-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
Vielen Dank für Ihr Feedback.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
E-Mail OTP-Authentifizierung
E-Mail OTP wird mit Citrix ADC 12.1 Build 51.x eingeführt. Mit der E-Mail OTP-Methode können Sie sich mit dem einmaligen Kennwort (OTP) authentifizieren, das an die registrierte E-Mail-Adresse gesendet wird. Wenn Sie versuchen, sich für einen Dienst zu authentifizieren, sendet der Server ein OTP an die registrierte E-Mail-Adresse des Benutzers.
Um die E-Mail-OTP-Funktion zu verwenden, müssen Sie zuerst Ihre alternative E-Mail-ID registrieren. Eine alternative E-Mail-ID-Registrierung ist erforderlich, damit das OTP an diese E-Mail-ID gesendet werden kann, da Sie nicht auf die primäre E-Mail-ID zugreifen können, wenn es eine Kontosperrung gab oder wenn Sie das AD-Kennwort vergessen haben.
Sie können die E-Mail-OTP-Validierung ohne E-Mail-ID-Registrierung verwenden, wenn Sie die alternative E-Mail-ID bereits als Teil eines AD-Attributs angegeben haben. Sie können in der E-Mail-Aktion auf dasselbe Attribut verweisen, anstatt die alternative E-Mail-ID im Abschnitt E-Mail-Adresse anzugeben.
Voraussetzungen
Bevor Sie die E-Mail-OTP-Funktion konfigurieren, überprüfen Sie die folgenden Voraussetzungen:
- Citrix ADC Feature Release 12.1 Build 51.28 und höher
- E-Mail-OTP-Funktion ist nur im nFactor-Authentifizierungsfluss verfügbar
- Weitere Informationen finden Sie unter https://support.citrix.com/pages/citrix-adc-authentication-how#nfactor
- Unterstützt für AAA-TM, Citrix Gateway (Browser, Native Plug-in und Receiver).
Active Directory-Einstellung
- Unterstützte Version ist 2016/2012 und 2008 Active Directory Domänenfunktionsebene
- Citrix ADC ldapBind-Benutzername muss Schreibzugriff auf den AD-Pfad des Benutzers haben
E-Mail-Server
-
Damit E-Mail-OTP-Lösung funktioniert, stellen Sie sicher, dass die Anmeldebasierte Authentifizierung auf dem SMTP-Server aktiviert ist. Citrix ADC unterstützt nur Authentifizierungsauthentifizierung, damit E-Mail OTP funktioniert.
-
Geben Sie den folgenden Befehl auf dem SMTP-Server ein, um sicherzustellen, dass die Authentifizierungsauthentifizierung aktiviert ist. Wenn die Anmeldebasierte Authentifizierung aktiviert ist, stellen Sie fest, dass der Text AUTH LOGIN in der Ausgabe fett angezeigt wird.
Einschränkungen
- Diese Funktion wird nur unterstützt, wenn das Authentifizierungs-Back-End LDAP ist.
- Bereits registrierte alternative E-Mail-ID kann nicht angezeigt werden.
- Nur die alternative E-Mail-ID von der KBA-Registrierungsseite kann nicht aktualisiert werden.
- KBA- und E-Mail-OTP-Authentifizierung und -Registrierung können nicht die ersten Faktoren im Authentifizierungsfluss sein. Dies ist durch Design, um eine robuste Authentifizierung zu erreichen.
- Dasselbe AD-Attribut muss für KBA und Alternative E-Mail-ID konfiguriert werden, wenn dieselbe Authentifizierungs-LDAP-Aktion verwendet wird.
- Bei nativem Plug-In und Receiver wird die Registrierung nur über einen Browser unterstützt.
Active Directory - Konfiguration
-
E-Mail-OTP verwendet das Active Directory Attribut als Benutzerdatenspeicher.
-
Nachdem Sie die alternative E-Mail-ID registriert haben, werden sie an die Citrix ADC Appliance gesendet, und die Appliance speichert sie im konfigurierten KB-Attribut im AD-Benutzerobjekt.
-
Die alternative E-Mail-ID wird verschlüsselt und im konfigurierten AD-Attribut gespeichert.
Berücksichtigen Sie beim Konfigurieren eines AD-Attributs Folgendes:
- Die Länge des unterstützten Attributnamens muss mindestens 128 Zeichen lang sein.
- Der Attributtyp muss ‘DirectoryString’ sein.
- Dasselbe AD-Attribut kann für native OTP- und KBA-Registrierungsdaten verwendet werden.
- Der LDAP-Administrator muss über Schreibzugriff auf das ausgewählte AD-Attribut verfügen.
Vorhandene Attribute verwenden
Das in diesem Beispiel verwendete Attribut lautet ‘Userparameters’. Da es sich um ein vorhandenes Attribut innerhalb des AD-Benutzers handelt, müssen Sie keine Änderungen am AD selbst vornehmen. Sie müssen jedoch sicherstellen, dass das Attribut nicht verwendet wird.
Um sicherzustellen, dass das Attribut nicht verwendet wird, navigieren Sie zu ADSI, wählen Sie Benutzer aus, klicken Sie mit der rechten Maustaste auf den Benutzer, und scrollen Sie nach unten zur Attributliste. Sie müssen den Attributwert für UserParameters als nicht festgelegtsehen. Dies zeigt an, dass das Attribut momentan nicht verwendet wird.
Konfigurieren von E-Mail-OTP
E-Mail-OTP-Lösung besteht aus den folgenden zwei Teilen:
- E-Mail-Registrierung
- E-Mail-Validierung
E-Mail-Registrierung
Es gibt zwei Möglichkeiten, die alternative E-Mail-ID eines Benutzers zu registrieren:
- Zusammen mit KBA-Registrierung
- Nur E-Mail-ID-Registrierung - Diese Methode wird von 13.0 Build 61.x und höher unterstützt; und 12.1 Build 58.x und höher.
Zusammen mit KBA-Registrierung
KBA-Registrierungs-LoginSchema
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema > Profile, und klicken Sie auf KBA Registration LoginSchema hinzufügen.
-
Konfigurieren des KBA-Registrierungsauthentifizierungsschemas. Dieses einmal generierte Loginschema zeigt alle Fragen an, die für den Endbenutzer während des Registrierungsvorgangs konfiguriert wurden. Aktivieren Sie im Abschnitt E-Mail-Registrierung die Option Alternative E-Mail registrieren, um die alternative E-Mail-ID des Benutzers zu registrieren.
-
Aktivieren Sie im Abschnitt E-Mail-Registrierung die Option Alternative E-Mail registrieren, um eine alternative E-Mail-ID zu registrieren.
Führen Sie die folgende Konfiguration mithilfe der CLI-Eingabeaufforderung aus, nachdem das oben genannte KBA-Registrierungsschema erfolgreich erstellt wurde.
-
Binden Sie das Portalthema und das Zertifikat an VPN global.
bind authentication vserver authvs -portaltheme RfWebUI bind vpn global -userDataEncryptionKey c1Hinweis:
Die vorherige Zertifikatbindung ist erforderlich, um die im AD-Attribut gespeicherten Benutzerdaten (KB Q&A und alternative E-Mail-ID registriert) zu verschlüsseln
-
Erstellen Sie eine LDAP-Authentifizierungsrichtlinie.
add authentication ldapAction ldap -serverIP 10.102.2.2 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword freebsd -ldapLoginName samAccountName -secType SSL add authentication Policy ldap -rule true -action ldap -
Erstellen Sie ein KBA-Registrierungs-Loginschema und PolicyLabel.
add authentication loginSchema Registrationschema -authenticationSchema /nsconfig/loginschema/LoginSchema/KBARegistrationSchema.xml [This is the authentication schema created in the previous section.] add authentication policylabel Registrationfactor -loginSchema Registrationschema add authentication ldapAction ldap_registration -serverIP 10.102.2.2 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword freebsd -ldapLoginName samAccountName -secType SSL -KBAttribute userParameters -alternateEmailAttr userParameters add authentication Policy ldap_registration -rule true -action ldap_registration bind authentication policylabel Registrationfactor -policyName ldap_registration -priority 1 -gotoPriorityExpression NEXT -
Binden Sie die Authentifizierungsrichtlinie an den virtuellen Authentifizierungsserver.
bind authentication vserver authvs – policy ldap -priority 1 -nextFactor Registrationfactor -gotoPriorityExpression NEXT -
Nachdem Sie alle in den vorherigen Abschnitten erwähnten Schritte konfiguriert haben, muss der folgende GUI-Bildschirm angezeigt werden. Wenn Sie beispielsweise über eine URL zugreifen, wird https://lb1.server.com/ Ihnen eine erste Anmeldeseite angezeigt, für die nur die LDAP-Anmeldeberechtigung erforderlich ist.
-
Nachdem Sie sich mit einem gültigen Berechtigungsnachweis angemeldet haben, wird die Seite zur Benutzerregistrierung wie folgt angezeigt.
-
Klicken Sie auf Absenden, damit die Benutzerregistrierung erfolgreich ist und die Sitzung erstellt werden soll.
Nur E-Mail-ID-Registrierung
Führen Sie die folgende Konfiguration mithilfe der CLI-Eingabeaufforderung aus, nachdem das oben erwähnte KBA-Registrierungsschema erfolgreich erstellt wurde:
-
Binden Sie das Portalthema und das Zertifikat an VPN global.
bind authentication vserver authvs -portaltheme RfWebUI bind vpn global -userDataEncryptionKey c1Hinweis:
Eine vorherige Zertifikatbindung ist erforderlich, um die im AD-Attribut gespeicherten Benutzerdaten (KB Q&A und alternative Mail-ID Registered) zu verschlüsseln.
-
Erstellen Sie eine LDAP-Authentifizierungsrichtlinie.
add authentication ldapAction ldap -serverIP 10.102.2.2 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword freebsd -ldapLoginName samAccountName -secType SSL add authentication Policy ldap -rule true -action ldap -
Erstellen Sie eine LDAP-Authentifizierungsrichtlinie für die E-Mail-Registrierung.
add authentication ldapAction ldap_email_registration -serverIP 10.102.2.2 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword freebsd -ldapLoginName samAccountName -secType SSL -KBAttribute userParameters -alternateEmailAttr userParameters add authentication Policy ldap_email_registration -rule true -action ldap_email_registration -
Erstellen Sie ein Loginschema und PolicyLabel für die E-Mail-Registrierung.
add authentication loginSchema onlyEmailRegistration -authenticationSchema /nsconfig/loginschema/LoginSchema/AltEmailRegister.xml add authentication policylabel email_Registration_factor -loginSchema onlyEmailRegistration bind authentication policylabel email_Registration_factor -policyName ldap_email_registration -priority 1 -gotoPriorityExpression NEXT -
Binden Sie die Authentifizierungsrichtlinie an den virtuellen Authentifizierungsserver.
bind authentication vserver authvs –policy ldap -priority 1 -nextFactor email_Registration_factor -gotoPriorityExpression NEXT -
Nachdem Sie alle in den vorherigen Abschnitten erwähnten Schritte konfiguriert haben, muss der folgende GUI-Bildschirm angezeigt werden. Wenn Sie beispielsweise über die URL zugreifen, wird https://lb1.server.com/ Ihnen eine erste Anmeldeseite angezeigt, die nur die Anmeldeinformationen für LDAP-Anmeldeinformationen erfordert, gefolgt von einer alternativen E-Mail-Registrierungsseite.
E-Mail-Validierung
Führen Sie die folgenden Schritte für Email validaition aus.
-
Binden Sie Portalthema und Zertifikat an VPN global
bind authentication vserver authvs -portaltheme RfWebUI bind vpn global -userDataEncryptionKey c1Hinweis:
Eine vorherige Zertifikatbindung ist erforderlich, um die im AD-Attribut gespeicherten Benutzerdaten (KB Q&A und alternative E-Mail-ID registriert) zu entschlüsseln.
-
Erstellen Sie eine LDAP-Authentifizierungsrichtlinie. LDAP muss ein Faktor für die E-Mail-Validierung sein, da Sie die E-Mail-ID des Benutzers oder eine alternative E-Mail-ID für die E-Mail-OTP-Validierung benötigen
add authentication ldapAction ldap1 -serverIP 10.102.2.2 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" - ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword freebsd -ldapLoginName samAccountName -secType SSL -KBAttribute userParameters -alternateEmailAttr userParameters add authentication Policy ldap1 -rule true -action ldap1 -
Erstellen einer Richtlinie zur E-Mail-Authentifizierung
add authentication emailAction email -userName sqladmin@aaa.com -password freebsd-encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.2.3.3:25" -content "OTP is $code" -defaultAuthenticationGroup emailgrp -emailAddress "aaa.user.attribute("alternate_mail")" add authentication Policy email -rule true –action emailIm zuvor erwähnten Befehl ist die E-Mail-Adresse der alternative E-Mail-ID-Benutzer, der während der KBA-Registrierung angegeben wurde.
-
Erstellen Sie eine Richtlinie zur Überprüfung von E-Mail-OTP-Validierungszeichen.
add authentication policylabel email_Validation_factor bind authentication policylabel email_Validation_factor -policyName email -priority 1 -gotoPriorityExpression NEXT -
Binden Sie die Authentifizierungsrichtlinie an den virtuellen Authentifizierungsserver
bind authentication vserver authvs – policy ldap1 -priority 1 -nextFactor email_Validation_factor -gotoPriorityExpression NEXT -
Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, müssen Sie den folgenden GUI-Bildschirm für die EMAIL OTP-Validierung sehen. Wenn Sie beispielsweise über die URL https://lb1.server.com/ zugreifen, erhalten Sie eine erste Anmeldeseite, die nur die LDAP-Anmeldeinformationen erfordert, gefolgt von der Seite EMAIL OTP Validierung.
Hinweis:
In der LDAP-Richtlinie ist es wichtig, alternateEmailAttr so zu konfigurieren, dass die E-Mail-ID des Benutzers aus dem AD-Attribut abfragen kann.
Problembehandlung
Bevor Sie das Protokoll analysieren, ist es besser, das Log-Level wie folgt auf Debug einzustellen.
set syslogparams -loglevel DEBUG
Registrierung — erfolgreiches Szenario
Die folgenden Einträge weisen auf eine erfolgreiche Benutzerregistrierung hin.
"ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1"
Nov 14 23:35:51 <local0.debug> 10.102.229.76 11/14/2018:18:05:51 GMT 0-PPE-1 : default SSLVPN Message 1588 0 : "ns_aaa_insert_hash_keyValue_entry key:alternate_mail value:eyJ2ZXJzaW9uIjoiMSIsICJraWQiOiIxbk1oWjN0T2NjLVVvZUx6NDRwZFhxdS01dTA9IiwgImtleSI6IlNiYW9OVlhKNFhUQThKV2dDcmJSV3pxQzRES3QzMWxINUYxQ0tySUpXd0h4SFRIdVlWZjBRRTJtM0ZiYy1RZmlQc0tMeVN2UHpleGlJc2hmVHZBcGVMZjY5dU5iYkYtYXplQzJMTFF1M3JINFVEbzJaSjdhN1pXUFhqbUVrWGdsbjdUYzZ0QWtqWHdQVUI3bE1FYVNpeXhNN1dsRkZXeWtNOVVnOGpPQVdxaz0iLCAiaXYiOiI4RmY3bGRQVzVKLVVEbHV4IiwgImFsZyI6IkFFUzI1Nl9HQ00ifQ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="
Registrierung — Szenario fehlgeschlagen
Auf der Benutzeranmeldeseite wird die folgende Fehlermeldung “Ihre Anfrage kann nicht abgeschlossen werden” angezeigt. Dies deutet darauf hin, dass der Certkey für die Verschlüsselung der Benutzerdaten an VPN global gebunden ist, fehlt.
Jul 31 08:51:46 <local0.info> 10.102.229.79 07/31/2020:03:21:4 6 GMT 0-PPE-1 : default SSLVPN Message 696 0 : "Encrypt UserData: No Encryption cert is bound to vpn global"
Jul 31 08:51:46 <local0.info> 10.102.229.79 07/31/2020:03:21:46 GMT 0-PPE-1 : default SSLVPN Message 697 0 : "KBA Register: Alternate email id Encrypted blob length is ZERO aaauser"
E-Mail-Überprüfung — Erfolgreiches Szenario
Die folgenden Einträge weisen auf eine erfolgreiche E-Mail-OTP-Validierung hin.
"NFactor: Successfully completed email auth, nextfactor is pwd_reset"
E-Mail-Validierung — Szenario fehlgeschlagen
Auf der Anmeldeseite des Benutzers wird die Fehlermeldung “Anfrage kann nicht abgeschlossen werden” angezeigt. Dies bedeutet, dass die Anmelde-basierte Authentifizierung auf dem E-Mail-Server nicht aktiviert ist und die gleiche muss aktiviert werden.
" /home/build/rs_130_36_15_RTM/usr.src/netscaler/aaad/pocomail.cpp[100]: void ThreadWorker_SendMailJob(SMTPJob*) 0-215: [POCO][JobID: 8]SMTP Configuration is Secure..
/home/build/rs_130_36_15_RTM/usr.src/netscaler/aaad/pocomail.cpp[108]: void ThreadWorker_SendMailJob(SMTPJob*) 0-215: [POCO][JobID: 8] First login succeeded
Wed Mar 4 17:16:28 2020
/home/build/rs_130_36_15_RTM/usr.src/netscaler/aaad/naaad.c[697]: main 0-0: timer 2 firing...
/home/build/rs_130_36_15_RTM/usr.src/netscaler/aaad/pocomail.cpp[127]: void ThreadWorker_SendMailJob(SMTPJob*) 0-0: [POCO-ERROR][JobID: 8] Poco SMTP Mail Dispatch Failed. SMTP TYPE:1, SMTPException: Exception occurs. SMTP Exception: The mail service does not support LOGIN authentication: 250-smtprelay.citrix.com Hello [10.9.154.239]
250-SIZE 62914560
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-BINARYMIME
250 CHUNKING
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.