Citrix ADC

Self-Service-Kennwort zurücksetzen

Self-Service-Kennwort-Reset ist eine webbasierte Kennwort-Management-Lösung. Sie ist sowohl in der Authentifizierungs-, Autorisierungs- und Überwachungsfunktion der Citrix ADC Appliance als auch in Citrix Gateway verfügbar. Dadurch wird die Abhängigkeit des Benutzers von der Unterstützung des Administrators beim Ändern des Kennworts eliminiert.

Das Self-Service-Kennwortrücksetzen bietet dem Endbenutzer die Möglichkeit, ein Kennwort in den folgenden Szenarien sicher zurückzusetzen oder zu erstellen:

  • Der Benutzer hat das Kennwort vergessen.
  • Der Benutzer kann sich nicht anmelden.

Wenn ein Endbenutzer ein AD-Kennwort vergisst, musste sich der Endbenutzer bis jetzt an den AD-Administrator wenden, um das Kennwort zurückzusetzen. Mit der Self-Service-Funktion zum Zurücksetzen von Kennwörtern kann ein Endbenutzer das Kennwort ohne Eingreifen eines Administrators zurücksetzen.

Im Folgenden sind einige der Vorteile der Verwendung des Self-Service-Kennworts aufgeführt:

  • Erhöhte Produktivität durch automatischen Kennwortwechsel, wodurch die Vorlaufzeit für Benutzer auf das Zurücksetzen von Kennwörtern überflüssig wird.
  • Mit dem automatischen Kennwortwechsel können sich Administratoren auf andere kritische Aufgaben konzentrieren.

Die folgende Abbildung zeigt den Self-Service-Kennwortrücksetzungsablauf zum Zurücksetzen des Kennworts.

lokalisiertes Bild

Um das Self-Service-Kennwortrücksetzen zu können, muss ein Benutzer entweder bei der Citrix Authentifizierung, Autorisierung und Überwachung oder beim virtuellen Citrix Gateway -Server registriert sein.

Self-Service-Kennwort-Reset bietet die folgenden Funktionen:

  • Neuer Benutzer Selbstregistrierung. Sie können sich selbst als neuer Benutzer registrieren.
  • Konfigurieren Sie wissensbasierte Fragen. Als Administrator können Sie eine Reihe von Fragen für Benutzer konfigurieren.
  • Alternative E-Mail-ID-Registrierung. Sie müssen während der Registrierung eine alternative E-Mail-ID angeben. Das OTP wird an die alternative E-Mail-ID gesendet, da der Benutzer das primäre E-Mail-ID-Kennwort vergessen hat.

    Hinweis:

    Ab Version 12.1 Build 51.xx kann eine alternative E-Mail-ID-Registrierung als eigenständige durchgeführt werden. Ein neues Loginschema, AltEmailRegister.xml, wird eingeführt, um nur alternative E-Mail-ID-Registrierung zu tun. Bisher konnte eine alternative E-Mail-ID-Registrierung nur während der KBA-Registrierung durchgeführt werden.

  • Vergessenes Kennwort zurücksetzen. Der Benutzer kann das Kennwort zurücksetzen, indem er die wissensbasierten Fragen beantwortet. Als Administrator können Sie die Fragen konfigurieren und speichern.

Das Self-Service-Kennwortrücksetzen bietet die folgenden zwei neuen Authentifizierungsmechanismen:

  • Wissensbasierte Frage und Antwort. Sie müssen sich bei Citrix Authentifizierung, Autorisierung und Überwachung oder bei Citrix Gateway registrieren, bevor Sie das wissensbasierte Frage- und Antwortschema auswählen.

  • E-Mail-OTP-Authentifizierung. Ein OTP wird an die alternative E-Mail-ID gesendet, die sich der Benutzer bei der Self-Service-Kennwort-Reset-Registrierung registriert hat.

Hinweis:

Diese Authentifizierungsmechanismen können für die Self-Service-Kennwort-Reset-Anwendungsfälle und für alle Authentifizierungszwecke verwendet werden, die einem der vorhandenen Authentifizierungsmechanismen ähnlich sind.

Voraussetzungen

Bevor Sie die Self-Service-Kennwortrücksetzung konfigurieren, überprüfen Sie die folgenden Voraussetzungen:

  • Citrix ADC Funktion Version 12.1, Build 50.28.
  • Unterstützte Version ist die AD-Domänenfunktionsebene 2016, 2012 und 2008.
  • Der an den Citrix ADC gebundene LDAPBind-Benutzername muss Schreibzugriff auf den AD-Pfad der Benutzer haben.

    Hinweis:

    Self-Service-Kennwortrücksetzung wird nur im nFactor-Authentifizierungsfluss unterstützt. Weitere Informationen finden Sie unter nFactor Authentifizierung über Citrix ADC.

Einschränkungen

Im Folgenden sind einige der Einschränkungen der Self-Service-Kennwort-Reset:

  • Self-Service-Kennwortrücksetzung ist nur verfügbar, wenn das Authentifizierungs-Backend LDAP ist.
  • Der Benutzer kann die bereits registrierte alternative E-Mail-ID nicht sehen.
  • Wissensbasierte Fragen und Antworten sowie E-Mail-OTP-Authentifizierung und -Registrierung können nicht der erste Faktor im Authentifizierungsablauf sein.
  • Für Native Plug-in und Receiver wird die Registrierung nur über den Browser unterstützt.
  • Die minimale Zertifikatgröße, die für das Zurücksetzen von Self-Service-Kennwörtern verwendet wird, beträgt 1024 Byte und muss dem x.509-Standard entsprechen.

Active Directory-Einstellung

Die wissensbasierte Frage und Antwort von Citrix ADC und E-Mail-OTP verwendet AD-Attribut, um Benutzerdaten zu speichern. Sie müssen ein AD-Attribut konfigurieren, um die Fragen und Antworten zusammen mit der alternativen E-Mail-ID zu speichern. Die Citrix ADC Appliance speichert sie im konfigurierten KB-Attribut im AD-Benutzerobjekt. Berücksichtigen Sie beim Konfigurieren eines AD-Attributs Folgendes:

  • Die Attributlänge muss mindestens 128 Zeichen lang sein.
  • Das AD-Attribut muss 32k-Wert mit maximaler Länge unterstützen.
  • Der Attributtyp muss ein ‘DirectoryString’ sein.
  • Ein einzelnes AD-Attribut kann für wissensbasierte Fragen und Antworten und alternative E-Mail-ID verwendet werden.
  • Ein einzelnes AD-Attribut kann nicht für native OTP und wissensbasierte Fragen und Antworten oder alternative E-Mail-ID-Registrierung verwendet werden.
  • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.

Sie können auch ein vorhandenes AD-Attribut verwenden. Stellen Sie jedoch sicher, dass das Attribut, das Sie verwenden möchten, nicht für andere Fälle verwendet wird. Beispielsweise ist UserParameters ein vorhandenes Attribut innerhalb des AD-Benutzers, das Sie verwenden können. Gehen Sie folgendermaßen vor, um dieses Attribut zu überprüfen:

  1. Navigieren Sie zu ADSI > Benutzer auswählen.
  2. Klicken Sie mit der rechten Maustaste und blättern Sie nach unten zur Attributliste.
  3. Im Fensterbereich CN=TestUser Properties sehen Sie, dass das Attribut UserParameters nicht festgelegt ist.

lokalisiertes Bild

Self-Service-Kennwort zurücksetzen Registrierung

Um Self-Service-Kennwortrücksetzlösung auf einer Citrix ADC Appliance zu implementieren, müssen Sie Folgendes ausführen:

  • Self-Service-Kennwort zurücksetzen (wissensbasierte Frage und Antwort/E-Mail-ID) Registrierung.
  • Benutzeranmeldeseite (für das Zurücksetzen des Kennworts, einschließlich wissensbasierter Fragen und Antworten und E-Mail-OTP-Validierung und endgültiger Kennwortrücksetzfaktor).

Eine Reihe von vordefinierten Fragenkatalog wird als JSON-Datei bereitgestellt. Als Administrator können Sie über die Citrix ADC GUI die Fragen auswählen und das Anmeldeschema für das Self-Service-Kennwortrücksetzen erstellen. Sie können eine der folgenden Optionen wählen:

  • Wählen Sie maximal vier systemdefinierte Fragen aus.
  • Stellen Sie Benutzern eine Option zur Verfügung, um zwei Fragen und Antworten anzupassen.

So zeigen Sie die standardmäßige wissensbasierte FragenJSON-Datei von der CLI an

lokalisiertes Bild

Hinweis:

Citrix Gateway enthält standardmäßig den Satz systemdefinierter Fragen. Der Administrator kann die Datei “KBQuestions.json” bearbeiten, um die Auswahl der Fragen einzubeziehen.

So vervollständigen Sie die wissensbasierte Frage- und Antwortregistrierung Login-Schema mit GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Anmeldeschema.

    lokalisiertes Bild

  2. Klicken Sie auf der Seite Anmeldeschema auf Profile .
  3. Klicken Sie auf Anmeldeschema für KBA-Registrierung hinzufügen.
  4. Geben Sie auf der Seite Authentifizierungsanmeldeschema erstellen einen Namen im Feld Schemaname an.

    lokalisiertes Bild

    lokalisiertes Bild

  5. Wählen Sie die Fragen Ihrer Wahl aus und verschieben Sie sie in die Liste Konfiguriert .

  6. Im Abschnitt Benutzerdefinierte Fragen können Sie Fragen und Antworten in den Feldern Q1 und A1 bereitstellen.

    lokalisiertes Bild

  7. Aktivieren Sie im Abschnitt E-Mail-Registrierung die Option Alternative E-Mail registrieren . Sie können die alternative E-Mail-ID von der Anmeldeseite der Benutzerregistrierung registrieren, um das OTP zu erhalten.

    lokalisiertes Bild

  8. Klicken Sie auf Erstellen. Das einmal generierte Anmeldeschema zeigt alle konfigurierten Fragen an den Endbenutzer während der Registrierung an.

Erstellen von Benutzerregistrierungs- und Management-Workflows mit CLI

Bevor Sie mit der Konfiguration beginnen, müssen Sie Folgendes tun:

  • IP-Adresse, die dem virtuellen Authentifizierungsserver zugewiesen ist
  • FQDN, der der zugewiesenen IP-Adresse entspricht
  • Serverzertifikat für die Authentifizierung virtueller Server

Um die Geräteregistrierung und -verwaltungsseite einzurichten, benötigen Sie einen virtuellen Authentifizierungsserver. Die folgende Abbildung veranschaulicht die Benutzerregistrierung.

lokalisiertes Bild

So erstellen Sie einen virtuellen Authentifizierungsserver

  1. Konfigurieren Sie einen virtuellen Authentifizierungsserver. Es muss vom Typ SSL sein und stellen Sie sicher, dass Authentifizierungsserver mit Portalthema zu binden.

    > add authentication vserver <vServerName> SSL <ipaddress> <port>
    > bind authentication vserver <vServerName> [-portaltheme<string>]
    
  2. Binden Sie SSL Virtual Server Certificate-Key-Paar.

    > bind ssl vserver <vServerName> certkeyName <string>
    

    Beispiel:

    > add authentication vserver authvs SSL 1.2.3.4 443
    > bind authentication vserver authvs -portaltheme RFWebUI
    > bind ssl vserver authvs -certkeyname c1
    

So erstellen Sie eine LDAP-Anmeldeaktion

    > add authentication ldapAction <name> {-serverIP <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>]

Hinweis:

Sie können eine beliebige Authentifizierungsrichtlinie als ersten Faktor konfigurieren.

Beispiel:

    > add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -serverport 636 -sectype SSL -KBAttribute userParameters

So erstellen Sie Authentifizierungsrichtlinie für die LDAP-Anmeldung

    > add authentication policy <name> <rule> [<reqAction]

Beispiel:

    > add authentication policy ldap_logon -rule true -action ldap_logon_action

So erstellen Sie eine wissensbasierte Frage- und Antwortregistrierungsaktion

In ldapaction werden zwei neue Parameter eingeführt. “KBAttribute” für die KBA-Authentifizierung (Registrierung und Validierung) und “alternateEmailAttr” für die Registrierung der alternativen E-Mail-ID des Benutzers.

    > add authentication ldapAction <name> {-serverIP  <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>] [-KBAttribute <LDAP ATTRIBUTE>] [-alternateEmailAttr <LDAP ATTRIBUTE>]

Beispiel:

    > add authentication ldapAction ldap1 -serverIP 1.2.3.4 -sectype ssl -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters

Anzeige der Benutzerregistrierung und -verwaltung

Das Anmeldeschema “KbaregistrationSchema.xml” wird verwendet, um die Benutzerregistrierungsseite für den Endbenutzer anzuzeigen. Verwenden Sie die folgende Befehlszeilenschnittstelle, um das Anmeldeschema anzuzeigen.

> add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

> add authentication loginSchema kba_register -authenticationSchema /nsconfig/loginschema/LoginSchema/KBARegistrationSchema.xml

Citrix empfiehlt zwei Möglichkeiten zur Anzeige der Benutzerregistrierung und -verwaltung: URL oder LDAP-Attribut.

URL verwenden

Wenn der URL-Pfad ‘/register’ enthält (z. B. https://lb1.server.com/register), wird die Benutzer-Registrierungsseite über URL angezeigt.

So erstellen und binden Sie Registrierungsrichtlinien

> add authentication policylabel user_registration -loginSchema kba_register
> add authentication policy ldap1 -rule true -action ldap1
> bind authentication policylabel user_registration -policy ldap1 -priority 1

So binden Sie die Authentifizierungsrichtlinie an Authentifizierungs-, Autorisierungs- und Überwachungsserver, wenn die URL ‘/register’ enthält

> add authentication policy ldap_logon -rule "http.req.cookie.value(\"NSC_TASS\").contains(\"register\")" -action ldap_logon
> bind authentication vserver authvs -policy ldap_logon -nextfactor user_registration -priority 1

So binden Sie Zertifikat an VPN global

bind vpn global -userDataEncryptionKey c1

Hinweis:

Sie müssen das Zertifikat binden, um die im AD-Attribut gespeicherten Benutzerdaten (Q&A KB und registrierte alternative E-Mail-ID) zu verschlüsseln.

Verwenden des Attributs

Sie können die Authentifizierungsrichtlinie an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver binden, um zu überprüfen, ob der Benutzer bereits registriert ist oder nicht. In diesem Flow muss jede der vorangegangenen Richtlinien vor dem wissensbasierten Frage- und Antwortregistrierungsfaktor LDAP mit konfiguriertem KBAAttribute sein. Hiermit wird überprüft, ob der AD-Benutzer registriert ist oder nicht ein AD-Attribut verwendet.

Wichtig

Die “AAA.USER.ATTRIBUTE(“kba_registered”).EQ(“0”)” erzwingt neue Benutzer, sich für wissensbasierte Fragen zu registrieren und Antworten und alternative E-Mails zu beantworten.

So erstellen Sie eine Authentifizierungsrichtlinie, um zu überprüfen, ob der Benutzer noch nicht registriert ist

> add authentication policy switch_to_kba_register -rule "AAA.USER.ATTRIBUTE(\"kba_registered\").EQ(\"0\")" -action NO_AUTHN
> add authentication policy first_time_login_forced_kba_registration -rule true -action ldap1

So erstellen Sie eine Registrierungsrichtlinienbezeichnung und binden Sie sie an die LDAP-Registrierungsrichtlinie

> add authentication policylabel auth_or_switch_register -loginSchema LSCHEMA_INT
> add authentication policylabel kba_registration -loginSchema kba_register

> bind authentication policylabel auth_or_switch_register -policy switch_to_kba_register -priority 1 -nextFactor kba_registration
> bind authentication policylabel kba_registration -policy first_time_login_forced_kba_registration -priority 1

So binden Sie die Authentifizierungsrichtlinie an Authentifizierungs-, Autorisierungs- und Überwachungsserver des virtuellen Servers

bind authentication vserver authvs -policy ldap_logon -nextfactor auth_or_switch_register -priority 2

Benutzerregistrierung und Management-Validierung

Nachdem Sie alle Schritte konfiguriert haben, die in den vorherigen Abschnitten erwähnt wurden, sollten Sie die UI-Screenshots unten sehen.

  1. Geben Sie die lb vserver URL ein, z. B. https://lb1.server.com Der Anmeldebildschirm wird angezeigt.

    lokalisiertes Bild

  2. Geben Sie den Benutzernamen und das Kennwort ein. Klicken Sie auf Absenden. Der Bildschirm Benutzerregistrierung wird angezeigt.

    lokalisiertes Bild

  3. Wählen Sie die bevorzugte Frage aus der Dropdownliste und geben Sie die Antwort ein.
  4. Klicken Sie auf Absenden. Der Bildschirm Benutzerregistrierung erfolgreich wird angezeigt.

Benutzeranmeldeseite konfigurieren

In diesem Beispiel geht der Administrator davon aus, dass der erste Faktor die LDAP-Anmeldung ist (für die der Endbenutzer das Kennwort vergessen hat). Der Benutzer folgt dann der wissensbasierten Frage- und Antwortregistrierung und der E-Mail-ID OTP-Validierung und setzt das Kennwort schließlich mit Self-Service-Kennwort-Reset zurück.

Sie können alle Authentifizierungsmechanismen für das Self-Service-Kennwort-Zurücksetzen verwenden. Citrix empfiehlt, entweder eine wissensbasierte Frage und Antwort zu haben und OTP per E-Mail oder beides zu senden, um eine hohe Privatsphäre zu erreichen und unrechtmäßige Zurücksetzen von Benutzerkennwörtern zu vermeiden.

Bevor Sie mit der Konfiguration der Benutzeranmeldeseite beginnen:

  • IP für den virtuellen Load Balancer Server
  • Entsprechender FQDN für den virtuellen Load Balancer Server
  • Serverzertifikat für den Load Balancer

Erstellen eines virtuellen Load Balancer-Servers mithilfe von CLI

Um auf die interne Website zuzugreifen, müssen Sie einen virtuellen LB-Server erstellen, um den Back-End-Dienst vorzustellen und die Authentifizierungslogik an den virtuellen Authentifizierungsserver delegieren.

> add lb vserver lb1 SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs

> bind ssl vserver lb1 -certkeyname c1

So stellen Sie den Backend-Dienst im Lastenausgleich dar:

> add service iis_backendsso_server_com 1.2.3.4 HTTP 80

> bind lb vserver lb1 iis_backendsso_server_com

LDAP-Aktion mit deaktivierter Authentifizierung als erste Richtlinie erstellen

> add authentication ldapAction ldap3 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -authentication disabled

> add authentication policy ldap3 -rule aaa.LOGIN.VALUE("passwdreset").EQ("1") -action ldap3

Erstellen einer wissensbasierten Frage- und Antwortvalidierungsaktion

Zur wissensbasierten Überprüfung von Fragen und Antworten im Self-Service-Kennwort-Reset-Flow müssen Sie den LDAP-Server mit deaktivierter Authentifizierung konfigurieren.

> add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -KBAttribute  <LDAP ATTRIBUTE> - alternateEmailAttr <LDAP ATTRIBUTE> -authentication DISABLED

Beispiel:

> add authentication ldapAction ldap2 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters -authentication disabled

So erstellen Sie eine Authentifizierungsrichtlinie für wissensbasierte Frage- und Antwortüberprüfung mit CLI

Authentifizierungsrichtlinie hinzufügen kba_validation -rule true -action ldap2

E-Mail-Validierungsaktion erstellen

LDAP muss ein vorheriger Faktor für die E-Mail-Validierung sein, da Sie die E-Mail-ID des Benutzers oder eine alternative E-Mail-ID als Teil der Self-Service-Registrierung zum Zurücksetzen des Kennworts benötigen.

Hinweis: Damit die E-Mail-OTP-Lösung funktioniert, stellen Sie sicher, dass die anmeldungsbasierte Authentifizierung auf dem SMTP-Server aktiviert ist.

Um sicherzustellen, dass die anmeldungsbasierte Authentifizierung aktiviert ist, geben Sie den folgenden Befehl auf dem SMTP-Server ein. Wenn die login-basierte Authentifizierung aktiviert ist, werden Sie feststellen, dass der Text AUTH LOGIN in der Ausgabe fett erscheint.

root @ns # telnet <IP address of the SMTP server> <Port number of the server>
ehlo

Beispiel:

root@ns# telnet 10.106.3.66 25
Trying 10.106.3.66...
Connected to 10.106.3.66.
Escape character is '^]'.
220 E2K13.NSGSanity.com Microsoft ESMTP MAIL Service ready at Fri, 22 Nov 2019 16:24:17 +0530
ehlo
250-E2K13.NSGSanity.com Hello [10.221.41.151]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH LOGIN
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST

Weitere Informationen zum Aktivieren der anmeldungsbasierten Authentifizierung finden Sie unter https://support.microfocus.com/kb/doc.php?id=7020367.

So konfigurieren Sie E-Mail-Aktion mit CLI

add authentication emailAction emailact -userName sender@example.com -password <Password> -serverURL "smtps://smtp.example.com:25" -content "OTP is $code"

Beispiel:

add authentication emailAction email -userName testmail@gmail.com -password 298a34b1a1b7626cd5902bbb416d04076e5ac4f357532e949db94c0534832670 -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.19.164.57:25" -content "OTP is $code" -emailAddress "aaa.user.attribute(\"alternate_mail\")"

Hinweis:

Der Parameter “EmailAddress” in der Konfiguration ist ein PI-Ausdruck. Daher ist dies so konfiguriert, dass entweder die Standard-Benutzer-E-Mail-ID aus der Sitzung oder die bereits registrierte alternative E-Mail-ID übernommen wird.

So konfigurieren Sie die E-Mail-ID mit der GUI

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Authentifizierungs-E-Mail-Aktion. Klicken Sie auf Hinzufügen.
  2. Geben Sie auf der Seite Authentifizierungs-E-Mail-Aktion erstellen die Details ein, und klicken Sie auf Erstellen.

    lokalisiertes Bild

So erstellen Sie eine Authentifizierungsrichtlinie für die E-Mail-Validierung mithilfe von CLI

add authentication policy email_validation -rule true -action email

So erstellen Sie eine Authentifizierungsrichtlinie für den Kennwortrücksetzfaktor

Authentifizierungsrichtlinie hinzufügen ldap_pwd -rule true -action ldap_logon_action

Präsentieren der Benutzeroberfläche über das Anmeldeschema

Es gibt drei LoginSchemas für Self-Service-Kennwort-Reset, um das Kennwort zurückzusetzen. Verwenden Sie die folgenden CLI-Befehle, um die drei Login-Schema anzuzeigen:

root@ns# cd  /nsconfig/loginschema/LoginSchema/
root@ns# ls -ltr | grep -i password
-r--r--r--  1 nobody  wheel  2088 Nov 13 08:38 SingleAuthPasswordResetRem.xml
-r--r--r--  1 nobody  wheel  1541 Nov 13 08:38 OnlyUsernamePasswordReset.xml
-r--r--r--  1 nobody  wheel  1391 Nov 13 08:38 OnlyPassword.xml

So erstellen Sie das Zurücksetzen einzelner Authentifizierungskennworte mit der CLI

> add authentication loginSchema lschema_password_reset -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthPasswordResetRem.xml"

> add authentication loginSchemaPolicy lpol_password_reset -rule true -action lschema_password_reset

Erstellen eines wissensbasierten Frage-, Antwort- und E-Mail-OTP-Validierungsfaktors über Richtlinienlabel

Wenn der erste Faktor die LDAP-Anmeldung ist, können Sie mit der folgenden Befehle eine wissensbasierte Frage erstellen und OTP-Richtlinienbeschriftungen für den nächsten Faktor senden.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel kba_validation -loginSchema lschema_noschema

> add authentication policylabel email_validation -loginSchema lschema_noschema

Kennwortrücksetzungsfaktor über Richtlinienbezeichnung erstellen

Mit den folgenden Befehlen können Sie Kennwortrücksetzungsfaktor über Richtlinienbezeichnung erstellen.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel password_reset -loginSchema lschema_noschema

> bind authentication policylabel password_reset -policyName ldap_pwd -priority 10 -gotoPriorityExpression NEXT

Binden Sie die wissensbasierte Frage-, Antwort- und E-Mail-Richtlinie mit den vorherigen erstellten Richtlinien mit den folgenden Befehlen.

> bind authentication policylabel email_validation -policyName email_validation -nextfactor password_reset -priority 10 -gotoPriorityExpression NEXT

> bind authentication policylabel kba_validation -policyName kba_validation -nextfactor email_validation -priority 10 -gotoPriorityExpression NEXT

Flow binden

Sie müssen den LDAP-Anmeldefluss unter Authentifizierungsrichtlinie für LDAP-Anmeldung erstellt haben. In diesem Ablauf klickt der Benutzer auf den Link Kennwort vergessen, der auf der ersten LDAP-Anmeldeseite angezeigt wird, dann auf die KBA-Validierung gefolgt von der OTP-Validierung und schließlich auf der Seite zum Zurücksetzen des Kennworts angezeigt wird.

bind authentication vserver authvs -policy ldap3 -nextfactor kba_validation -priority 10 -gotoPriorityExpression NEXT

So binden Sie den gesamten UI-Flow

bind authentication vserver authvs -policy lpol_password_reset -priority 20 -gotoPriorityExpression END

Benutzeranmeldungsworkflow zum Zurücksetzen des Kennworts

Es folgt ein Benutzeranmeldeworkflow, wenn der Benutzer das Kennwort zurücksetzen muss:

  1. Geben Sie die lb vserver URL ein, z. B. https://lb1.server.com Der Anmeldebildschirm wird angezeigt.

    lokalisiertes Bild

  2. Klicken Sie auf Kennwort vergessen. In einem Überprüfungsbildschirm werden zwei von maximal sechs Fragen und Antworten angezeigt, die für einen AD-Benutzer registriert sind.

    lokalisiertes Bild

  3. Beantworten Sie die Fragen und klicken Sie auf Anmelden. Es wird ein E-Mail-OTP-Validierungsbildschirm angezeigt, in dem Sie das OTP eingeben müssen, das auf der registrierten alternativen E-Mail-ID empfangen wurde.

    lokalisiertes Bild

  4. Geben Sie die E-Mail OTP ein. Sobald die E-Mail-OTP-Validierung erfolgreich ist, wird die Seite zum Zurücksetzen des Kennworts angezeigt.

    lokalisiertes Bild

  5. Geben Sie ein neues Kennwort ein und bestätigen Sie das neue Kennwort. Klicken Sie auf Absenden. Nach erfolgreichem Zurücksetzen des Kennworts wird der Bildschirm zum Zurücksetzen des Kennworts erfolgreich angezeigt.

    lokalisiertes Bild

Sie können sich nun mit dem Zurücksetzkennwort anmelden.

Problembehandlung

Citrix bietet eine Option, um einige der grundlegenden Probleme zu beheben, die beim Zurücksetzen des Self-Service-Kennworts auftreten können. Im folgenden Abschnitt können Sie einige der Probleme beheben, die in bestimmten Bereichen auftreten können.

NS-Protokoll

Vor der Analyse des Protokolls wird empfohlen, die Protokollstufe mit dem folgenden Befehl zu debuggen:

> set syslogparams -loglevel DEBUG

Registrierung

Die folgende Meldung weist auf eine erfolgreiche Benutzerregistrierung hin.

"ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1"
Nov 14 23:35:51 <local0.debug> 10.102.229.76 11/14/2018:18:05:51 GMT  0-PPE-1 : default SSLVPN Message 1588 0 :  "ns_aaa_insert_hash_keyValue_entry key:alternate_mail value:eyJ2ZXJzaW9uIjoiMSIsICJraWQiOiIxbk1oWjN0T2NjLVVvZUx6NDRwZFhxdS01dTA9IiwgImtleSI6IlNiYW9OVlhKNFhUQThKV2dDcmJSV3pxQzRES3QzMWxINUYxQ0tySUpXd0h4SFRIdVlWZjBRRTJtM0ZiYy1RZmlQc0tMeVN2UHpleGlJc2hmVHZBcGVMZjY5dU5iYkYtYXplQzJMTFF1M3JINFVEbzJaSjdhN1pXUFhqbUVrWGdsbjdUYzZ0QWtqWHdQVUI3bE1FYVNpeXhNN1dsRkZXeWtNOVVnOGpPQVdxaz0iLCAiaXYiOiI4RmY3bGRQVzVKLVVEbHV4IiwgImFsZyI6IkFFUzI1Nl9HQ00ifQ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="

Wissensbasierte Frage- und Antwortvalidierung

Die folgende Meldung zeigt eine erfolgreiche wissensbasierte Frage- und Antwortvalidierung an.

"nFactor: Successfully completed KBA Validation, nextfactor is email"

E-Mail-ID-Validierung

Die folgende Meldung zeigt an, dass das Kennwort erfolgreich zurückgesetzt wurde.

"nFactor: Successfully completed email auth, nextfactor is pwd_reset"

Konfigurieren von SSPR mit nFactor Visualizer

Bevor wir mit der SSPR-Konfiguration beginnen, müssen wir die folgenden LDAP-Server hinzufügen:

  1. Standard-LDAP-Server mit aktivierter Authentifizierung für die Benutzerauthentifizierung und das angegebene AD-Attribut.

    lokalisiertes Bild

    lokalisiertes Bild

  2. LDAP-Server zur Extraktion von Benutzerparametern ohne Authentifizierungsfunktion.

    lokalisiertes Bild

  3. LDAP-Server für das Zurücksetzen des Kennworts auf SSL ohne Authentifizierungsfunktion. Außerdem muss das AD-Attribut, das zum Speichern der Benutzerdetails verwendet werden soll, auf diesem Server definiert werden.

    lokalisiertes Bild

    lokalisiertes Bild

  4. LDAP-Server für die Benutzerregistrierung mit aktivierter Authentifizierungsfunktion und angegebenem AD-Attribut

    lokalisiertes Bild

    lokalisiertes Bild

  5. Der komplette Ablauf ist unten dargestellt:

    lokalisiertes Bild

  6. Binden Sie das Zertifikat global mithilfe des folgenden CLI-Befehls:

    bind vpn global -userDataEncryptionKey Wildcard
    

Nachdem nun die LDAP-Server hinzugefügt wurden, fahren Sie mit der nFactor-Konfiguration mit Visualizer fort

  1. Navigieren Sie zu Sicherheit > AAA > Anwendungsverkehr > nFactor Visualizer > nFactor Flows, klicken Sie auf Hinzufügen und klicken Sie auf das Plus-Symbol in der Box.

    lokalisiertes Bild

  2. Geben Sie dem Fluss einen Namen.

    lokalisiertes Bild

  3. Klicken Sie auf Schema hinzufügen, das als Standardschema dient. Klicken Sie auf der Anmeldeseite auf Hinzufügen.

    lokalisiertes Bild

  4. Nachdem Sie dem Schema einen Namen gegeben haben, wählen Sie das Schema, wie unten gezeigt. Klicken Sie in der oberen rechten Ecke auf Auswählen, damit das Schema ausgewählt werden soll.

    lokalisiertes Bild

  5. Klicken Sie auf Erstellen, und klicken Sie auf OK.

Sobald das Standard-Schema hinzugefügt wird, müssen wir die folgenden drei Flows konfigurieren:

  • Benutzerregistrierung: Für explizite Benutzerregistrierung
  • Kennwort-Reset: Zum Zurücksetzen des Kennworts
  • Normale Login+Registrierte Benutzerprüfung: Falls der Benutzer registriert ist und das richtige Kennwort eingibt, wird der Benutzer eingeloggt. Falls der Benutzer nicht registriert ist, führt er den Benutzer zur Registrierungsseite.

Benutzerregistrierung

Lassen Sie uns fortfahren, wo wir nach dem Hinzufügen des Schemas verlassen haben.

  1. Klicken Sie auf Richtlinie hinzufügen, wird überprüft, ob der Benutzer versucht, sich explizit zu registrieren.

    lokalisiertes Bild

    lokalisiertes Bild

  2. Klicken Sie auf Erstellen und dann auf Hinzufügen.

  3. Klicken Sie auf das markierte grüne “+” -Symbol, um dem Benutzerregistrierungsablauf den nächsten Authentifizierungsfaktor hinzuzufügen.

    lokalisiertes Bild

    lokalisiertes Bild

  4. Klicken Sie auf Erstellen.

  5. Klicken Sie auf Richtlinie für Benutzerregistrierungs-1 Faktor hinzufügen.

    lokalisiertes Bild

  6. Erstellen Sie die Authentifizierungsrichtlinie. Diese Richtlinie extrahiert die Benutzerinformationen und validiert sie, bevor sie auf die Registrierungsseite umgeleitet wird.

    lokalisiertes Bild

  7. Klicken Sie auf Erstellen und dann auf Hinzufügen.

  8. Klicken Sie nun auf das grüne “+” -Symbol, um einen weiteren Faktor für die Benutzerregistrierung zu erstellen und klicken Sie auf Erstellen. Klicken Sie auf Schema hinzufügen.

    lokalisiertes Bild

    lokalisiertes Bild

  9. Erstellen Sie das folgende Schema.

    lokalisiertes Bild

  10. Klicken Sie auf Richtlinie hinzufügen, und erstellen Sie die folgende Authentifizierungsrichtlinie.

    lokalisiertes Bild

  11. Klicken Sie auf Erstellen und dann auf Hinzufügen .

Kennwort zurücksetzen

  1. Klicken Sie auf das blaue ‘+’ -Symbol, um eine weitere Richtlinie (Kennwort-Reset-Flow) für den übergeordneten SSPR-Faktor hinzuzufügen.

    lokalisiertes Bild

  2. Klicken Sie auf Hinzufügen, und erstellen Sie die folgende Authentifizierungsrichtlinie. Diese Richtlinie wird ausgelöst, wenn der Benutzer auf der Anmeldeseite auf “Kennwort vergessen” klickt.

    lokalisiertes Bild

  3. Klicken Sie auf Erstellen und dann auf Hinzufügen .

  4. Klicken Sie auf das grüne “+” -Symbol für die Authentifizierungsrichtlinie zum Zurücksetzen des Kennworts, um einen weiteren Faktor hinzuzufügen.

    lokalisiertes Bild

    lokalisiertes Bild

  5. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Richtlinie hinzufügen, um eine Authentifizierungsrichtlinie für den oben erstellten Faktor zu erstellen. Dieser Faktor wird für die Validierung des Benutzers sein.

    lokalisiertes Bild

  7. Klicken Sie auf Erstellen und dann auf Hinzufügen .

  8. Klicken Sie auf das grüne “+” -Symbol, um einen weiteren Faktor für den Kennwortfaktorfluss hinzuzufügen. Dadurch werden die Antworten für das Zurücksetzen des Kennworts überprüft. Klicken Sie auf Erstellen.

    lokalisiertes Bild

  9. Klicken Sie auf Richtlinie hinzufügen, um die Authentifizierungsrichtlinie für den Faktor hinzuzufügen.

  10. Wählen Sie dieselbe Authentifizierungsrichtlinie aus dem Drop-down-Menü aus, das wir zuvor erstellt haben, und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

Normale Anmeldung + Registrierte Benutzerprüfung

  1. Klicken Sie auf das blaue “+” -Symbol, um dem übergeordneten SSPR-Faktor eine weitere Authentifizierungsrichtlinie (Normaler Anmeldefluss) hinzuzufügen.

    lokalisiertes Bild

  2. Klicken Sie auf Hinzufügen, um die folgende Authentifizierungsrichtlinie für die normale Benutzeranmeldung zu erstellen.

    lokalisiertes Bild

  3. Klicken Sie auf Erstellen und klicken Sie auf Hinzufügen.

  4. Klicken Sie auf das grüne “+” -Symbol für die oben erstellte Richtlinie, um einen weiteren Faktor hinzuzufügen, d. h. einen Entscheidungsblock. Klicken Sie auf Erstellen.

    lokalisiertes Bild

  5. Klicken Sie auf Erstellen.

    lokalisiertes Bild

  6. Klicken Sie auf Richtlinie hinzufügen, um eine Authentifizierungsrichtlinie für diesen Entscheidungsfaktor zu erstellen.

    lokalisiertes Bild

  7. Klicken Sie auf Erstellen und dann auf Hinzufügen. Dies überprüft, ob der Benutzer registriert ist oder nicht.

  8. Klicken Sie auf das grüne “+” -Symbol, um den Benutzer auf die Registrierungsrichtlinie zu verweisen.

    lokalisiertes Bild

  9. Wählen Sie den Registrierungsfaktor aus dem Dropdown-Menü aus und klicken Sie auf Erstellen.

    lokalisiertes Bild

  10. Klicken Sie nun auf das blaue ‘+’ -Symbol, um eine weitere Richtlinie zum Entscheidungsblock hinzuzufügen. Diese Richtlinie wird für den registrierten Benutzer sein, die Auth zu beenden.

    lokalisiertes Bild

  11. Klicken Sie auf Richtlinie hinzufügen, um die folgende Authentifizierungsrichtlinie zu erstellen.

    lokalisiertes Bild

  12. Klicken Sie auf Erstellen und dann auf Hinzufügen .