Citrix ADC

Zwei-Faktor-Authentifizierung für Systembenutzer und externe Benutzer

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsmechanismus, bei dem eine Citrix ADC Appliance einen Systembenutzer auf zwei Authentifizierungsstufen authentifiziert. Die Appliance gewährt dem Benutzer erst nach erfolgreicher Validierung von Kennwörtern durch beide Authentifizierungsstufen Zugriff. Wenn ein Benutzer lokal authentifiziert wird, muss das Benutzerprofil in der Citrix ADC Datenbank erstellt werden. Wenn der Benutzer extern authentifiziert wird, müssen der Benutzername und das Kennwort mit der Benutzeridentität übereinstimmen, die auf dem externen Authentifizierungsserver registriert ist.

Hinweis:Die Zwei-Faktor-Authentifizierung funktioniert nur ab Citrix ADC 12.1 Build 51.16.

Funktionsweise der Zwei-Faktor-Authentifizierung

Betrachten Sie einen Benutzer, der versucht, sich bei einer Citrix ADC Appliance anzumelden. Der angeforderte Anwendungsserver sendet den Benutzernamen und das Kennwort an den ersten externen Authentifizierungsserver (RADIUS, TACACS, LDAP oder AD). Nach der Überprüfung des Benutzernamens und des Kennworts wird der Benutzer zur zweiten Authentifizierungsstufe aufgefordert. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen. Das folgende Diagramm zeigt, wie die Zwei-Faktor-Authentifizierung für eine Citrix ADC Appliance funktioniert.

Zweistufige Authentifizierung

Im Folgenden sind die verschiedenen Anwendungsfälle für die Konfiguration der Zwei-Faktor-Authentifizierung für externe und Systembenutzer.

Sie können die Zwei-Faktor-Authentifizierung auf einer Citrix ADC Appliance auf unterschiedliche Weise konfigurieren. Im Folgenden finden Sie verschiedene Konfigurationsszenarien für die Zwei-Faktor-Authentifizierung auf einer Citrix ADC Appliance.

  1. Zwei-Faktor-Authentifizierung (2FA) für Citrix ADC, GUI, CLI, API und SSH.
  2. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert.
  3. Externe Authentifizierung mit richtlinienbasierter lokaler Authentifizierung für Systembenutzer aktiviert.
  4. Externe Authentifizierung deaktiviert für Systembenutzer mit aktivierter lokaler Authentifizierung.
  5. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert.
  6. Externe Authentifizierung für ausgewählte LDAP-Benutzer aktiviert

Anwendungsfall 1: Zwei-Faktor-Authentifizierung (2FA) über Citrix ADC, GUI, CLI, API und SSH-Schnittstellen

Die Zwei-Faktor-Authentifizierung ist aktiviert und für den gesamten Citrix ADC Verwaltungszugriff für GUI, API und SSH verfügbar.

Anwendungsfall 2: Zwei-Faktor-Authentifizierung auf externen Authentifizierungsservern wie LDAP, RADIUS, Active Directory und TACACS unterstützt

Sie können die Zwei-Faktor-Authentifizierung auf den folgenden externen Authentifizierungsservern für die Benutzerauthentifizierung der ersten und zweiten Ebene konfigurieren.

  • RADIUS
  • LDAP
  • Active Directory
  • TACACS

Anwendungsfall 3: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert

Sie beginnen den Authentifizierungsprozess, indem Sie die Option für die externe Authentifizierung aktivieren und die lokale Authentifizierung für Systembenutzer deaktivieren.

Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert

Führen Sie die folgenden Schritte durch, indem Sie die Befehlszeilenschnittstelle verwenden:

  1. Hinzufügen von Authentifizierungsaktion für LDAP-Richtlinie
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server
  7. Globale Systemauthentifizierung für LDAP-Richtlinie binden
  8. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein: add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel: add authentication policy pol1 -rule true -action ldapact1

Authentifizierungsaktion für RADIUS-Server hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen der Authentifizierungsrichtlinie für RADIUS-Server (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <radius policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml für Systembenutzer verwenden, um das zweite Kennwort für die Citrix ADC Appliance anzugeben. Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <login schema name> -authenticationSchema LoginSchema/SingleAuth.xml

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global pol11 -priority 1 -nextFactor label11

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Anwendungsfall 4: Externe Authentifizierung für Systembenutzer mit angehängter lokaler Authentifizierungsrichtlinie aktiviert

In diesem Szenario ist der Benutzer berechtigt, sich bei der Appliance mit Zwei-Faktor-Authentifizierung mit Auswertung der lokalen Authentifizierungsrichtlinie auf der zweiten Ebene der Benutzeridentifikation anzumelden.

Externe Authentifizierung für Systembenutzer mit angehängter lokaler Authentifizierungsrichtlinie aktiviert

Führen Sie die folgenden Schritte mit der Befehlszeilenschnittstelle aus.

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Lokale Authentifizierungsrichtlinie hinzufügen
  4. Authentifizierungsrichtlinienlabel hinzufügen
  5. LDAP-Richtlinie als systemglobal binden
  6. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name –ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Lokale Authentifizierungsrichtlinie für Systembenutzer hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>] bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Anwendungsfall 5: Externe Authentifizierung deaktiviert und lokale Authentifizierung für Systembenutzer aktiviert

Wenn der Benutzer ExternalAuth deaktiviert hat, zeigt dies an, dass der Benutzer nicht auf dem Authentifizierungsserver vorhanden ist. Der Benutzer wird nicht beim externen authentifizierten Server authentifiziert, selbst wenn ein Benutzer mit demselben Benutzernamen auf dem externen authentifizierten Server vorhanden ist. Der Benutzer wird lokal authentifiziert.

Externe Authentifizierung deaktiviert und lokale Authentifizierung für Systembenutzer aktiviert

So aktivieren Sie das Kennwort des Systembenutzers und deaktivieren die externe Authentifizierung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add system user <name> <password> -externalAuth DISABLED

Beispiel:

add system user user1 password1 –externalAuth DISABLED

Anwendungsfall 6: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert

So konfigurieren Sie die Appliance für die Authentifizierung von Systembenutzern mithilfe eines lokalen Kennworts. Wenn diese Authentifizierung fehlschlägt, wird der Benutzer dann mithilfe eines externen Authentifizierungskennworts auf den externen Authentifizierungsservern auf zwei Ebenen authentifiziert.

Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert

Gehen Sie folgendermaßen vor, um über die Befehlszeile zu konfigurieren:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie binden
  9. Bind Authentication System global für LDAP-Richtlinie

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml verwenden, um die Anmeldeseite anzuzeigen und den Systembenutzer bei der Authentifizierung der zweiten Ebene zu authentifizieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

Anwendungsfall 7: Externe Authentifizierung nur für ausgewählte externe Benutzer aktiviert

Konfigurieren von selektiven externen Benutzern mit Zwei-Faktor-Authentifizierung gemäß dem Suchfilter, der in der LDAP-Aktion konfiguriert ist, während andere Systembenutzer mit der Einzelfaktor-Authentifizierung authentifiziert werden.

Gehen Sie folgendermaßen vor, um mit der Befehlszeilenschnittstelle zu konfigurieren:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie binden

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml verwenden, um die Anmeldeseite für die Appliance bereitzustellen, um einen Systembenutzer auf der zweiten Authentifizierungsebene zu authentifizieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

So konfigurieren Sie ohne Zwei-Faktor-Authentifizierung für Gruppenbenutzer mit Suchfilter:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server
  3. Bind Authentication System global für LDAP-Server

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-searchFilter<>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name - searchFilter "memberOf=CN=grp4,CN=Users,DC=aaatm-test,DC=com"

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global pol11 -priority 1 -nextFactor label11

Angepasste Eingabeaufforderung für Zwei-Faktor-Authentifizierung anzeigen

Wenn Sie zwei Faktor-Kennwort-Feld mit der Datei SingleAuth.xml unter/flash/nsconfig/loginschema/LoginSchema

Im Folgenden ist der Ausschnitt der Datei SingleAuth.xml, wo ‘SecondPassword: ‘ist der zweite Kennwort-Feldname, der Benutzer aufgefordert wird, zweites Kennwort eingeben.

<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext/>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><ID>login</ID><SaveID>ExplicitForms-Username</SaveID><Type>username</Type></Credential><Label><Text>singleauth_user_name</Text><Type>nsg-login-label</Type></Label><Input><AssistiveText>singleauth_please_supply_either_domain\username_or_user@fully.qualified.domain</AssistiveText><Text><Secret>false</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><ID>passwd</ID><SaveID>ExplicitForms-Password</SaveID><Type>password</Type></Credential><Label><Text>SecondPassword:</Text><Type>nsg-login-label</Type></Label><Input><Text><Secret>true</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>singleauth_first_factor</Text><Type>nsg_confirmation</Type></Label><Input/></Requirement>
<Requirement><Credential><ID>saveCredentials</ID><Type>savecredentials</Type></Credential><Label><Text>singleauth_remember_my_password</Text><Type>nsg-login-label</Type></Label><Input><CheckBox><InitialValue>false</InitialValue></CheckBox></Input></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>singleauth_log_on</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>

Konfigurieren der Zwei-Faktor-Authentifizierung mit der Citrix ADC GUI

  1. Melden Sie sich bei der Citrix ADC Appliance an.
  2. Gehen Sie zu System > Authentifizierung > Erweiterte Richtlinien > Richtlinie .
  3. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der ersten Ebene zu erstellen.
  4. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest.
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Pluszeichen klicken und eine Aktion des richtigen Typs erstellen.
    4. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  5. Klicken Sie auf Erstellen und dann auf Schließen.
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der zweiten Ebene zu erstellen.
  8. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Symbol + klicken, um eine Aktion des richtigen Typs zu erstellen.
    4. Ausdruck. Bereitstellen eines erweiterten Richtlinienausdrucks
  9. Klicken Sie auf Erstellen und dann auf Schließen.
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  10. Klicken Sie auf Erstellen.
  11. Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Globale Bindung .
  12. Wählen Sie auf der Seite Globale Authentifizierungsrichtlinienbindung erstellen die Authentifizierungsrichtlinie der ersten Ebene aus, und klicken Sie auf Bindung hinzufügen .
  13. Wählen Sie auf der Seite Richtlinienbindung die Authentifizierungsrichtlinie aus, und legen Sie den folgenden Richtlinienbindungsparameter fest.
    1. Nächster Faktor. Wählen Sie die Bezeichnung der Authentifizierungsrichtlinie der zweiten Ebene aus.
  14. Klicken Sie auf Binden und Schließen .

    GUI-Konfiguration für die Zwei-Faktor-Authentifizierung für Systembenutzer

  15. Klicken Sie auf Fertig.
  16. Melden Sie sich bei der Citrix ADC Appliance für die Authentifizierung der zweiten Ebene an. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen.

Weitere Informationen zum Konfigurieren des Anmeldeschemas finden Sie unter Native OTP-Unterstützung.

Siehe auch Zwei-Faktor-Authentifizierung in Citrix ADC nFactor-Authentifizierung.