Zwei-Faktor-Authentifizierung für Citrix ADC Konsole

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsmechanismus, bei dem eine Citrix ADC Appliance einen Systembenutzer auf zwei Authentifizierungsebenen authentifiziert. Die Appliance gewährt dem Benutzer erst nach erfolgreicher Validierung von Kennwörtern durch beide Authentifizierungsstufen Zugriff. Wenn ein Benutzer lokal authentifiziert wird, muss das Benutzerprofil in der Citrix ADC Datenbank erstellt werden. Wenn der Benutzer extern authentifiziert wird, müssen der Benutzername und das Kennwort mit der Benutzeridentität übereinstimmen, die auf dem externen Authentifizierungsserver registriert ist.

Hinweis: Die Zwei-Faktor-Authentifizierungsfunktion funktioniert auf Citrix ADC 12.1 Build 51.16 ab.

Funktionsweise der Zwei-Faktor-Authentifizierung

Betrachten Sie einen Benutzer, der versucht, sich bei einer Citrix ADC Appliance anzumelden. Der angeforderte Anwendungsserver sendet den Benutzernamen und das Kennwort an den ersten externen Authentifizierungsserver (RADIUS, TACACS, LDAP oder AD). Sobald der Benutzername und das Kennwort validiert sind, wird der Benutzer zur zweiten Authentifizierungsstufe aufgefordert. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen. Das folgende Diagramm zeigt, wie die Zwei-Faktor-Authentifizierung für eine Citrix ADC Appliance funktioniert.

lokalisiertes Bild

Im Folgenden sind die verschiedenen Anwendungsfälle für die Konfiguration der Zwei-Faktor-Authentifizierung für externe und Systembenutzer.

Konfigurieren der Zwei-Faktor-Authentifizierung für Citrix ADC Verwaltungszugriff

Sie können die Zwei-Faktor-Authentifizierungsfunktion auf einer Citrix ADC Appliance auf unterschiedliche Weise konfigurieren. Die Konfigurationsszenarien sind unten angegeben:

  1. Zwei-Faktor-Authentifizierung (2FA) für Citrix ADC, GUI, CLI, API und SSH.
  2. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert.
  3. Externe Authentifizierung mit richtlinienbasierter lokaler Authentifizierung für Systembenutzer aktiviert.
  4. Externe Authentifizierung deaktiviert für Systembenutzer mit aktivierter lokaler Authentifizierung.
  5. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert.
  6. Externe Authentifizierung für ausgewählte LDAP-Benutzer aktiviert

Fall 1: Zwei-Faktor-Authentifizierung (2FA) über Citrix ADC, GUI, CLI, API und SSH hinweg

Die Zwei-Faktor-Authentifizierung ist aktiviert und über den gesamten Citrix ADC Verwaltungszugriff für GUI, API und SSH verfügbar.

Fall 2: Zwei-Faktor-Authentifizierung wird auf externen Authentifizierungsservern wie LDAP, RADIUS, Active Directory und TACACS unterstützt

Sie können die Zwei-Faktor-Authentifizierung auf den folgenden externen Authentifizierungsservern für die Benutzerauthentifizierung der ersten und zweiten Ebene konfigurieren.

  • RADIUS
  • LDAP
  • Active Directory
  • TACACS

Fall 3: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert

Sie beginnen den Authentifizierungsprozess, indem Sie die Option für die externe Authentifizierung aktivieren und die lokale Authentifizierung für Systembenutzer deaktivieren.

lokalisiertes Bild

Führen Sie die folgenden Schritte durch, indem Sie die Befehlszeilenschnittstelle verwenden:

  1. Hinzufügen von Authentifizierungsaktion für LDAP-Richtlinie
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server
  7. Globale Systemauthentifizierung für LDAP-Richtlinie binden
  8. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein: add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel: add authentication policy pol1 -rule true -action ldapact1

Authentifizierungsaktion für RADIUS-Server hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen der Authentifizierungsrichtlinie für RADIUS-Server (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <radius policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml für Systembenutzer verwenden, um das zweite Kennwort für die Citrix ADC Appliance anzugeben. Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <login schema name> -authenticationSchema LoginSchema/SingleAuth.xml

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Fall 4: Externe Authentifizierung aktiviert für Systembenutzer mit angehängter lokaler Authentifizierungsrichtlinie

In diesem Szenario ist der Benutzer berechtigt, sich bei der Appliance mit Zwei-Faktor-Authentifizierung mit Auswertung der lokalen Authentifizierungsrichtlinie auf der zweiten Ebene der Benutzeridentifikation anzumelden.

lokalisiertes Bild

Führen Sie die folgenden Schritte mit der Befehlszeilenschnittstelle aus.

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Lokale Authentifizierungsrichtlinie hinzufügen
  4. Authentifizierungsrichtlinienlabel hinzufügen
  5. LDAP-Richtlinie als systemglobal binden
  6. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name –ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Lokale Authentifizierungsrichtlinie für Systembenutzer hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>] bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Fall 5: Externe Authentifizierung deaktiviert und lokale Authentifizierung für Systembenutzer aktiviert

Wenn der Benutzer ExternalAuth deaktiviert hat, zeigt dies an, dass der Benutzer nicht auf dem Authentifizierungsserver vorhanden ist. Der Benutzer wird nicht beim externen authentifizierten Server authentifiziert, selbst wenn ein Benutzer mit demselben Benutzernamen auf dem externen authentifizierten Server vorhanden ist. Der Benutzer wird lokal authentifiziert.

lokalisiertes Bild

So aktivieren Sie das Kennwort des Systembenutzers und deaktivieren die externe Authentifizierung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add system user <name> <password> -externalAuth DISABLED

Beispiel:

add system user user1 password1 –externalAuth DISABLED

Fall 6: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert

So konfigurieren Sie die Appliance für die Authentifizierung von Systembenutzern mithilfe des lokalen Kennworts. Wenn diese Authentifizierung fehlschlägt, wird der Benutzer dann mit einem externen Authentifizierungskennwort auf den externen Authentifizierungsservern auf zwei Ebenen authentifiziert.

lokalisiertes Bild

Gehen Sie folgendermaßen vor, um mit der Befehlszeilenschnittstelle zu konfigurieren:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie
    binden1. Bind Authentication System global für LDAP-Richtlinie

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml verwenden, um die Anmeldeseite anzuzeigen und den Systembenutzer bei der Authentifizierung der zweiten Ebene zu authentifizieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

Fall 7: Externe Authentifizierung nur für ausgewählte externe Benutzer aktiviert

Konfigurieren von selektiven externen Benutzern mit Zwei-Faktor-Authentifizierung gemäß dem Suchfilter, der in der LDAP-Aktion konfiguriert ist, während andere Systembenutzer mit der Einzelfaktor-Authentifizierung authentifiziert werden.

Gehen Sie folgendermaßen vor, um mit der Befehlszeilenschnittstelle zu konfigurieren:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie binden

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml verwenden, um die Anmeldeseite für die Appliance bereitzustellen, um einen Systembenutzer auf der zweiten Authentifizierungsebene zu authentifizieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

So konfigurieren Sie ohne Zwei-Faktor-Authentifizierung für Gruppenbenutzer mit Suchfilter:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server
  3. Bind Authentication System global für LDAP-Server

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-searchFilter<>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name - searchFilter "memberOf=CN=grp4,CN=Users,DC=aaatm-test,DC=com"

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

Angepasste Eingabeaufforderung für Zwei-Faktor-Authentifizierung anzeigen

Wenn Sie zwei Faktor-Kennwort-Feld mit der Datei SingleAuth.xml unter/flash/nsconfig/loginschema/LoginSchema

Es folgt das Snippet von SingleAuth.xml Datei, wo ‘SecondPassword: ‘ist der zweite Kennwort-Feldname, der Benutzer aufgefordert wird, 2. Kennwort eingeben.

<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext/>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><ID>login</ID><SaveID>ExplicitForms-Username</SaveID><Type>username</Type></Credential><Label><Text>singleauth_user_name</Text><Type>nsg-login-label</Type></Label><Input><AssistiveText>singleauth_please_supply_either_domain\username_or_user@fully.qualified.domain</AssistiveText><Text><Secret>false</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><ID>passwd</ID><SaveID>ExplicitForms-Password</SaveID><Type>password</Type></Credential><Label><Text>SecondPassword:</Text><Type>nsg-login-label</Type></Label><Input><Text><Secret>true</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>singleauth_first_factor</Text><Type>nsg_confirmation</Type></Label><Input/></Requirement>
<Requirement><Credential><ID>saveCredentials</ID><Type>savecredentials</Type></Credential><Label><Text>singleauth_remember_my_password</Text><Type>nsg-login-label</Type></Label><Input><CheckBox><InitialValue>false</InitialValue></CheckBox></Input></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>singleauth_log_on</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>

Konfigurieren der Zwei-Faktor-Authentifizierung mit der Citrix ADC GUI

  1. Melden Sie sich bei der Citrix ADC Appliance an.
  2. Gehen Sie zu System > Authentifizierung > Erweiterte Richtlinien > Richtlinie .
  3. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der ersten Ebene zu erstellen.
  4. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest.
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Plus klicken und eine neue Aktion des richtigen Typs erstellen.
    4. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  5. Klicken Sie auf Erstellen und dann auf Schließen .
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der zweiten Ebene zu erstellen.
  8. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Symbol + klicken, um eine Aktion des richtigen Typs zu erstellen.
    4. Ausdruck. Bereitstellen eines erweiterten Richtlinienausdrucks
  9. Klicken Sie auf Erstellen und dann auf Schließen .
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  10. Klicken Sie auf Erstellen.
  11. Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Globale Bindung .
  12. Wählen Sie auf der Seite Globale Authentifizierungsrichtlinienbindung erstellen die Authentifizierungsrichtlinie der ersten Ebene aus, und klicken Sie auf Bindung hinzufügen .
  13. Wählen Sie auf der Seite Richtlinienbindung die Authentifizierungsrichtlinie aus, und legen Sie den folgenden Richtlinienbindungsparameter fest.
    1. Nächster Faktor. Wählen Sie die Bezeichnung der Authentifizierungsrichtlinie der zweiten Ebene aus.
  14. Klicken Sie auf Binden und Schließen .

    lokalisiertes Bild

  15. Klicken Sie auf Fertig.
  16. Melden Sie sich bei der Citrix ADC Appliance für die Authentifizierung der zweiten Ebene an. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen.

Weitere Informationen zum Konfigurieren des Anmeldeschemas finden Sie unterNative OTP-Unterstützungfeature.