Native OTP-Unterstützung für Authentifizierung

Citrix ADC Appliance unterstützt Einmalkennwörter (OTPs), ohne einen Server eines Drittanbieters verwenden zu müssen. Einmal-Kennwort ist eine hochsichere Option für die Authentifizierung bei sicheren Servern, da die generierte Nummer oder der Code zufällig ist. Zuvor werden OTPs von spezialisierten Firmen wie RSA mit bestimmten Geräten angeboten, die Zufallszahlen generieren. Dieses System muss in ständiger Kommunikation mit dem Client sein, um eine vom Server erwartete Zahl zu generieren.

Zusätzlich zur Reduzierung der Kapital- und Betriebskosten verbessert diese Funktion die Kontrolle des Administrators, indem die gesamte Konfiguration auf der Citrix ADC-Appliance beibehalten wird.

Hinweis:

Da Server von Drittanbietern nicht mehr benötigt werden, muss der Citrix ADC-Administrator eine Schnittstelle zum Verwalten und Überprüfen von Benutzergeräten konfigurieren.

Der Benutzer muss bei einem virtuellen Server der Citrix ADC Appliance registriert sein, um die OTP-Lösung verwenden zu können. Die Registrierung ist nur einmal pro einziges Gerät erforderlich und kann auf bestimmte Umgebungen beschränkt werden. Die Konfiguration und Validierung eines registrierten Benutzers ähnelt dem Konfigurieren einer zusätzlichen Authentifizierungsrichtlinie.

Vorteile der nativen OTP-Unterstützung

  • Senkung der Betriebskosten, da neben dem Active Directory keine zusätzliche Infrastruktur auf einem Authentifizierungsserver erforderlich ist.
  • Konsolidiert die Konfiguration nur mit der Citrix ADC-Appliance und bietet somit eine hervorragende Kontrolle für Administratoren.
  • Beseitigt die Abhängigkeit des Clients von einem zusätzlichen Authentifizierungsserver, um eine von Clients erwartete Zahl zu generieren.

Nativer OTP-Workflow

Die native OTP-Lösung ist ein zweifacher Prozess und der Workflow wird wie folgt klassifiziert:

  • Geräteregistrierung
  • Endbenutzer-Anmeldung

Wichtig

Sie können den Registrierungsprozess überspringen, wenn Sie Lösungen von Drittanbietern verwenden oder andere Geräte außer der Citrix ADC-Appliance verwalten. Die letzte Zeichenfolge, die Sie hinzufügen, muss im von Citrix ADC angegebenen Format vorliegen.

Die folgende Abbildung zeigt den Geräteregistrierungsablauf, um ein neues Gerät zu registrieren, um OTP zu empfangen.

lokalisierte Grafik

Hinweis:

Die Geräteregistrierung kann mit einer beliebigen Anzahl von Faktoren durchgeführt werden. Der einzelne Faktor (wie in der vorherigen Abbildung angegeben) wird als Beispiel verwendet, um den Geräteregistrierungsprozess zu erklären.

Die folgende Abbildung zeigt die Überprüfung von OTP durch das registrierte Gerät.

lokalisierte Grafik

Voraussetzungen

Um die native OTP-Funktion zu verwenden, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.

  • Die Version des Citrix ADC Features ist 12.0 Build 53.13 und höher.
  • Die Advanced- oder Premium-Edition-Lizenz ist auf Citrix Gateway installiert.
  • Die Citrix ADC Appliance ist mit Management-IP konfiguriert, und auf die Verwaltungskonsole kann sowohl über einen Browser als auch über die Befehlszeile zugegriffen werden.
  • Citrix ADC ist mit Authentifizierung, Autorisierung und Überwachung virtueller Server zur Authentifizierung von Benutzern konfiguriert.
  • Citrix ADC-Appliance ist mit Unified Gateway konfiguriert, und das Authentifizierungs-, Autorisierungs- und Überwachungsprofil wird dem virtuellen Gatewayserver zugewiesen.
  • Die native OTP-Lösung ist auf den nFactor-Authentifizierungsfluss beschränkt. Erweiterte Richtlinien sind erforderlich, um die Lösung zu konfigurieren. Weitere Informationen finden Sie im ArtikelCTX222713.

Stellen Sie außerdem Folgendes für Active Directory sicher:

  • Eine minimale Attributlänge von 256 Zeichen.
  • Attributtyp muss “DirectoryString” sein, z. B. UserParameters. Diese Attribute können Zeichenfolgenwerte enthalten.
  • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht englische Zeichen enthält.
  • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
  • Citrix ADC-Appliance und Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfigurieren Sie Natives OTP mit der GUI

Die native OTP-Registrierung ist nicht nur eine Einzelfaktor-Authentifizierung. In den folgenden Abschnitten können Sie die Authentifizierung mit einem und zweiten Faktor konfigurieren.

Anmeldeschema für den ersten Faktor erstellen

  1. Navigieren Sie zu Security AAA > Anwendungsdatenverkehr > Anmeldeschema.
  2. Gehen Sie zu Profile und klicken Sie auf Hinzufügen.
  3. Geben Sie auf der Seite Authentifizierungs-Anmeldeschema erstellenunter Name lschema_first_factor ein, und klicken Sie neben noschema auf Bearbeiten.
  4. Klicken Sie auf den Ordner LoginSchema.**
  5. Scrollen Sie nach unten, um SingleAuth.xml auszuwählen, und klicken Sie auf Auswählen.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Richtlinien und dann auf Hinzufügen.
  8. Geben Sie auf dem Bildschirm Authentifizierungsanmeldeschema-Richtlinie erstellen die folgenden Werte ein.

    Name: lschema_first_factor Profil: Wählen Sie lschema_first_factor aus der Liste. Regel: HTTP.REQ.COOKIE.VALUE (“NSC_TASS”).EQ (“manageotp”)

Konfigurieren der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Authentifizierungsserver. Klicken Sie hier, um den vorhandenen virtuellen Server zu bearbeiten.
  2. Klicken Sie auf das + -Symbol neben Anmeldeschemas unter Erweiterte Einstellungen im rechten Fensterbereich.
  3. Wählen Sie Kein Anmeldeschemaaus.
  4. Klicken Sie auf den Pfeil, und wählen Sie die Richtlinie lschema_first_factor aus.
  5. Wählen Sie die Richtlinie lschema_first_factor aus, und klicken Sie auf Auswählen .
  6. Klicken Sie auf Bind.
  7. Führen Sie einen Bildlauf nach oben durch, und wählen Sie unter Erweiterte **Authentifizierungsrichtlinie 1 Authentifizierungsrichtlinie** aus.
  8. Klicken Sie mit der rechten Maustaste auf die nFactor-Richtlinie, und wählen Sie Bindung bearbeiten aus.
  9. Klicken Sie auf das Symbol + unter Nächster Faktor auswählen, erstellen Sie einen nächsten Faktor und klicken Sie auf Binden .
  10. Geben Sie auf dem Bildschirm Authentifizierungsrichtlinienlabel erstellen Folgendes ein, und klicken Sie auf Weiter :

    Name: OTP_manage_factor

    Anmeldeschema: Lschema_Int

  11. Klicken Sie auf dem Bildschirm Authentifizierungsrichtlinienlabel auf das Symbol +, um eine Richtlinie zu erstellen.

  12. Geben Sie auf dem Bildschirm Authentifizierungsrichtlinie erstellen Folgendes ein:

    Name. otp_manage_ldap

  13. Wählen Sie den Aktionstyp in der Liste Aktionstyp aus.
  14. Klicken Sie im Feld Aktion auf das Symbol +, um eine Aktion zu erstellen.
  15. Aktivieren Sie auf der Seite Authentifizierungs-LDAP-Server erstellendas Optionsfeld Server-IP, deaktivieren Sie das Kontrollkästchen neben Authentifizierung, geben Sie die folgenden Werte ein, und wählen Sie Verbindung testen aus.

    Name: ldap_no_auth

    IP-Adresse: 192.168.10.11

    Base DN: DC = Training, DC = Labor

    Administrator: Administrator@training.lab

    Kennwort: xxxxx

  16. Scrollen Sie nach unten zum Abschnitt Weitere Einstellungen. Verwenden Sie die Liste, um die folgenden Optionen auszuwählen.

    Server-Anmeldename Attribut als Neu, und geben Sie userprincipalname ein.

  17. Verwenden Sie die Liste, um SSO-Namensattribut als Neu auszuwählen, und geben Sie userprincipalname ein .
  18. Geben Sie “UserParameters” in das Feld OTP Secret ein und klicken Sie auf Mehr.
  19. Geben Sie die folgenden Attribute ein.

    Attribut 1 = mail Attribut 2 = objectGUID Attribut 3 = immutableID

  20. Klicken Sie auf OK.
  21. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen den Ausdruck auf true fest, und klicken Sie auf Erstellen.
  22. Klicken Sie auf der Seite Authentifizierungsrichtlinienlabel erstellen auf Binden, und klicken Sie auf Fertig .
  23. Klicken Sie auf der Seite Richtlinienbindung auf Binden.
  24. Klicken Sie auf der Seite Authentifizierungsrichtlinie auf Schließen, und klicken Sie auf Fertig.

Hinweis:

Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portaldesign gebunden sein. Binden Sie ein Serverzertifikat an den Server. Die Server-IP “1.2.3.5” muss einen entsprechenden FQDN haben, der otpauth.server.com, für die spätere Verwendung ist.

Anmeldeschema für den zweiten Faktor OTP erstellen

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server. Wählen Sie den virtuellen Server aus, der bearbeitet werden soll.
  2. Scrollen Sie nach unten und wählen Sie 1 Anmeldeschemaaus.
  3. Klicken Sie auf Bindung hinzufügen.
  4. Klicken Sie unter Richtlinienbindung auf das Symbol +, um eine Richtlinie hinzuzufügen.
  5. Geben Sie auf der Seite “ Authentifizierungsschema erstellen “ den Namen als OTP ein, und klicken Sie auf das Symbol +, um ein Profil zu erstellen.
  6. Geben Sie auf der Seite Authentifizierungs-Anmeldeschema erstellen Name als OTP ein, und klicken Sie auf das Symbol neben noschema.
  7. Klicken Sie auf den Ordner LoginSchema, wählen Sie DualAuth.xml aus, und klicken Sie dann auf Auswählen.
  8. Klicken Sie auf Erstellen.
  9. Geben Sie im Abschnitt RegelTrue ein. Klicken Sie auf Erstellen.
  10. Klicken Sie auf Bind.
  11. Beachten Sie die beiden Faktoren der Authentifizierung. Klicken Sie auf Schließen, und klicken Sie auf Fertig.

Content-Switching-Richtlinie für die Verwaltung von OTP konfigurieren

Die folgenden Konfigurationen sind erforderlich, wenn Sie Unified Gateway verwenden.

  1. Navigieren Sie zu Traffic Management > Content Switching > Policies. Wählen Sie die Richtlinie zum Umschalten von Inhalten aus, klicken Sie mit der rechten Maustaste und wählen Sie Bearbeitenaus.

  2. Bearbeiten Sie den Ausdruck, um die folgende OR-Anweisung auszuwerten, und klicken Sie auf OK:**

is_vpn_url   HTTP.REQ.URL.CONTAINS(“manageotp”)

Konfigurieren Sie Natives OTP mit der CLI

Sie benötigen die folgenden Informationen, um die OTP-Geräteverwaltungsseite zu konfigurieren:

  • Dem virtuellen Authentifizierungsserver zugewiesene IP-Adresse
  • FQDN, der der zugewiesenen IP entspricht
  • Serverzertifikat für die Authentifizierung virtueller Server

Hinweis:

Native OTP ist nur eine webbasierte Lösung.

So konfigurieren Sie die OTP-Geräteregistrierung und -verwaltung

Erstellen eines virtuellen Authentifizierungsservers

  • add authentication vserver authvs SSL 1.2.3.5 443
  • bind authentication vserver authvs -portaltheme RFWebUI
  • bind ssl vserver authvs -certkeyname otpauthcert

Hinweis:

Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portaldesign gebunden sein. Sie müssen ein Serverzertifikat an den Server binden. Die Server-IP “1.2.3.5” muss einen entsprechenden FQDN haben, der otpauth.server.com, für die spätere Verwendung ist.

So erstellen Sie eine LDAP-Anmeldeaktion

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> - serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

Beispiel:

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

So fügen Sie Authentifizierungsrichtlinie für die LDAP-Anmeldung hinzu

add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action

So präsentieren Sie die Benutzeroberfläche über LoginSchema

Benutzernamen- und Kennwortfelder für Benutzer bei der Anmeldung anzeigen

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

Seite zur Geräteregistrierung und -verwaltung anzeigen

Citrix empfiehlt zwei Möglichkeiten zur Anzeige der Geräteregistrierung und -verwaltung: URL oder Hostname.

  • URL verwenden

    Wenn die URL /manageotp enthält

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • Hostname verwenden

    Wenn der Hostname ‘alt.server.com’ ist.

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

So konfigurieren Sie die Benutzeranmeldeseite mit der CLI

Sie benötigen die folgenden Informationen, um die Seite Benutzeranmeldung zu konfigurieren:

  • IP für einen virtuellen Lastausgleichsserver
  • Entsprechender FQDN für den Lastenausgleich virtuellen Server
  • Serverzertifikat für den Lastausgleichsserver

Hinweis:

Verwenden Sie den vorhandenen virtuellen Authentifizierungsserver (authvs) für die Zwei-Faktor-Authentifizierung erneut.

So erstellen Sie einen virtuellen Lastausgleichsserver

add lb vserver lbvs_https SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -  AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs
bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

Back-End-Dienst im Lastenausgleich wird wie folgt dargestellt:

add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com

So erstellen Sie OTP-Kenncodevalidierungsaktion

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`

Beispiel:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort
636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.
com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication
DISABLED -OTPSecret userParameters

Wichtig

Der Unterschied zwischen LDAP-Anmeldung und OTP-Aktion ist die Notwendigkeit, die Authentifizierung zu deaktivieren und einen neuen Parameter einzuführen “OTPSecret. “ Der AD-Attributwert darf nicht verwendet werden.

So fügen Sie Authentifizierungsrichtlinien für die OTP-Kenncodevalidierung hinzu

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action

So zeigen Sie die Zwei-Faktor-Authentifizierung über LoginSchema an

Fügen Sie die Benutzeroberfläche für die Zwei-Faktor-Authentifizierung hinzu.

  • add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
  • add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor

So erstellen Sie den Kenncodevalidierungsfaktor über Richtlinienlabel

Erstellen eines Verwaltungs OTP-Fluss-Richtlinienlabels für den nächsten Faktor (erster Faktor ist LDAP-Anmeldung)

  • add authentication loginSchema lschema_noschema -authenticationSchema noschema
  • add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

So binden Sie die OTP-Richtlinie an das Richtlinienlabel

bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

So binden Sie den UI-Flow

Binden Sie die LDAP-Anmeldung gefolgt von der OTP-Validierung mit dem virtuellen Authentifizierungsserver.

  • bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT
  • bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Registrieren Sie Ihr Gerät bei Citrix ADC

  1. Navigieren Sie zu Ihrem Citrix ADC-FQDN (erste öffentliche IP-Adresse) mit dem Suffix /manageotp. Beispiel:https://otpauth.server.com/manageotp Login mit Benutzeranmeldeinformationen.
  2. Klicken Sie auf das Symbol +, um ein Gerät hinzuzufügen.

    lokalisiertes Bild

  3. Geben Sie einen Gerätenamen ein und drücken Sie Los. Ein Barcode wird auf dem Bildschirm angezeigt.
  4. Klicken Sie auf Setup starten und dann auf Barcode scannen.
  5. Bewegen Sie die Gerätekamera über den QR-Code. Sie können optional den 16-stelligen Code eingeben.

    Bild lokalisieren

    Hinweis

    Der angezeigte QR-Code ist für 3 Minuten gültig.

  6. Nach erfolgreichem Scannen erhalten Sie einen 6-stelligen zeitsensitiven Code, mit dem Sie sich anmelden können.

    lokalisiertes Bild

  7. Klicken Sie zum Testen auf Fertig auf dem QR-Bildschirm und dann auf das grüne Häkchen auf der rechten Seite.
  8. Wählen Sie Ihr Gerät aus der Liste aus und geben Sie den Code aus Google Authenticator ein (muss blau, nicht rot sein) und klicken Sie auf Los.
  9. Vergewissern Sie sich, dass Sie sich über die Liste in der oberen rechten Ecke der Seite abmelden.

Melden Sie sich mit dem OTP bei Citrix ADC an

  1. Navigieren Sie zu Ihrer ersten öffentlichen URL und geben Sie Ihren OTP von Google Authenticator ein, um sich anzumelden.
  2. Authentifizieren Sie sich bei der Citrix ADC Begrüßungsseite.

    lokalisiertes Bild

OTP-Integration mit Drittanbieter-Lösungen unter Verwendung von Hardware-Token

Wichtig

  • Sie müssen die Citrix ADC Appliance nicht registrieren, um sie als Hardwaretoken-Unterstützung zu verwenden.
  • Dieses Feature wird von Citrix ADC Version 12.1 Build 51.16 und höher unterstützt.

Citrix ADC OTP System entspricht nun dem TOTP RFC 6238. Das bedeutet, dass Citrix ADC die aktuelle Zeit in Sekunden zusammen mit einem gemeinsamen Geheimnis verwendet, um TOTP-Code zu berechnen. Citrix ADC verwendet einen Zeitabschnitt von 30 Sekunden und einen HMAC-SHA1-Algorithmus.

Ab Citrix ADC Version 12.1 Build 51.16 unterstützt ADC Lösungen von Drittanbietern, die erweiterte Schlüsselgröße oder SHA2-Algorithmus verwenden. Benutzer können nun das Active Directory-Objekt mit einem größeren Seed-Wert und einem anderen Algorithmus konfigurieren.

Citrix ADC speichert die Informationen zum Benutzerobjekt im Active Directory im folgenden Format:

#@mobile1=QB2ZJAOSNCMTRTQFYTEA&,

Der Text in Großbuchstaben ist der Ausgangswert für TOTP. Es wird angenommen, dass der Algorithmus HMAC-SHA1 ist und Zeitscheibe 30 Sekunden beträgt.

Für die Interoperabilität mit Citrix ADC unter Verwendung von Hardwaretokens oder Lösungen von Drittanbietern können Sie die Zeichenfolge wie folgt anpassen:

#@mobile1=<variable length seed>&alg=sha2&,

Hinweis:

Der ‘sha2’ -Seed muss base32 codiert sein.

Sie können einen Ausgangswert mit variabler Länge angeben. Außerdem können Sie “alg=sha2&” gegen Ende vor dem Komma angeben. Das heißt, “alg=sha2” sollte nach “&” aber vor “, hinzugefügt werden. “ Endbegrenzer muss immer “&, sein. “

Hinweis:

Jede Fehlkonfiguration außer dem beschriebenen kann zu unerwarteten Ergebnissen führen.

Sicherung des OTP-Managements

Es gibt verschiedene Möglichkeiten, die OTP-Verwaltungsseite Endbenutzern zu präsentieren. Die gängigste Methode besteht darin, die eigenständige OTP-Verwaltungsseite anzuzeigen. Es muss jedoch darauf geachtet werden, dass die OTP-Verwaltungsseite nach Erfüllung der Sicherheitsanforderungen bedient wird. Es müssen mindestens zwei Faktoren validiert werden, bevor der Benutzer die OTP-Verwaltungsseite extern präsentiert. In diesem Abschnitt werden Best Practices für die Darstellung der OTP-Verwaltungsseite beschrieben.

Active Directory-Attribute als vertraulich markieren

Die OTP-Lösung verwendet nativ das Active Directory-Objekt des Benutzers, um bestimmte Informationen zu speichern, die bei der Berechnung von OTP-Codes verwendet werden. Obwohl die OTP-Lösung sehr flexibel ist und erhebliche Einsparungen für die Kunden spart, trägt das OTP-Attribut sensible Informationen, die für OTP von entscheidender Bedeutung sind. Kunden müssen sicherstellen, dass nur Benutzer mit expliziten Rechten Inhalte dieses Attributs anzeigen können.

  • Citrix ADC Version 13.0 Build 41.20 und höher bietet native OTP-Verschlüsselung der Daten, die im Active Directory gespeichert sind und bietet somit eine verbesserte Sicherheit.
  • Kunden mit früheren Versionen von Citrix ADC empfiehlt es sich, bestimmte Attribute als vertraulich zu markieren, um das OTP-Attribut im Active Directory zu schützen. Wenn die Attribute als vertraulich gekennzeichnet sind, können diese Attribute nur Benutzer mit expliziten Berechtigungen anzeigen.

Weitere Informationen zur Kennzeichnung von Attributen als vertraulich finden Sie unter;

Ein-Faktor-Registrierung intern

Häufig verwenden Kunden keinen Drittanbieter für die Zwei-Faktor-Authentifizierung. Wenn solche Kunden zum OTP von Citrix ADC wechseln möchten, sind möglicherweise nur AD-Anmeldeinformationen verfügbar. In diesen Fällen kann eine interne Site gehostet werden, die nur AD oder Kerberos für die Registrierung von OTP-Geräten verwendet. SingleAuthManangeotp.xml Anmeldeschema kann verwendet werden, um diese Seite basierend auf der Quelle zu präsentieren.

Dual-Faktor-Registrierung extern

Wenn Benutzer extern auf die OTP-Verwaltungsseite zugreifen, müssen Benutzer aufgefordert werden, einen zweiten Faktor für die Registrierung ihrer Geräte darzustellen. Wenn Kunden über andere OTP-Lösungen (RSA-Token oder andere) verfügen, müssen sie aufgefordert werden, dies zu überprüfen, bevor sie auf das Self-Service-Portal zugreifen. Wenn Kunden keine Drittanbieter-Tokens verwenden, kann das erste Gerät nur innerhalb der Räumlichkeiten registriert werden. Nachfolgende Geräte verwenden eines der zuvor registrierten Geräte OTP. DualAuthManageotp.xml kann verwendet werden, um Endbenutzern zwei Kennwortfelder anzuzeigen.

Herausforderungen mit Dual-Faktor-Registrierung extern

Die Herausforderung, der Kunden oft gegenüberstehen, besteht darin, herauszufinden, wann Benutzer extern sind. Benutzer können Teile von HTTP-Headern wie “Host” -Header ändern. Daher ist ein integraler Bestandteil der OTP-Managementprüfung die Identifizierung der Quelle. In der Regel verfügen Bereitstellungen über ein NAT-Gerät, das mit dem Internet verbunden ist, zusammen mit einer Firewall. Alle externen Zugriffe erfolgen in der Regel über die Quell-IP dieses NAT-Geräts (wenn sie vom Gateway aus gesehen werden). Interne Zugriffe erfolgen normalerweise direkt. Kunden können diese Tatsache anwenden, um die Quelle zu identifizieren.

OTP-Verwaltungsablauf

Das folgende Flussdiagramm veranschaulicht einen typischen OTP-Verwaltungsfluss für die zweistufige Registrierung.

lokalisierte Grafik

Konfigurationsbeispiel

Wie oben erwähnt, besteht die Herausforderung beim Flussdiagramm darin, festzustellen, ob der Benutzer extern ist oder nicht. Verschiedene Organisationen verfügen über unterschiedliche Netzwerkkonfigurationen, um dies zu identifizieren. In diesem Beispiel wird davon ausgegangen, dass der Benutzer aus dem 10.x.x.x-Netzwerk kommt und daher der Benutzer als intern betrachtet wird. Dies muss jedoch je nach Kundennetzwerk korrigiert werden.

Schritte zur extern Konfiguration der Dual-Faktor-Registrierung:

  • Konfigurieren der Anmeldeformularansicht
add expression is_external_user “CLIENT.IP.SRC.IN_SUBNET(10.0.0.0/8).NOT && http.req.cookie.value("NSC_TASS").eq("manageotp")”

add authentication loginSchema dualauth_registerotp -authenticationSchema DualAuthManageOTP.xml

add authentication loginSchemaPolicy dualauth_registerotp –rule “is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")” –action dualauth_registerotp

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "LoginSchema/SingleAuthManageOTP.xml"

add authentication loginSchemaPolicy lschema_single_auth_manage_otp -rule "!is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")" -action lschema_single_auth_manage_otp

add authentication vserver nfactor_gateway_auth SSL x.x.x.x 443

Binden Sie geeignete Zertifikate

bind authentication vserver nfactor_gateway_auth -policy lschema_single_auth_manage_otp -priority 85 -gotoPriorityExpression END

bind authentication vserver nfactor_gateway_auth -policy dualauth_registerotp -priority 80 -gotoPriorityExpression END

Hinweis: Kunden können an dieser Stelle auch andere Login-Schema-Richtlinien für die tatsächliche Anmeldung verwenden. Diese werden aus Kürze weggelassen.

  • Anmeldefaktoren konfigurieren

Um Anmeldefaktoren zu konfigurieren, fügen Sie AD-Aktionen hinzu.

AD-Aktion für die Anmeldung:

    add authentication ldapAction ldap_action_login -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

AD-Aktion für OTP-Validierung und Registrierung:

    add authentication ldapAction ldap_action_otp -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT> -authentication disabled –OTPSecret UserParameters
  • Richtlinien hinzufügen
add authentication policy ldap_login_policy_internal –rule ‘!is_external_user’ –action ldap_action_login

add authentication policy ldap_login_otp_validation –rule ‘is_external_user -action ldap_action_otp

add authentication policy ldap_login_policy_external –rule ‘true’ –action ldap_action_login

add authentication policy ldap_login_otp_management –rule ‘true’ -action ldap_action_otp
  • Fügen Sie zuerst den OTP-Faktor hinzu
add authentication policylabel otp_management_factor

bind authentication policylabel otp_management_factor –policy ldap_login_otp_management –pri 100
  • Hinzufügen des AD-Validierungsfaktors für externe Benutzer
add authentication policylabel ldap_login_external_factor

bind authentication policylabel ldap_login_external_factor –policy ldap_login_policy_external –pri 100 –nextFactor otp_management_factor
  • Binden von Richtlinien an den virtuellen Server
bind authentication vserver nfactor_gateway_auth –policy ldap_login_policy_internal –pri 100 –nextFactor otp_management_factor

bind authentication vserver nfactor_gateway_auth –policy ldap_login_otp_validation –pri 110 –nextFactor ldap_login_external_factor