Serverzertifikat auszuwählen.

    lokalisiertes Bild

  7. Klicken Sie auf das Optionsfeld neben einem Zertifikat für den virtuellen AAA-Server, und klicken Sie auf Auswählen. Das ausgewählte Zertifikat spielt keine Rolle, da auf diesen Server nicht direkt zugegriffen werden kann.

    lokalisiertes Bild

  8. Klicken Sie auf Bind.

    lokalisiertes Bild

  9. Klicken Sie auf Weiter, um den Abschnitt Zertifikat zu schließen.

    lokalisiertes Bild

  10. Klicken Sie auf Weiter.

    lokalisiertes Bild

Portaldesign an virtuellen AAA-Server binden

  1. Navigieren Sie zu Citrix Gateway > Portal-Designs, und fügen Sie ein Design hinzu. Sie erstellen das Design unter Citrix Gateway und binden es später an den virtuellen AAA-Server.

    lokalisiertes Bild

  2. Erstellen Sie ein Design basierend auf dem RFWebUI-Vorlagendesign.

    lokalisiertes Bild

  3. Nachdem Sie das Design wie gewünscht angepasst haben, klicken Sie oben auf der Bearbeitungsseite des Portaldesigns auf Klicken, um Konfiguriertes Design zu binden und anzuzeigen.

    lokalisiertes Bild

  4. Ändern Sie die Auswahl in Authentifizierung. Wählen Sie im Dropdown-Menü Name des Authentifizierungsservers den virtuellen AAA-Server aus, klicken Sie auf Binden und Vorschau, und schließen Sie das Vorschaufenster.

    lokalisiertes Bild

Clientzertifikatauthentifizierung aktivieren

Wenn einer Ihrer Authentifizierungsfaktoren Clientzertifikat ist, müssen Sie eine SSL-Konfiguration auf dem virtuellen AAA-Server ausführen:

  1. Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate > Zertifizierungsstellenzertifikate, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Stammzertifikate haben keine Schlüsseldatei.

    lokalisiertes Bild

    lokalisiertes Bild

  2. Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern.

    lokalisiertes Bild

    a. Scrollen Sie nach unten, um zu überprüfen, ob das Standardprofilaktiviertist. Wenn ja, müssen Sie ein SSL-Profil verwenden, um die Clientzertifikatauthentifizierung zu aktivieren. Andernfalls können Sie die Clientzertifikatauthentifizierung direkt auf dem virtuellen AAA-Server im Abschnitt SSL-Parameter aktivieren.

  3. Wenn SSL-Standardprofile nicht aktiviert sind:

    a. Navigieren Sie zu Sicherheit > AAA - Anwendung > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen AAA-Server.

    lokalisiertes Bild

    b. Klicken Sie links im Abschnitt SSL-Parameter auf das Stiftsymbol.

    lokalisiertes Bild

    c. Aktivieren Sie das Kontrollkästchen neben Clientauthentifizierung.

    d. Stellen Sie sicher, dass Optional im Dropdown-Menü Clientzertifikat ausgewählt ist, und klicken Sie auf OK.

    lokalisiertes Bild

  4. Wenn Standard-SSL-Profile aktiviert sind, erstellen Sie ein neues SSL-Profil mit aktivierter Clientauthentifizierung:

    a. Erweitern Sie im linken Menü System, und klicken Sie auf Profile.

    b. Wechseln Sie oben rechts zur Registerkarte SSL-Profil.

    c. Klicken Sie mit der rechten Maustaste auf das Profil ns_default_ssl_profile_frontend, und klicken Sie auf Hinzufügen. Dadurch werden die Einstellungen aus dem Standardprofil kopiert.

    d. Geben Sie dem Profil einen Namen. Der Zweck dieses Profils besteht darin, Clientzertifikate zu aktivieren.

    e. Führen Sie einen Bildlauf nach unten durch, und suchen Sie das Kontrollkästchen Clientauthentifizierung. Markieren Sie das Kästchen.

    f. Ändern Sie die Dropdown-Liste Clientzertifikat in OPTIONAL.

    g. Beim Kopieren des standardmäßigen SSL-Profils werden die SSL-Chiffre nicht kopiert, daher müssen Sie sie wiederholen.

    h. Klicken Sie auf Fertig, wenn Sie das SSL-Profil erstellt haben.

    i. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server, und bearbeiten Sie einen AAA-vServer.

    j. Scrollen Sie nach unten zum Abschnitt SSL-Profil, und klicken Sie auf den Stift.

    k. Ändern Sie die Dropdown-Liste SSL-Profil in das Profil, für das Clientzertifikate aktiviert ist. Klicken Sie auf OK.

    l. Scrollen Sie in diesem Artikel nach unten, bis Sie die Anweisungen zum Binden des Zertifizierungsstellenzertifikats erhalten.

  5. Klicken Sie links im Abschnitt Zertifikate auf die Stelle, an der die Meldung Kein Zertifizierungsstellenzertifikatangezeigt wird.

    lokalisiertes Bild

  6. Klicken Sie auf den Text, Klicken Sie zum Auswählen.

    lokalisiertes Bild

  7. Klicken Sie auf das Optionsfeld neben dem Stammzertifikat für den Aussteller der Clientzertifikate, und klicken Sie auf Auswählen.

    lokalisiertes Bild

  8. Klicken Sie auf Bind.

    lokalisiertes Bild

XML-Datei für das Anmeldeschema

Anmeldeschema ist eine XML-Datei, die die Struktur von formularbasierten Authentifizierungsseiten bereitstellt.

nFactor impliziert mehrere Authentifizierungsfaktoren, die miteinander verkettet sind. Jeder Faktor kann unterschiedliche Login-Schema-Seiten/-Dateien haben. In einigen Authentifizierungsszenarien können Benutzern mehrere Anmeldebildschirme angezeigt werden.

Konfigurieren eines Anmeldeschemaprofils

So konfigurieren Sie ein Anmeldeschemaprofil:

  1. Erstellen oder bearbeiten Sie eine XML-Datei für das Anmeldeschema basierend auf Ihrem nFactor-Design.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    lokalisiertes Bild

  3. Wechseln Sie auf der rechten Seite zur Registerkarte Profile, und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

  4. Klicken Sie im Feld Authentifizierungsschema auf das Stiftsymbol.

    lokalisiertes Bild

  5. Klicken Sie auf den Ordner LoginSchema, um die darin enthaltenen Dateien anzuzeigen.

    lokalisiertes Bild

  6. Wählen Sie eine der Dateien aus. Auf der rechten Seite sehen Sie eine Vorschau. Sie können die Beschriftungen ändern, indem Sie oben rechts auf die Schaltfläche Bearbeiten klicken.

    lokalisiertes Bild

  7. Wenn Sie die Änderungen speichern, wird unter /nsconfig/loginSchema-Datei eine neue Datei erstellt.

    lokalisiertes Bild

  8. Klicken Sie rechts oben auf Auswählen.

    lokalisiertes Bild

  9. Geben Sie dem Anmeldeschema einen Namen, und klicken Sie auf Mehr.

    lokalisiertes Bild

  10. In der Regel müssen Sie die eingegebenen Anmeldeinformationen an anderer Stelle verwenden. Beispielsweise müssen Sie möglicherweise den Benutzernamen und eines der Kennwörter verwenden, um später Single Sign-On für StoreFront zu verwenden. Klicken Sie unten auf der Seite Authentifizierungsanmeldungsschema erstellen auf Mehr, und geben Sie eindeutige Werte für die Indizes ein. Diese Werte können zwischen 1 und 16 liegen.

    lokalisiertes Bild

    a. Später verweisen Sie diese Indexwerte in einer Traffic Policy/Profile mithilfe des Ausdrucks HTTP.REQ.USER.ATTRIBUTE (#).

  11. Klicken Sie auf OK, um das Anmeldeschema Profil zu erstellen.

    Hinweis: Wenn Sie später die XML-Datei für das Anmeldeschema bearbeiten, werden die Änderungen möglicherweise erst übernommen, wenn Sie das Anmeldeschemaprofil bearbeiten und die XML-Datei erneut auswählen.

Erstellen und Binden einer Login-Schemarichtlinie

Um ein Anmeldeschemaprofil an einen AAA-Server zu binden, müssen Sie zunächst eine Anmeldeschemarichtlinie erstellen. Anmeldeschema-Richtlinien sind nicht erforderlich, wenn das Anmeldeschemaprofil an ein Authentifizierungsrichtlinienlabel gebunden wird, wie später beschrieben.

So erstellen und binden Sie eine Login-Schemarichtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    lokalisiertes Bild

  2. Klicken Sie auf der Registerkarte Policies auf Add.

    lokalisiertes Bild

  3. Verwenden Sie das Dropdown-Menü Profil, um das Anmeldeschemaprofil auszuwählen, das Sie bereits erstellt haben.

  4. Geben Sie einen Standardsyntax Ausdruck (z. B. true) in das Feld Regel ein, und klicken Sie auf Erstellen.

    lokalisiertes Bild

  5. Navigieren Sie auf der linken Seite zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen AAA-Server.

    lokalisiertes Bild

  6. Klicken Sie in der Spalte Erweiterte Einstellungen auf Anmeldeschemas.

    lokalisiertes Bild

  7. Klicken Sie im Abschnitt Anmeldeschemas auf den Text Kein Anmeldeschema.

    lokalisiertes Bild

  8. Klicken Sie auf den Text, Klicken Sie zum Auswählen.

    lokalisiertes Bild

  9. Klicken Sie auf das Optionsfeld neben der Richtlinie Anmeldeschema, und klicken Sie auf Auswählen. In dieser Liste werden nur Login-Schema-Richtlinien angezeigt. Anmeldeschemaprofile (ohne Richtlinie) werden nicht angezeigt.

    lokalisiertes Bild

  10. Klicken Sie auf Bind.

Erweiterte Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienaktion. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Erstellen erweiterter Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienaktion. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Sie benötigen Authentifizierungsaktionen/Server (z. B. LDAP, RADIUS, CERT, SAML usw.) Beim Erstellen einer erweiterten Authentifizierungsrichtlinie gibt es ein Plussymbol (Hinzufügen), mit dem Sie Authentifizierungsaktionen/Server erstellen können.

Oder Sie können vor dem Erstellen der erweiterten Authentifizierungsrichtlinie Authentifizierungsaktionen (Server) erstellen. Die Authentifizierungsserver befinden sich unter Authentifizierung > Dashboard. Klicken Sie auf der rechten Seite auf Hinzufügen, und wählen Sie einen Servertyp aus. Die Anweisungen zum Erstellen dieser Authentifizierungsserver sind hier nicht detailliert. Weitere Informationen finden Sie unter Authentifizierung — NetScaler 12/Citrix ADC 12.1.

So erstellen Sie eine erweiterte Authentifizierungsrichtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie

    lokalisiertes Bild

  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Um eine Richtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen oder Authentifizierungsrichtlinie konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    lokalisiertes Bild

    • Name - Der Richtlinienname. Für eine zuvor konfigurierte Richtlinie kann nicht geändert werden.
    • Aktionstyp - Der Richtlinientyp: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS oder WEBAUTH.
    • Aktion - Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Pluszeichen klicken und eine Aktion des richtigen Typs erstellen.
    • Protokollierungsaktion - Die Überwachungsaktion, die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Überwachungsaktion auswählen oder auf das Pluszeichen klicken und eine Aktion erstellen. Sie haben keine Aktionen konfiguriert, oder klicken Sie auf Hinzufügen, und führen Sie die Schritte aus, um eine Aktion zu erstellen.
    • Ausdruck - Die Regel, die Verbindungen auswählt, auf die Sie die angegebene Aktion anwenden möchten. Die Regel kann einfach sein (true wählt den gesamten Datenverkehr) oder komplex. Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unterhalb des Ausdrucksfensters auswählen und dann den Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen, und verwenden Sie die Dropdownlisten darin, um Ihre Ausdruck.)
    • Kommentar - Sie können einen Kommentar eingeben, der den Typ des Datenverkehrs beschreibt, auf den diese Authentifizierungsrichtlinie angewendet wird. Optional.
  4. Klicken Sie auf Create und dann auf Close. Wenn Sie eine Richtlinie erstellt haben, wird diese Richtlinie auf der Seite Authentifizierungsrichtlinien und Server angezeigt.

Sie müssen je nach Bedarf zusätzliche erweiterte Authentifizierungsrichtlinien erstellen, die auf Ihrem nFactor-Entwurf basieren.

Binden der erweiterten Authentifizierungsrichtlinie des ersten Faktors an Citrix ADC AAA

Sie können erweiterte Authentifizierungsrichtlinien direkt für den ersten Factor des virtuellen Citrix ADC AAA-Servers binden. Für die nächsten Faktoren müssen Sie die erweiterten Authentifizierungsrichtlinien an die Authentifizierungsrichtlinienbeschriftungen binden.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server. Bearbeiten Sie einen vorhandenen virtuellen Server.

lokalisiertes Bild

  1. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie.

    lokalisiertes Bild

  2. Klicken Sie unter Richtlinie auswählenauf den Text, Klicken Sie zum Auswählenauf.

    lokalisiertes Bild

  3. Klicken Sie auf das Optionsfeld neben der erweiterten Authentifizierungsrichtlinie, und klicken Sie auf Auswählen.

    lokalisiertes Bild

  4. Im Abschnitt Bindungsdetails bestimmt der Gehe zu Ausdruck, was als nächstes passiert, wenn diese erweiterte Authentifizierungsrichtlinie fehlschlägt.
    • Wenn Goto Expression aufNEXTfestgelegt ist, wird die nächste erweiterte Authentifizierungsrichtlinie ausgewertet, die an diesen virtuellen Citrix ADC AAA Server gebunden ist.
    • Wenn Goto Expression auf ENDfestgelegt ist oder wenn keine erweiterten Authentifizierungsrichtlinien an diesen virtuellen Citrix ADC AAA Server gebunden sind, wird die Authentifizierung abgeschlossen und als fehlgeschlagen markiert.

    lokalisiertes Bild

  5. Unter Nächsten Faktor auswählenkönnen Sie auf ein Authentifizierungsrichtlinienlabel verweisen. Der nächste Faktor wird nur ausgewertet, wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist. Klicken Sie abschließend auf Binden.

    lokalisiertes Bild

Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen

Sie können extrahierte LDAP-Gruppen verwenden, um den nächsten Authentifizierungsfaktor ohne tatsächliche Authentifizierung mit LDAP auszuwählen.

  1. Deaktivieren Sie beim Erstellen oder Bearbeiten eines LDAP-Servers oder einer LDAP-Aktion das Kontrollkästchen Authentifizierung.
  2. Wählen Sie unter Andere Einstellungendie entsprechenden Werte unter Gruppenattribut und Unterattributnameaus.

Authentifizieren der Richtlinienbezeichnung

Wenn Sie eine erweiterte Authentifizierungsrichtlinie an den virtuellen Citrix ADC AAA Server binden und einen nächsten Faktor ausgewählt haben, wird der nächste Faktor nur ausgewertet, wenn die erweiterte Authentifizierungsrichtlinie verwendet wird. Der nächste Faktor, der ausgewertet wird, ist ein Authentifizierungsrichtlinienlabel.

Die Authentifizierungsrichtlinienbeschriftung gibt eine Sammlung von Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Richtlinienlabel entspricht einem einzelnen Faktor. Es gibt auch das Anmeldeformular an, das dem Benutzer angezeigt werden muss. Das Authentifizierungsrichtlinienlabel muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein.

Hinweis: Jeder Faktor benötigt kein Login-Schema. Das Anmeldeschemaprofil ist nur erforderlich, wenn Sie ein Anmeldeschema an ein Authentifizierungsrichtlinienlabel binden.

Authentifizierungsrichtlinienlabel erstellen

Ein Richtlinienlabel gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Richtlinienlabel entspricht einem einzelnen Faktor. Das Richtlinienlabel gibt das Anmeldeformular an, das dem Benutzer angezeigt werden muss. Das Richtlinienlabel muss als nächster Faktor einer Authentifizierungsrichtlinie oder eines anderen Authentifizierungsrichtlinienlabels gebunden sein. Typischerweise enthält ein Richtlinienlabel Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Richtlinienlabel mit Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen haben.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung.

    lokalisiertes Bild

  2. Klicken Sie auf die Schaltfläche Add.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Felder aus, um Authentifizierungsrichtlinienlabel zu erstellen:

    a) Geben Sie den Namen für das neue Authentifizierungsrichtlinienlabel ein.

    b) Wählen Sie das Login-Schema aus, das der Authentifizierungsrichtlinienbezeichnung zugeordnet ist. WENN Sie dem Benutzer nichts anzeigen möchten, können Sie ein Anmeldeschemaprofil auswählen, das auf noschema (LSCHEMA_INT) gesetzt ist.

    c) Klicken Sie auf Weiter.

    lokalisiertes Bild

  4. Klicken Sie im Abschnitt Richtlinien-Bindung auf die Stelle, an der die Option Klicken zum Auswählenangezeigt wird.

  5. Wählen Sie die Authentifizierungsrichtlinie aus, die diesen Faktor auswertet.

    lokalisiertes Bild

  6. Füllen Sie die folgenden Felder aus:

    a) Geben Sie die Priorität der Richtlinienbindung ein.

    b) Wählen Sie in Gehe zu Ausdruck die Option WEITER, wenn Sie erweiterte Authentifizierungsrichtlinien an diesen Faktor binden möchten, oder wählen Sie END.

    lokalisiertes Bild

  7. Wenn Sie unter Nächsten Faktor auswählen einen weiteren Faktor hinzufügen möchten, klicken Sie auf, um das nächste Authentifizierungsrichtlinienlabel (nächster Faktor) auszuwählen und zu binden. Wenn Sie den nächsten Faktor nicht auswählen und diese erweiterte Authentifizierungsrichtlinie erfolgreich ist, ist die Authentifizierung erfolgreich und abgeschlossen.
  8. Klicken Sie auf Bind.

  9. Sie können auf Bindung hinzufügen klicken, um dieser Richtlinienbezeichnung (Faktor) erweiterte Authentifizierungsrichtlinien hinzuzufügen. Klicken Sie nach Abschluss auf Fertig.

    lokalisiertes Bild

Kennzeichen für die Authentifizierungsrichtlinie binden

Nachdem Sie das Richtlinienlabel erstellt haben, binden Sie es an eine vorhandene erweiterte Authentifizierungsrichtlinie, die an Kettenfaktoren gebunden ist.

Sie können den nächsten Faktor auswählen, wenn Sie einen vorhandenen virtuellen Citrix ADC AAA-Server bearbeiten, der eine erweiterte Authentifizierungsrichtlinie gebunden ist, oder wenn Sie eine andere Richtlinienbezeichnung bearbeiten, um den nächsten Faktor einzubeziehen.

So bearbeiten Sie einen vorhandenen virtuellen Citrix ADC AAA-Server, an den bereits eine erweiterte Authentifizierungsrichtlinie gebunden ist

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server. Wählen Sie den virtuellen Server aus, und klicken Sie auf Bearbeiten.

    lokalisiertes Bild

  2. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf eine vorhandene Authentifizierungsrichtlinienbindung.

    lokalisiertes Bild

  3. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    lokalisiertes Bild

  4. Klicken Sie unter Nächsten Faktor auswählenauf, und wählen Sie ein vorhandenes Authentifizierungsrichtlinienlabel (nächster Faktor) aus.

    lokalisiertes Bild

  5. Klicken Sie auf Bind. Sie können den nächsten Faktor auf der extremen rechten Seite sehen.

    lokalisiertes Bild

So fügen Sie einer anderen Richtlinienbezeichnung eine Richtlinienbezeichnung als nächster Faktor hinzu

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > PolicyLabel. Wählen Sie eine andere Richtlinienbezeichnung aus, und klicken Sie auf Bearbeiten.

    lokalisiertes Bild

  2. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    lokalisiertes Bild

  3. Klicken Sie unter Bindungsdetails > Nächsten Faktorauswählen auf, um den nächsten Faktor auszuwählen.
  4. Wählen Sie die Richtlinienbezeichnung für den nächsten Faktor aus, und klicken Sie auf die Schaltfläche Auswählen.

    lokalisiertes Bild

  5. Klicken Sie auf Binden. Sie können den nächsten Faktor auf der rechten Seite sehen.

    lokalisiertes Bild

nFactor für Citrix Gateway

Um nFactor auf Citrix Gateway zu aktivieren, muss ein Authentifizierungsprofil mit einem virtuellen Citrix ADC AAA-Server verknüpft sein.

Erstellen eines Authentifizierungsprofils zum Verknüpfen eines virtuellen Citrix ADC AAA-Servers mit dem virtuellen Citrix Gateway -Server

  1. Navigieren Sie zu Citrix Gateway > Virtuelle Server, und wählen Sie den vorhandenen virtuellen Gatewayserver aus, der bearbeitet werden soll.

    lokalisiertes Bild

  2. Klicken Sie unter Erweiterte Einstellungenauf Authentifizierungsprofil.

  3. Klicken Sie unter Authentifizierungsprofil aufHinzufügen

    lokalisiertes Bild

  4. Geben Sie den Namen für das Authentifizierungsprofil ein, und klicken Sie auf die Stelle, an der Sie auswählen möchten.

    lokalisiertes Bild

  5. Wählen Sie unter Virtueller Authentifizierungsservereinen vorhandenen Server aus, auf dem Anmeldeschema, erweiterte Authentifizierungsrichtlinie und Authentifizierungsrichtlinienbeschriftungen konfiguriert sind. Sie können auch einen virtuellen Authentifizierungsserver erstellen. Der virtuelle Citrix ADC AAA-Server benötigt keine IP-Adresse. Klicken Sie auf Auswählen.

    lokalisiertes Bild

  6. Klicken Sie auf Erstellen.

    lokalisiertes Bild

  7. Klicken Sie auf OK, um den Abschnitt Authentifizierungsprofil zu schließen.

    lokalisiertes Bild

Hinweis: Wenn Sie einen der Faktoren als Clientzertifikate konfiguriert haben, müssen Sie SSL-Parameter und Zertifizierungsstellenzertifikat konfigurieren.

Nachdem Sie die Verknüpfung des Authentifizierungsprofils mit einem virtuellen AAA-Server abgeschlossen haben und wenn Sie zu Ihrem Citrix Gateway navigieren, können Sie die nFactor-Authentifizierungsbildschirme anzeigen.

Konfigurieren von SSL-Parametern und Zertifizierungsstellenzertifikaten

Wenn einer der Authentifizierungsfaktoren ein Zertifikat ist, müssen Sie eine SSL-Konfiguration auf dem virtuellen Citrix Gateway -Server durchführen.

  1. Navigieren Sie zu Verkehrsverwaltung > SSL > Zertifikate > Zertifizierungsstellenzertifikate, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Zertifizierungsstellenzertifikate benötigen keine Schlüsseldateien.

    Wenn SSL-Standardprofile aktiviert sind, sollten Sie bereits ein SSL-Profil erstellt haben, für das die Clientauthentifizierung aktiviert ist.

  2. Navigieren Sie zu Citrix Gateway > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen Citrix Gateway-Server, der für nFactor aktiviert ist.

    • Wenn SSL-Standardprofile aktiviert sind, klicken Sie auf das Symbol “Bearbeiten”.
    • Wählen Sie in der Liste SSL-Profil das SSL-Profil aus, für das die Clientauthentifizierung aktiviert ist, und legen Sie OPTIONAL fest.

    • Wenn SSL-Standardprofile nicht aktiviert sind, klicken Sie auf das Symbol “Bearbeiten”.
    • Aktivieren Sie das Kontrollkästchen Clientauthentifizierung.
    • Stellen Sie sicher, dass Clientzertifikat auf Optional festgelegt ist
  3. Klicken Sie auf OK.

  4. Klicken Sie im Abschnitt Zertifikate auf Kein Zertifizierungsstellenzertifikat.

  5. Klicken Sie unter Zertifizierungsstellenzertifikat auswählen auf, um das Stammzertifikat für den Aussteller der Clientzertifikate auszuwählen.

  6. Klicken Sie auf Bind.

Hinweis: Möglicherweise müssen Sie auch alle Zwischenzertifizierungsstellenzertifikate binden, die die Clientzertifikate ausgestellt haben.

Konfigurieren der Citrix Gateway -Datenverkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

Bei einmaliger Anmeldung an StoreFront verwendet nFactor standardmäßig das zuletzt eingegebene Kennwort. Wenn LDAP nicht das zuletzt eingegebene Kennwort ist, müssen Sie eine Datenverkehrsrichtlinie/-profil erstellen, um das Standardverhalten von nFactor zu überschreiben.

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Datenverkehr.

    lokalisiertes Bild

  2. Klicken Sie auf der Registerkarte Verkehrsprofile auf Hinzufügen.

    lokalisiertes Bild

  3. Geben Sie einen Namen für das Verkehrsprofil ein. Wählen Sie das HTTP-Protokoll aus. Wählen Sie unter Single Sign-Ondie Option ONaus.

    lokalisiertes Bild

  4. Geben Sie im SSO-Ausdruckeinen HTTP.REQ.USER.ATTRIBUTE (#) -Ausdruck ein, der den im Anmeldeschema angegebenen Indizes entspricht, und klicken Sie auf Erstellen.

    lokalisiertes Bild

  5. Klicken Sie auf die Registerkarte Verkehrsrichtlinien, und klicken Sie auf Hinzufügen.

    Geben Sie einen Namen für die Richtlinie ein. Wählen Sie das im vorherigen Schritt erstellte Verkehrsprofil aus. Geben Sie unter Ausdruckeinen erweiterten Ausdruck ein, z. B. true. Klicken Sie auf Erstellen.

    lokalisiertes Bild

  6. Navigieren Sie zu Citrix Gateway > Citrix Gateway Virtual Server.

    • Wählen Sie einen vorhandenen virtuellen Server aus, und klicken Sie auf Bearbeiten.
    • Klicken Sie im Abschnitt Richtlinien auf das Pluszeichen.
    • Wählen Sie unter Richtlinieauswählen die Option Datenverkehraus.
    • Wählen Sie unter Typauswählen die Option Anforderungaus.
    • Wählen Sie die von Ihnen erstellte Verkehrsrichtlinie aus, und klicken Sie dann auf Binden.

    lokalisiertes Bild

Beispielausschnitt für die nFactor-Konfiguration mithilfe der Citrix ADC CLI

Um die schrittweisen Konfigurationen für die nFactor-Authentifizierung zu verstehen, betrachten wir eine Zwei-Faktor-Authentifizierungsbereitstellung, bei der der erste Faktor LDAP-Authentifizierung und der zweite Faktor ist die RADIUS-Authentifizierung.

Bei dieser Beispielbereitstellung muss sich der Benutzer mit einem einzigen Anmeldeformular bei beiden Faktoren anmelden. Daher definieren wir ein einziges Anmeldeformular, das zwei Kennwörter akzeptiert. Das erste Kennwort wird für die LDAP-Authentifizierung und das andere für die RADIUS-Authentifizierung verwendet. Hier sind die Konfigurationen, die durchgeführt werden:

  1. Konfigurieren des virtuellen Lastausgleichsservers für die Authentifizierung

    hinzufügen lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentifizierung ON`

  2. Konfigurieren Sie den virtuellen Authentifizierungsserver.

    Authentifizierung hinzufügen vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Konfigurieren Sie das Anmeldeschema für das Anmeldeformular und binden Sie es an eine Login-Schema-Richtlinie.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. Konfigurieren Sie ein Anmeldeschema für den Pass-Through und binden Sie es an ein Richtlinienlabel

    add authentication loginSchema login2 -authenticationSchema noschema

    add authentication policylabel label1 -loginSchema login2

  5. Konfigurieren Sie die LDAP- und RADIUS-Richtlinien.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    add authentication Policy ldap -rule true -action ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Policy radius -rule true -action radius

  6. Binden Sie die Login-Schema-Richtlinie an den virtuellen Authentifizierungsserver

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. Binden Sie die LDAP-Richtlinie (erster Faktor) an den virtuellen Authentifizierungsserver.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. Binden Sie die RADIUS-Richtlinie (zweiter Faktor) an das Authentifizierungsrichtlinienlabel.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end