Citrix ADC

NFactor-Authentifizierung konfigurieren

Mit der nFactor-Konfiguration können Sie mehrere Authentifizierungsfaktoren konfigurieren. Die nFactor-Konfiguration wird nur in Citrix ADC Advanced- und Premium-Editionen unterstützt.

Methoden zur Konfiguration von nFactor

Sie können die nFactor-Authentifizierung mit einer der folgenden Methoden konfigurieren:

  • nFactor Visualizer: nFactor Visualizer ermöglicht es Ihnen, Faktoren oder Richtlinienbeschriftungen einfach in einem einzigen Bereich miteinander zu verknüpfen und auch die Verknüpfung der Faktoren im selben Bereich zu ändern. Sie können mit dem Visualizer einen nFactor-Flow erstellen und diesen Fluss an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver binden. Einzelheiten zu nFactor Visualizer und ein Beispiel für eine nFactor-Konfiguration mit dem Visualizer finden Sie unter nFactor Visualizer für eine vereinfachte Konfiguration.

  • Citrix ADC GUI: Einzelheiten finden Sie im Abschnitt Konfigurationselemente, die an der nFactor Konfiguration beteiligt sind.

  • Citrix ADC CLI: Ein Beispielausschnitt zur nFactor-Konfiguration mit der Citrix ADC CLI finden Sie unter Beispielausschnitt zur nFactor-Konfiguration unter Verwendung der Citrix ADC CLI.

Wichtig: Dieses Thema enthält Details zum Konfigurieren von nFactor über die Citrix ADC GUI.

An der nFactor-Konfiguration beteiligte Konfigurationselemente

Die folgenden Elemente sind an der Konfiguration von nFactor beteiligt. Ausführliche Schritte finden Sie in den entsprechenden Abschnitten in diesem Thema.

Konfigurations-Element Zu erledigende Aufgaben
Virtueller AAA-Server Erstellen Sie einen virtuellen AAA-Server
  Binden Sie das Portal-Thema an den virtuellen AAA-Server
  Clientzertifikatauthentifizierung
Login-Schema Konfigurieren eines Anmeldeschemaprofils
  Erstellen und Binden einer Login-Schemarichtlinie
Erweiterte Authentifizierungsrichtlinien Erstellen erweiterter Authentifizierungsrichtlinien
  Binden Sie die erweiterte Authentifizierungsrichtlinie für den ersten Faktor an den virtuellen Citrix ADC AAA-Server
  Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen
Bezeichnung für Authentifizierungsricht Erstellen einer Authentifizierungsrichtlinien
  Beschriftung der Authentifizierungsrichtlinie binden
nFactor für Citrix Gateway Erstellen Sie ein Authentifizierungsprofil, um einen virtuellen Citrix ADC AAA-Server mit dem virtuellen Citrix Gateway-Server zu verbinden
  Konfigurieren von SSL-Parametern und CA-Zertifikat für Citrix Gateway
  Konfigurieren der Citrix Gateway-Verkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

So funktioniert nFactor

Wenn ein Benutzer eine Verbindung mit dem Authentifizierungs-, Autorisierungs- und Überwachungsserver oder dem virtuellen Citrix Gateway-Server herstellt, ist die Reihenfolge der Ereignisse wie folgt:

  1. Wenn die formularbasierte Authentifizierung verwendet wird, wird das Anmeldeschema angezeigt, das an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver gebunden ist.

  2. Erweiterte Authentifizierungsrichtlinien, die an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver gebunden sind, werden ausgewertet
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und wenn der nächste Faktor (Bezeichnung der Authentifizierungsrichtlinie) konfiguriert ist, wird der nächste Faktor ausgewertet. Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
    • Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck auf Weiter festgelegt ist, wird die nächste gebundene erweiterte Authentifizierungsrichtlinie ausgewertet. Wenn keine der erweiterten Authentifizierungsrichtlinien erfolgreich ist, schlägt die Authentifizierung fehl.
  3. Wenn an das Label der nächsten Faktor-Authentifizierungsrichtlinie ein Login-Schema gebunden ist, wird es dem Benutzer angezeigt.
  4. Die erweiterten Authentifizierungsrichtlinien, die an die Bezeichnung der nächsten Faktor-Authentifizierungsrichtlinie gebunden sind, werden ausgewertet
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und wenn der nächste Faktor (Bezeichnung der Authentifizierungsrichtlinie) konfiguriert ist, wird der nächste Faktor ausgewertet.
    • Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
  5. Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck Weiter ist, wird die nächste gebundene erweiterte Authentifizierungsrichtlinie ausgewertet.

  6. Wenn die Richtlinien erfolgreich sind, schlägt die Authentifizierung fehl.

Authentifizierung, Autorisierung und Überwachung des virtuellen Servers

Um nFactor mit Citrix Gateway zu verwenden, konfigurieren Sie es zunächst auf einem virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver. Anschließend verknüpfen Sie später den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver mit dem virtuellen Citrix Gateway-Server.

Erstellen von Authentifizierung, Autorisierung und Überwachung von Virtual Server

  1. Wenn die Authentifizierungs-, Autorisierungs- und Überwachungsfunktion noch nicht aktiviert ist, navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr, und klicken Sie mit der rechten Maustaste, um die Funktion zu aktivieren.

    Funktion aktivieren

  2. Navigieren Sie zu Konfiguration > Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server.

    Virtueller Server

  3. Klicken Sie auf Hinzufügen, um einen virtuellen Authentifizierungsserver zu erstellen.

    Virtuellen Server hinzufügen

  4. Geben Sie die folgenden Informationen ein und klicken Sie auf OK.

    Name des Parameters Beschreibung des Parameters
    Name Name für den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.
    Typ der IP-Adresse Ändern Sie den IP-Adresstyp in Nicht adressierbar, wenn dieser virtuelle Server nur für Citrix Gateway verwendet wird.

    Konfigurieren des virtuellen Servers

  5. Wählen Sie unter Zertifikat Kein Serverzertifikataus.

    Serverzertifikat

  6. Klicken Sie auf den Text, Klicken Sie, um das Serverzertifikat auszuwählen.

    Serverzertifikat wählen

  7. Klicken Sie auf das Optionsfeld neben einem Zertifikat für die Authentifizierung, Autorisierung und Überwachung von Virtual Server, und klicken Sie auf Auswählen. Das gewählte Zertifikat spielt keine Rolle, da auf diesen Server nicht direkt zugegriffen werden kann.

    Serverzertifikat auswählen2

  8. Klicken Sie auf Bind.

    Zertifikat binden

  9. Klicken Sie auf Weiter, um den Abschnitt Zertifikat zu schließen.

    Vollständige Zertifikatsdetails

  10. Klicken Sie auf Weiter.

    Vollständige Zertifikatsdetails2

Binden Sie das Portaldesign an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver

  1. Navigieren Sie zu Citrix Gateway > Portal Themes, und fügen Sie ein Thema hinzu. Sie erstellen das Design unter Citrix Gateway und binden es später an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    Portal-Thema

  2. Erstellen Sie ein Thema basierend auf dem RfWebUI-Vorlagenthema.

    Portalthema erstellen

  3. Nachdem Sie das Thema wie gewünscht angepasst haben, klicken Sie oben auf der Bearbeitungsseite des Portal-Themas auf Klicken, um das konfigurierte Thema zu binden und anzuzeigen.

    Portalthema binden

  4. Ändern Sie die Auswahl auf Authentifizierung. Wählen Sie im Dropdown-Menü Name des virtuellen Authentifizierungsservers den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver aus, klicken Sie auf Binden und Vorschau, und schließen Sie das Vorschaufenster.

    Vorschau der Bindung

Aktivieren der Clientzertifikatauthentifizierung

Wenn einer Ihrer Authentifizierungsfaktoren das Clientzertifikat ist, müssen Sie eine SSL-Konfiguration für den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver durchführen:

  1. Navigieren Sie zu Traffic Management > SSL > Certificates > CA Certificates, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Stammzertifikate haben keine Schlüsseldatei.

    CA-Zertifikat 1

    CA-Zertifikat 2

  2. Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern.

    SSL-Einstellungen

    1. Scrollen Sie nach unten, um zu überprüfen, ob StandardprofilAKTIVIERTist Wenn ja, müssen Sie ein SSL-Profil verwenden, um die Clientzertifikatauthentifizierung zu aktivieren. Andernfalls können Sie die Clientzertifikatauthentifizierung direkt auf dem virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver im Abschnitt SSL-Parameter aktivieren.
  3. Wenn Standard-SSL-Profile nicht aktiviert sind:

    1. Navigieren Sie zu Sicherheit > AAA — Anwendung > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    SSL-Profil

    1. Klicken Sie links im Abschnitt SSL-Parameter auf das Stiftsymbol.

    SSL-Profil bearbeiten

    1. Markieren Sie das Kästchen neben Clientauthentifizierung.

    2. Stellen Sie sicher, dass im Dropdown-Menü ClientzertifikatOptionalausgewählt ist, und klicken Sie aufOK.

    Optionales Clientzertifikat

  4. Wenn Standard-SSL-Profile aktiviert sind, erstellen Sie ein SSL-Profil mit aktivierter Clientauthentifizierung:

    1. Erweitern Sie im linken Menü System, und klicken Sie auf Profile.

    2. Wechseln Sie rechts oben zur Registerkarte SSL-Profil.

    3. Klicken Sie mit der rechten Maustaste auf das Profil ns_default_ssl_profile_frontend, und klicken Sie auf Hinzufügen. Dadurch werden Einstellungen aus dem Standardprofil kopiert.

    4. Gib dem Profil einen Namen. Der Zweck dieses Profils besteht darin, Clientzertifikate zu aktivieren.

    5. Scrollen Sie nach unten und suchen Sie das Kontrollkästchen Clientauthentifizierung Markieren Sie das Kästchen.

    6. Ändern Sie das Dropdown-Menü Clientzertifikat in OPTIONAL.

    7. Beim Kopieren des Standard-SSL-Profils werden die SSL-Verschlüsselungen nicht kopiert. Sie müssen sie wiederholen.

    8. Klicken Sie auf Fertig, wenn Sie das SSL-Profil erstellt haben.

    9. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und bearbeiten Sie einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    10. Scrollen Sie nach unten zum Abschnitt SSL-Profil und klicken Sie auf den Stift.

    11. Ändern Sie das Dropdown-Menü SSL-Profil in das Profil, für das Clientzertifikate aktiviert sind. Klicken Sie auf OK.

    12. Scrollen Sie in diesem Artikel nach unten, bis Sie die Anweisungen zum Binden des CA-Zertifikats erreichen.

  5. Klicken Sie links im Abschnitt Zertifikate auf die Stelle, an der kein CA-Zertifikatsteht.

    Kein CA-Zertifikat

  6. Klicken Sie auf den Text, klicken Sie zum Auswählen.

    CA-Zertifikat wählen

  7. Klicken Sie auf das Optionsfeld neben dem Stammzertifikat für den Aussteller der Clientzertifikate, und klicken Sie auf Auswählen.

    Root-Zertifikat

  8. Klicken Sie auf Bind.

    Binden Sie ein Zertifikat

Anmeldeschema-XML-Datei

Das Anmeldeschema ist eine XML-Datei, die die Struktur formularbasierter Authentifizierungs-Anmeldeseiten bereitstellt.

nFactor impliziert mehrere Authentifizierungsfaktoren, die miteinander verkettet sind. Jeder Faktor kann verschiedene Login-Schema-Seiten/Dateien haben. In einigen Authentifizierungsszenarien können Benutzern mehrere Anmeldebildschirme angezeigt werden.

Konfigurieren eines Login-Schema-Profils

So konfigurieren Sie ein Login-Schema-Profil:

  1. Erstellen oder bearbeiten Sie eine .XML-Datei für das Login Schema basierend auf Ihrem nFactor-Design.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    Login-Schema

  3. Wechseln Sie rechts zur Registerkarte Profile und klicken Sie auf Hinzufügen.

    Register "Profile"

  4. Klicken Sie im Feld Authentifizierungsschema auf das Stiftsymbol.

    Schema bearbeiten

  5. Klicken Sie auf den Ordner LoginSchema, um die darin enthaltenen Dateien zu sehen.

    Liste der Anmeldeschemas

  6. Markieren Sie eine der Dateien. Auf der rechten Seite sehen Sie eine Vorschau. Die Beschriftungen können geändert werden, indem Sie oben rechts auf die Schaltfläche Bearbeiten klicken.

    Schema bearbeiten

  7. Wenn Sie die Änderungen speichern, wird unter /NSConfig/loginSchema eine neue Datei erstellt.

    Schema speichern

  8. Klicken Sie rechts oben auf Auswählen.

    Wählen Sie ein Schema

  9. Geben Sie dem Anmeldeschema einen Namen und klicken Sie auf “ Mehr”.

    Namensschema

  10. Verwenden Sie den Benutzernamen und das Kennwort, die im Anmeldeschema für Single Sign-On (SSO) für einen Back-End-Dienst, z. B. StoreFront, eingegeben wurden.

    Sie können die im Anmeldeschema eingegebenen Anmeldeinformationen als Single Sign-On-Anmeldeinformationen verwenden, indem Sie eine der folgenden Methoden verwenden.

    • Klicken Sie unten auf der Seite Authentifizierungsanmeldeschema erstellen auf Mehr und wählen Sie Single Sign On Credentials aktivierenaus.

    • Klicken Sie unten auf der Seite Authentifizierungsanmeldeschema erstellen auf Mehr, und geben Sie eindeutige Werte für den Index der Benutzeranmeldeinformationen und den Index für Kennwort-Anmeldeinformationen ein. Diese Werte können zwischen 1 und 16 liegen. Später verweisen Sie auf diese Indexwerte in einer Verkehrsrichtlinien/einem Profil, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (#) verwenden.

    Anmeldeschema für die Authentifizierung erstellen

  11. Klicken Sie auf OK, um das Login-Schemaprofil zu erstellen.

    Hinweis: Wenn Sie die Anmeldeschemadatei (.xml) später bearbeiten, müssen Sie das Anmeldeschemaprofil bearbeiten und die Anmeldeschemadatei (.xml-Datei) erneut auswählen, damit Änderungen übernommen werden.

Erstellen und Binden einer Login-Schemarichtlinie

Um ein Anmeldeschemaprofil an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, müssen Sie zunächst eine Richtlinie für das Anmeldeschema erstellen. Login-Schema-Richtlinien sind nicht erforderlich, wenn das Anmeldeschemaprofil an eine Authentifizierungsrichtlinienbezeichnung gebunden wird, wie später beschrieben.

So erstellen und binden Sie eine Login-Schema-Richtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    Erstellen eines Anmeldeschemas

  2. Klicken Sie auf der Registerkarte Policies auf Add.

    Register "Richtlinien"

  3. Verwenden Sie das Dropdown-Menü Profil, um das Anmeldeschema-Profil auszuwählen, das Sie bereits erstellt haben.

  4. Geben Sie in das Feld Regel einen erweiterten Richtlinienausdruck ein und klicken Sie auf Erstellen.

    Regel

  5. Navigieren Sie auf der linken Seite zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

    Virtueller Server

  6. Klicken Sie in der Spalte Erweiterte Einstellungen auf Anmeldeschemas.

    Erweiterte Einstellungen für das Anmeldeschema

  7. Klicken Sie im Abschnitt Anmeldeschemas auf den Text Kein Anmeldeschema.

    Kein Anmeldeschema

  8. Klicken Sie auf den Text, klicken Sie zum Auswählen.

    Wählen Sie Kein Anmeldeschema

  9. Klicken Sie auf das Optionsfeld neben der Richtlinie für das Anmeldeschema und dann auf Auswählen. In dieser Liste werden nur Login-Schema-Richtlinien angezeigt. Login-Schemaprofile (ohne Richtlinie) werden nicht angezeigt.

    Bin-Anmeldeschema

  10. Klicken Sie auf Bind.

Erweiterte Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienmaßnahmen. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Erstellen erweiterter Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienaktion. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Sie benötigen Authentifizierungsaktionen/Server (z. B. LDAP, RADIUS, CERT, SAML usw.) Beim Erstellen einer erweiterten Authentifizierungsrichtlinie gibt es ein Pluszeichen (Hinzufügen), mit dem Sie Authentifizierungsaktionen/Server erstellen können.

Oder Sie können Authentifizierungsaktionen (Server) erstellen, bevor Sie die erweiterte Authentifizierungsrichtlinie erstellen. Die Authentifizierungsserver befinden sich unter Authentifizierung > Dashboard. Klicken Sie auf der rechten Seite auf Hinzufügen, und wählen Sie einen Servertyp aus. Die Anweisungen zum Erstellen dieser Authentifizierungsserver sind hier nicht detailliert. Siehe die Verfahren Authentifizierung — NetScaler 12/Citrix ADC 12.1.

So erstellen Sie eine erweiterte Authentifizierungsrichtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie

    Fortgeschrittene Richtlinie 1

  2. Führen Sie im Detailbereich einen der folgenden Schritte aus:
    • Um eine Richtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus und klicken dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen oder Authentifizierungsrichtlinie konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    Erstellen einer erweiterten Richtlinie

    • Name — Der Name der Richtlinie. Für eine zuvor konfigurierte Richtlinie kann nicht geändert werden.
    • Aktionstyp - Der Richtlinientyp: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS oder WEBAUTH.
    • Aktion - Die Authentifizierungsaktion (Profil), die mit der Richtlinie verknüpft werden soll. Sie können eine bestehende Authentifizierungsaktion auswählen oder auf das Plus klicken und eine Aktion des richtigen Typs erstellen.
    • Protokollaktion — Die mit der Richtlinie zu verknüpfen Überwachungsaktion. Sie können eine bestehende Audit-Aktion auswählen oder auf das Plus klicken und eine Aktion erstellen. Sie haben keine Aktionen konfiguriert, oder um eine Aktion zu erstellen, klicken Sie auf Hinzufügen und führen Sie die Schritte aus.
    • Ausdruck — Die Regel, die Verbindungen auswählt, auf die Sie die angegebene Aktion anwenden möchten. Die Regel kann einfach (“wahr” wählt den gesamten Verkehr aus) oder komplex sein. Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unter dem Ausdrucksfenster auswählen und dann Ihren Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen, und die darin bezeichnenden Dropdownlisten verwenden, um Ihre Ausdruck.)
    • Kommentar - Sie können einen Kommentar eingeben, der die Art des Datenverkehrs beschreibt, für den diese Authentifizierungsrichtlinie gilt. Optional.
  4. Klicken Sie auf Create und dann auf Close. Wenn Sie eine Richtlinie erstellt haben, wird diese Richtlinie auf der Seite Authentifizierungsrichtlinien und Server angezeigt.

Erstellen Sie je nach Bedarf zusätzliche erweiterte Authentifizierungsrichtlinien basierend auf Ihrem nFactor-Design.

Binden Sie die erweiterte Authentifizierungsrichtlinie des ersten Faktors an Authentifizierung, Autorisierung und Überwachung

Sie können erweiterte Authentifizierungsrichtlinien direkt für den ersten virtuellen Faktor-Authentifizierungs-, Autorisierungs- und Überwachungsserver binden. Für die nächsten Faktoren müssen Sie die erweiterten Authentifizierungsrichtlinien an die Bezeichnungen der Authentifizierungsrichtlinie binden.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Bearbeiten Sie einen vorhandenen virtuellen Server.

Virtuellen Server bearbeiten

  1. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie.

    Keine Authentifizierungsrichtlinie

  2. Klicken Sie unter Richtlinie auswählenauf den Text und klicken Sie zum Auswählen.

    Wählen Sie keine Authentifizierung

  3. Klicken Sie auf das Optionsfeld neben der erweiterten Authentifizierungsrichtlinieund dann auf Auswählen.

    l Option wählen

  4. Im Abschnitt “Bindungsdetails” bestimmt der Gehe zu Ausdruck, was als Nächstes passiert, wenn diese erweiterte Authentifizierungsrichtlinie fehlschlägt.
    • Wenn Gehe zu Ausdruck aufNEXTfestgelegt ist, wird die nächste erweiterte Authentifizierungsrichtlinie ausgewertet, die an diesen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver gebunden ist.
    • Wenn Gehe zu Ausdruck aufENDgesetzt ist oder wenn keine erweiterten Authentifizierungsrichtlinien mehr an diesen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver gebunden sind, wird die Authentifizierung abgeschlossen und als fehlgeschlagen markiert.

    Bind-Richtlinie

  5. Unter Nächsten Faktor auswählenkönnen Sie auswählen, dass auf eine Authentifizierungsrichtlinienbeschriftung verweisen kann. Der nächste Faktor wird nur bewertet, wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist. Klicken Sie abschließend auf Bind.

    Richtlinie 2 binden

Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen

Sie können extrahierte LDAP-Gruppen verwenden, um den nächsten Authentifizierungsfaktor ohne tatsächliche Authentifizierung mit LDAP auszuwählen.

  1. Deaktivieren Sie beim Erstellen oder Bearbeiten eines LDAP-Servers oder einer LDAP-Aktion das Kontrollkästchen Authentifizierung .
  2. Wählen Sie unter Andere Einstellungendie entsprechenden Werte in Gruppenattribut und Unterattributnameaus.

Authentifizieren Sie das Policy Label

Wenn Sie eine erweiterte Authentifizierungsrichtlinie an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver binden und einen nächsten Faktor ausgewählt haben, wird der nächste Faktor nur dann ausgewertet, wenn die erweiterte Authentifizierungsrichtlinie verwendet wird. Der nächste Faktor, der ausgewertet wird, ist ein Label für die Authentifizierungsrichtlinie.

Das Label der Authentifizierungsrichtlinie gibt eine Sammlung von Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Es gibt auch das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Die Bezeichnung der Authentifizierungsrichtlinie muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein.

Hinweis: Jeder Faktor benötigt kein Login-Schema. Das Anmeldeschemaprofil ist nur erforderlich, wenn Sie ein Anmeldeschema an ein Authentifizierungsrichtlinienlabel binden.

Erstellen einer Bezeichnung für die Authentifizierungsrichtlinie

Ein Policy Label gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Das Policy Label gibt das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Das Policy Label muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein. In der Regel enthält ein Policy Label Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Policy Label haben, das Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen enthält.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung.

    Richtlinien-Beschriftung 1

  2. Klicken Sie auf die Schaltfläche Hinzufügen.

    Richtlinienbezeichnung hinzufügen1

  3. Füllen Sie die folgenden Felder aus, um ein Authentifizierungsrichtlinienlabel zu erstellen:

    a) Geben Sie den Namen für das neue Label für die Authentifizierungsrichtlinie ein.

    b) Wählen Sie das Login-Schema aus, das der Bezeichnung der Authentifizierungsrichtlinie WENN Sie dem Benutzer nichts anzeigen möchten, können Sie ein Anmeldeschemaprofil auswählen, das auf kein Schema festgelegt ist (LSCHEMA_INT).

    c) Klicken Sie auf “ Weiter”.

    Continue

  4. Klicken Sie im Abschnitt Richtlinienbindung auf die Stelle, an der zum Auswählen klicken angezeigtwird.

  5. Wählen Sie die Authentifizierungsrichtlinie aus, die diesen Faktor auswertet.

    Policy Label binden

  6. Füllen Sie die folgenden Felder aus:

    a) Geben Sie die Priorität der Policy-Bindung ein.

    b) Wählen Sie in Gehe zu Ausdruck die Option NEXT aus, wenn Sie erweiterte Authentifizierungsrichtlinien an diesen Faktor binden möchten, oder wählen Sie END.

    Ausdruck

  7. Wenn Sie unter Nächsten Faktor auswähleneinen weiteren Faktor hinzufügen möchten, klicken Sie auf, um das nächste Authentifizierungsrichtlinienlabel auszuwählen und zu binden (nächster Faktor). Wenn Sie den nächsten Faktor nicht auswählen und diese erweiterte Authentifizierungsrichtlinie erfolgreich ist, ist die Authentifizierung erfolgreich und abgeschlossen.
  8. Klicken Sie auf Bind.

  9. Sie können auf Bindung hinzufügen klicken, um dieser Richtlinienbezeichnung (Faktor) erweiterte Authentifizierungsrichtlinien hinzuzufügen. Klicken Sie nach Abschluss auf Fertig .

    Binding hinzufügen

Beschriftung der Authentifizierungsrichtlinie binden

Nachdem Sie das Policy Label erstellt haben, binden Sie es an eine vorhandene erweiterte Authentifizierungsrichtlinienbindung, um die Faktoren miteinander zu verketten.

Sie können den nächsten Faktor auswählen, wenn Sie einen vorhandenen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver bearbeiten, der über eine erweiterte Authentifizierungsrichtlinie gebunden ist, oder wenn Sie eine andere Policy Label bearbeiten, um den nächsten Faktor einzubeziehen.

So bearbeiten Sie einen vorhandenen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver, an den bereits eine erweiterte Authentifizierungsrichtlinie gebunden ist

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Wählen Sie den virtuellen Server aus und klicken Sie auf Bearbeiten.

    Virtuellen Server bearbeiten

  2. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf eine bestehende Authentifizierungsrichtlinienbindung.

    Virtuellen Server 2 bearbeiten

  3. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    Aktion auswählen

  4. Klicken Sie unter Nächsten Faktor auswählenauf und wählen Sie ein vorhandenes Authentifizierungsrichtlinienlabel aus (nächster Faktor).

    Nächsten Faktor wählen

  5. Klicken Sie auf Bind. Den nächsten Faktor sehen Sie ganz rechts.

    Nächsten Faktor binden

So fügen Sie eine Policy Label als nächsten Faktor zu einem anderen Policy Label hinzu

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung. Wählen Sie ein anderes Policy Label aus und klicken Sie auf Bearbeiten.

    Policy Label hinzufügen

  2. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    Aktion bearbeiten

  3. Klicken Sie unter Bindungsdetails > Nächsten Faktorauswählen auf, um den nächsten Faktor auszuwählen.
  4. Wählen Sie das Policy Label für den nächsten Faktor und klicken Sie auf die Schaltfläche Auswählen .

    Datenfluß bearbeiten

  5. Klicken Sie auf Bind Den nächsten Faktor sehen Sie auf der rechten Seite.

    Binden

nFactor für Citrix Gateway

Um nFactor auf dem Citrix Gateway zu aktivieren, muss ein Authentifizierungsprofil mit einem virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver verknüpft sein.

Erstellen eines Authentifizierungsprofils, um einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver mit dem virtuellen Citrix Gateway

  1. Navigieren Sie zu Citrix Gateway > Virtuelle Server und wählen Sie einen vorhandenen virtuellen Gateway-Server aus, der bearbeitet werden soll.

    Gatewayserver bearbeiten

  2. Klicken Sie in Erweiterte Einstellungenauf Authentifizierungsprofil.

  3. Klicken Sie unter Authentifizierungsprofil auf Hinzufügen.

    Authentifizierungsprofil hinzufügen

  4. Geben Sie den Namen für das Authentifizierungsprofil ein und klicken Sie auf die Stelle, an der es heißt Klicken zur Auswahl

    Profil zur Namensauthentifizierung

  5. Wählen Sie unter Virtueller Authentifizierungsserver einen vorhandenen Server aus, auf dem das Anmeldeschema, eine erweiterte Authentifizierungsrichtlinie und Bezeichnungen für Authentifizierungsrichtlinien konfiguriert sind. Sie können auch einen virtuellen Authentifizierungsserver erstellen. Der virtuelle Authentifizierungs-, Autorisierungs- und Überwachungsserver benötigt keine IP-Adresse. Klicken Sie auf Select.

    Wählen Sie einen virtuellen Server

  6. Klicken Sie auf Erstellen.

    Profil erstellen

  7. Klicken Sie auf OK um den Abschnitt Authentifizierungsprofil zu schließen.

    Profilerstellung schließen

Hinweis: Wenn Sie einen der Faktoren als Clientzertifikate konfiguriert haben, müssen SSL-Parameter und CA-Zertifikat konfiguriert werden.

Nachdem Sie das Authentifizierungsprofil mit einem virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver verknüpft haben und wenn Sie zu Ihrem Citrix Gateway navigieren, können Sie die nFactor-Authentifizierungsbildschirme anzeigen.

Konfigurieren von SSL-Parametern und CA-Zertifikat

Wenn einer der Authentifizierungsfaktoren ein Zertifikat ist, müssen Sie eine SSL-Konfiguration auf dem virtuellen Citrix Gateway-Server durchführen.

  1. Navigieren Sie zu Traffic Management > SSL > Certificates > CA Certificates, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Zertifikate von Certificate Authority benötigen keine Schlüsseldateien.

    Wenn Standard-SSL-Profile aktiviert sind, haben Sie bereits ein SSL-Profil erstellt, für das die Clientauthentifizierung aktiviert ist.

  2. Navigieren Sie zu Citrix Gateway > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen Citrix Gateway-Server, der für nFactor aktiviert ist.

    • Wenn Standard-SSL-Profile aktiviert sind, klicken Sie auf das Bearbeitungssymbol.
    • Wählen Sie in der Liste SSL-Profil das SSL-Profil aus, für das die Clientauthentifizierung aktiviert und auf OPTIONAL festgelegt ist.

    • Wenn Standard-SSL-Profile nicht aktiviert sind, klicken Sie auf das Bearbeitungssymbol.
    • Aktivieren Sie das Kontrollkästchen Clientauthentifizierung.
    • Stellen Sie sicher, dass das Clientzertifikat auf Optional festgelegt ist
  3. Klicken Sie auf OK.

  4. Klicken Sie im Abschnitt Zertifikate auf Kein CA-Zertifikat.

  5. Klicken Sie unter Select CA Certificate auf, um das Stammzertifikat für den Aussteller der Clientzertifikate auszuwählen und auszuwählen.

  6. Klicken Sie auf Bind.

Hinweis: Möglicherweise müssen Sie auch alle Zwischen-CA-Zertifikate binden, die die Clientzertifikate ausgestellt haben.

Konfigurieren der Citrix Gateway-Verkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

Für die einmalige Anmeldung bei StoreFront verwendet nFactor standardmäßig das zuletzt eingegebene Kennwort. Wenn LDAP nicht das zuletzt eingegebene Kennwort ist, müssen Sie eine Verkehrsrichtlinie/ein Profil erstellen, um das standardmäßige nFactor-Verhalten zu überschreiben.

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Verkehr.

    Richtlinie für den Verkehr

  2. Klicken Sie auf der Registerkarte Verkehrsprofile auf Hinzufügen.

    Verkehrsrichtlinie hinzufügen

  3. Geben Sie einen Namen für das Verkehrsprofil ein. Wählen Sie das HTTP-Protokoll aus. Wählen Sie unter Einmaliges Anmelden die Option ON aus.

    Verkehrsrichtlinie hinzufügen2

  4. Geben Sie im SSO-Ausdruckeinen AAA.USER.ATTRIBUTE (#) -Ausdruck ein, der den im Anmeldeschema angegebenen Indizes entspricht, und klicken Sie auf Erstellen.

    Hinweis Der AAA.USER-Ausdruck ist jetzt implementiert, um die veralteten HTTP.REQ.USER-Ausdrücke zu ersetzen.

    Verkehrsrichtlinie hinzufügen3

  5. Klicken Sie auf die Registerkarte Verkehrsrichtlinien und dann auf Hinzufügen.

    Geben Sie einen Namen für die Richtlinie ein. Wählen Sie das im vorherigen Schritt erstellte Verkehrsprofil aus. Geben Sie unter Ausdruck einen erweiterten Ausdruck ein, z. B. wahr. Klicken Sie auf Erstellen.

    Verkehrsrichtlinie hinzufügen4

  6. Navigieren Sie zu Citrix Gateway > Citrix Gateway Virtual Server.

    • Wählen Sie einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
    • Klicken Sie im Abschnitt Richtlinien auf das +-Zeichen.
    • Wählen Sie unter Richtlinie wählen die Option Traffic aus.
    • Wählen Sie unter Typ wählen die Option Anfrage aus.
    • Wählen Sie die von Ihnen erstellte Traffic-Richtlinie aus und klicken Sie dann auf Bind.

    Verkehrsrichtlinie hinzufügen5

Beispiel-Snippet zur nFactor-Konfiguration mithilfe der Citrix ADC CLI

Um die schrittweisen Konfigurationen für die nFactor-Authentifizierung zu verstehen, sollten wir eine Zwei-Faktor-Authentifizierungsbereitstellung in Betracht ziehen, bei der der erste Faktor die LDAP-Authentifizierung und der zweite Faktor die RADIUS-Authentifizierung ist.

Bei dieser Beispielbereitstellung muss sich der Benutzer mit einem einzigen Anmeldeformular bei beiden Faktoren anmelden. Daher definieren wir ein einziges Anmeldeformular, das zwei Kennwörter akzeptiert. Das erste Kennwort wird für die LDAP-Authentifizierung und das andere für die RADIUS-Authentifizierung verwendet. Hier sind die Konfigurationen, die ausgeführt werden:

  1. Konfigurieren des virtuellen Lastausgleichsservers für die Authentifizierung

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON

  2. Konfigurieren Sie den virtuellen Authentifizierungsserver.

    add authentication vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Konfigurieren Sie das Anmeldeschema für das Anmeldeformular und binden Sie es an eine Richtlinie für das Anmeldeschema.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    Hinweis:

    Verwenden Sie den Benutzernamen und eines der Kennwörter, die im Anmeldeschema für Single Sign-On (SSO) für einen Back-End-Dienst eingegeben wurden, z. B. StoreFront. Sie können diese Indexwerte in der Verkehrsaktion referenzieren, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (#) verwenden. Die Werte können zwischen 1 und 16 liegen.

    Alternativ können Sie die im Anmeldeschema eingegebenen Anmeldeinformationen als Single Sign-On-Anmeldeinformationen verwenden, indem Sie den folgenden Befehl verwenden.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES
    
     add authentication loginSchemaPolicy login1 -rule true -action login1
    <!--NeedCopy-->
    
  4. Konfigurieren Sie ein Anmeldeschema für den Passthrough und binden Sie es an ein Policy Label

    add authentication loginSchema login2 -authenticationSchema noschema
    
    add authentication policylabel label1 -loginSchema login2
    <!--NeedCopy-->
    
  5. Konfigurieren Sie die LDAP- und RADIUS-Richtlinien.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    
    add authentication Policy ldap -rule true -action ldapAct1
    
    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    
    add authentication Policy radius -rule true -action radius
    <!--NeedCopy-->
    
  6. Binden Sie die Richtlinie für das Anmeldeschema an den virtuellen Authentifizierungsserver

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  7. Binden Sie die LDAP-Richtlinie (erster Faktor) an den virtuellen Authentifizierungsserver.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    <!--NeedCopy-->
    
  8. Binden Sie die RADIUS-Richtlinie (zweiter Faktor) an die Bezeichnung der Authentifizierungsrichtlinie.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end
    <!--NeedCopy-->