Citrix ADC

NFactor-Authentifizierung konfigurieren

Sie können mehrere Authentifizierungsfaktoren mithilfe der nFactor-Konfiguration und nicht nur mit zwei Faktoren konfigurieren. Die nFactor-Konfiguration wird nur in Citrix ADC Advanced- und Premium-Editionen unterstützt.

Methoden zur Konfiguration von nFactor

Sie können die nFactor-Authentifizierung mit einer der folgenden Methoden konfigurieren:

  • nFactor Visualizer: nFactor Visualizer ermöglicht es Ihnen, Faktoren oder Richtlinienbeschriftungen einfach in einem einzigen Bereich miteinander zu verknüpfen und auch die Verknüpfung der Faktoren im selben Bereich zu ändern. Sie können einen nFactor-Flow mit dem Visualizer erstellen und diesen Flow an einen virtuellen Citrix ADC AAA-Server binden. Weitere Informationen zu nFactor Visualizer und eine Beispiel-nFactor-Konfiguration mit Visualizer finden Sie unter nFactor Visualizer für eine vereinfachte Konfiguration.

  • Citrix ADC GUI: Einzelheiten finden Sie im Abschnitt Konfigurationselemente, die an der nFactor Konfiguration beteiligt sind.

  • Citrix ADC CLI: Ein Beispielausschnitt zur nFactor-Konfiguration mit der Citrix ADC CLI finden Sie unter Beispielausschnitt zur nFactor-Konfiguration unter Verwendung der Citrix ADC CLI.

Wichtig: Dieses Thema enthält Details zum Konfigurieren von nFactor über die Citrix ADC GUI.

An der nFactor-Konfiguration beteiligte Konfigurationselemente

Die folgenden Elemente sind an der Konfiguration von nFactor beteiligt. Ausführliche Schritte finden Sie in den entsprechenden Abschnitten in diesem Thema.

Konfigurations-Element Zu erledigende Aufgaben
Virtueller AAA-Server Erstellen Sie einen virtuellen AAA-Server
  Binden Sie das Portal-Thema an den virtuellen AAA-Server
  Clientzertifikatauthentifizierung
Login-Schema Konfigurieren eines Login-Schema-Profils
  Erstellen und Binden einer Login-Schemarichtlinie
Erweiterte Authentifizierungsrichtlinien Erstellen erweiterter Authentifizierungsrichtlinien
  Binden Sie die erweiterte Authentifizierungsrichtlinie für den ersten Faktor an den virtuellen Citrix ADC AAA-Server
  Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen
Bezeichnung für Authentifizierungsricht Erstellen einer Authentifizierungsrichtlinien
  Beschriftung der Authentifizierungsrichtlinie binden
nFactor für Citrix Gateway Erstellen Sie ein Authentifizierungsprofil, um einen virtuellen Citrix ADC AAA-Server mit dem virtuellen Citrix Gateway-Server zu verbinden
  Konfigurieren von SSL-Parametern und CA-Zertifikat für Citrix Gateway
  Konfigurieren der Citrix Gateway-Verkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

So funktioniert nFactor

Wenn ein Benutzer eine Verbindung zum virtuellen Citrix ADC AAA- oder Citrix Gateway-Server herstellt, lautet die Abfolge der Ereignisse wie folgt:

  1. Wenn eine formularbasierte Authentifizierung verwendet wird, wird das an den virtuellen Citrix ADC AAA-Server gebundene Anmeldeschema angezeigt.

  2. Erweiterte Authentifizierungsrichtlinien, die an den virtuellen Citrix ADC AAA-Server gebunden sind, werden ausgewertet.
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und der nächste Faktor (Authentifizierungsrichtlinienbezeichnung) konfiguriert ist, wird der nächste Faktor ausgewertet. Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
    • Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck auf Weiter festgelegt ist, wird die Richtlinie für die nächste gebundene erweiterte Authentifizierung ausgewertet. Wenn keine der erweiterten Authentifizierungsrichtlinien erfolgreich ist, schlägt die Authentifizierung fehl.
  3. Wenn an das Label der nächsten Faktor-Authentifizierungsrichtlinie ein Login-Schema gebunden ist, wird es dem Benutzer angezeigt.
  4. Die erweiterten Authentifizierungsrichtlinien, die an das Label für die Authentifizierungsrichtlinie des nächsten Faktors gebunden sind,
    • Wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist und der nächste Faktor (Authentifizierungsrichtlinienbezeichnung) konfiguriert ist, wird der nächste Faktor ausgewertet.
    • Wenn Next Factor nicht konfiguriert ist, ist die Authentifizierung abgeschlossen und erfolgreich.
  5. Wenn die erweiterte Authentifizierungsrichtlinie fehlschlägt und Gehe zu Ausdruck Weiter ist, wird die nächste gebundene erweiterte Authentifizierungsrichtlinie ausgewertet.

  6. Wenn keine der erweiterten Authentifizierungsrichtlinien erfolgreich ist, schlägt die Authentifizierung fehl.

Virtueller AAA-Server

Um nFactor mit Citrix Gateway zu verwenden, konfigurieren Sie es zuerst auf einem virtuellen AAA-Server. Dann verbinden Sie später den virtuellen AAA-Server mit dem virtuellen Citrix Gateway-Server.

Erstellen Sie einen virtuellen AAA-Server

  1. Wenn die AAA-Funktion noch nicht aktiviert ist, navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr, und klicken Sie mit der rechten Maustaste, um die Funktion zu aktivieren.

    Lokalisiertes Bild

  2. Navigieren Sie zu Konfiguration > Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server.

    Lokalisiertes Bild

  3. Klicken Sie auf Hinzufügen, um einen virtuellen Authentifizierungsserver zu erstellen.

    Lokalisiertes Bild

  4. Geben Sie die folgenden Informationen ein und klicken Sie auf OK.

    Name des Parameters Beschreibung des Parameters
    Name Name für den virtuellen AAA-Server.
    Typ der IP-Adresse Ändern Sie den IP-Adresstyp in Nicht adressierbar, wenn dieser virtuelle Server nur für Citrix Gateway verwendet wird.

    Lokalisiertes Bild

  5. Wählen Sie unter Zertifikat Kein Serverzertifikataus.

    Lokalisiertes Bild

  6. Klicken Sie auf den Text, Klicken Sie, um das Serverzertifikat auszuwählen.

    Lokalisiertes Bild

  7. Klicken Sie auf das Optionsfeld neben einem Zertifikat für den virtuellen AAA-Server, und klicken Sie auf Auswählen. Das gewählte Zertifikat spielt keine Rolle, da auf diesen Server nicht direkt zugegriffen werden kann.

    Lokalisiertes Bild

  8. Klicken Sie auf Bind.

    Lokalisiertes Bild

  9. Klicken Sie auf Weiter, um den Abschnitt Zertifikat zu schließen.

    Lokalisiertes Bild

  10. Klicken Sie auf Weiter.

    Lokalisiertes Bild

Binden Sie das Portal-Thema an den virtuellen AAA-Server

  1. Navigieren Sie zu Citrix Gateway > Portal Themes, und fügen Sie ein Thema hinzu. Sie erstellen das Thema unter Citrix Gateway und binden es später an den virtuellen AAA-Server.

    Lokalisiertes Bild

  2. Erstellen Sie ein Thema basierend auf dem RfWebUI-Vorlagenthema.

    Lokalisiertes Bild

  3. Nachdem Sie das Thema wie gewünscht angepasst haben, klicken Sie oben auf der Bearbeitungsseite des Portal-Themas auf Klicken, um das konfigurierte Thema zu binden und anzuzeigen.

    Lokalisiertes Bild

  4. Ändern Sie die Auswahl auf Authentifizierung. Wählen Sie im Dropdown-Menü Name des virtuellen Authentifizierungsservers den virtuellen AAA-Server aus, klicken Sie auf Binden und Vorschau, und schließen Sie das Vorschaufenster.

    Lokalisiertes Bild

Clientzertifikatauthentifizierung

Wenn einer Ihrer Authentifizierungsfaktoren das Clientzertifikat ist, müssen Sie eine SSL-Konfiguration auf dem virtuellen AAA-Server durchführen:

  1. Navigieren Sie zu Traffic Management > SSL > Certificates > CA Certificates, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Stammzertifikate haben keine Schlüsseldatei.

    Lokalisiertes Bild

    Lokalisiertes Bild

  2. Navigieren Sie zu Traffic Management > SSL > Erweiterte SSL-Einstellungen ändern.

    Lokalisiertes Bild

    a. Scrollen Sie nach unten, um zu überprüfen, ob dasStandardprofil Wenn ja, müssen Sie ein SSL-Profil verwenden, um die Clientzertifikatauthentifizierung zu aktivieren. Andernfalls können Sie die Clientzertifikatauthentifizierung direkt auf dem virtuellen AAA-Server im Abschnitt SSL-Parameter aktivieren.

  3. Wenn Standard-SSL-Profile nicht aktiviert sind:

    a. Navigieren Sie zu Sicherheit > AAA - Anwendung > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen AAA-Server.

    Lokalisiertes Bild

    b. Klicken Sie links im Bereich SSL-Parameter auf das Stiftsymbol.

    Lokalisiertes Bild

    c. Markieren Sie das Kästchen neben Clientauthentifizierung.

    d. Stellen Sie sicher, dass Optional im Dropdown-Menü Clientzertifikat ausgewählt ist, und klicken Sie auf OK.

    Lokalisiertes Bild

  4. Wenn Standard-SSL-Profile aktiviert sind, erstellen Sie ein neues SSL-Profil mit aktivierter Clientauthentifizierung:

    a. Erweitern Sie im linken Menü System, und klicken Sie auf Profile.

    b. Wechseln Sie oben rechts zur Registerkarte SSL-Profil.

    c. Klicken Sie mit der rechten Maustaste auf das Profil ns_default_ssl_profile_frontend, und klicken Sie auf Hinzufügen. Dadurch werden Einstellungen aus dem Standardprofil kopiert.

    d. Geben Sie dem Profil einen Namen. Der Zweck dieses Profils besteht darin, Clientzertifikate zu aktivieren.

    e. Scrollen Sie nach unten und suchen Sie das Kontrollkästchen Client Markieren Sie das Kästchen.

    f. Ändern Sie die Dropdownliste Clientzertifikat in OPTIONAL.

    g. Durch das Kopieren des Standard-SSL-Profils werden die SSL-Chiffreen nicht kopiert, sodass Sie sie wiederholen müssen.

    h. Klicken Sie auf Fertig, wenn Sie das SSL-Profil erstellt haben.

    i. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server, und bearbeiten Sie einen AAA-vServer.

    j. Scrollen Sie nach unten zum Abschnitt SSL-Profil und klicken Sie auf den Stift.

    k. Ändern Sie die Dropdownliste SSL-Profil in das Profil, für das Clientzertifikate aktiviert ist. Klicken Sie auf OK.

    l. Scrollen Sie in diesem Artikel nach unten, bis Sie die Anweisungen zum Binden des CA-Zertifikats erhalten.

  5. Klicken Sie links im Abschnitt Zertifikate auf die Stelle, an der kein CA-Zertifikatsteht.

    Lokalisiertes Bild

  6. Klicken Sie auf den Text, klicken Sie zum Auswählen.

    Lokalisiertes Bild

  7. Klicken Sie auf das Optionsfeld neben dem Stammzertifikat für den Aussteller der Clientzertifikate, und klicken Sie auf Auswählen.

    Lokalisiertes Bild

  8. Klicken Sie auf Bind.

    Lokalisiertes Bild

Anmeldeschema-XML-Datei

Das Anmeldeschema ist eine XML-Datei, die die Struktur formularbasierter Authentifizierungs-Anmeldeseiten bereitstellt.

nFactor impliziert mehrere Authentifizierungsfaktoren, die miteinander verkettet sind. Jeder Faktor kann verschiedene Login-Schema-Seiten/Dateien haben. In einigen Authentifizierungsszenarien könnten Benutzern mehrere Anmeldebildschirme angezeigt werden.

Konfigurieren eines Login-Schema-Profils

So konfigurieren Sie ein Login-Schema-Profil:

  1. Erstellen oder bearbeiten Sie eine .XML-Datei für das Login Schema basierend auf Ihrem nFactor-Design.
  2. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    Lokalisiertes Bild

  3. Wechseln Sie rechts zur Registerkarte Profile und klicken Sie auf Hinzufügen.

    Lokalisiertes Bild

  4. Klicken Sie im Feld Authentifizierungsschema auf das Stiftsymbol.

    Lokalisiertes Bild

  5. Klicken Sie auf den Ordner LoginSchema, um die darin enthaltenen Dateien zu sehen.

    Lokalisiertes Bild

  6. Markieren Sie eine der Dateien. Auf der rechten Seite sehen Sie eine Vorschau. Die Beschriftungen können geändert werden, indem Sie oben rechts auf die Schaltfläche Bearbeiten klicken.

    Lokalisiertes Bild

  7. Wenn Sie die Änderungen speichern, wird unter /NSConfig/loginSchema eine neue Datei erstellt.

    Lokalisiertes Bild

  8. Klicken Sie rechts oben auf Auswählen.

    Lokalisiertes Bild

  9. Geben Sie dem Anmeldeschema einen Namen und klicken Sie auf “ Mehr”.

    Lokalisiertes Bild

  10. Möglicherweise müssen Sie den Benutzernamen und das im Login-Schema für Single Sign-On (SSO) eingegebene Kennwort für einen Back-End-Dienst verwenden, beispielsweise StoreFront.

    Sie können die im Anmeldeschema eingegebenen Anmeldeinformationen als Single Sign-On-Anmeldeinformationen verwenden, indem Sie eine der folgenden Methoden verwenden.

    • Klicken Sie unten auf der Seite Authentifizierungsanmeldeschema erstellen auf Mehr und wählen Sie Single Sign On Credentials aktivierenaus.

    • Klicken Sie unten auf der Seite Authentifizierungsanmeldeschema erstellen auf Mehr, und geben Sie eindeutige Werte für den Index der Benutzeranmeldeinformationen und den Index für Kennwort-Anmeldeinformationen ein. Diese Werte können zwischen 1 und 16 liegen. Später verweisen Sie auf diese Indexwerte in einer Verkehrsrichtlinien/einem Profil, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (#) verwenden.

    Lokalisiertes Bild

  11. Klicken Sie auf OK, um das Login-Schemaprofil zu erstellen.

    Hinweis: Wenn Sie die Login-Schemadatei (.xml) später bearbeiten, müssen Sie das Login-Schemaprofil bearbeiten und erneut die Login-Schemadatei (.xml) auswählen, damit Änderungen berücksichtigt werden.

Erstellen und Binden einer Login-Schemarichtlinie

Um ein Login-Schemaprofil an einen AAA vServer zu binden, müssen Sie zuerst eine Login-Schema-Richtlinie erstellen. Login-Schema-Richtlinien sind nicht erforderlich, wenn das Anmeldeschemaprofil an eine Authentifizierungsrichtlinienbezeichnung gebunden wird, wie später beschrieben.

So erstellen und binden Sie eine Login-Schema-Richtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Anmeldeschema.

    Lokalisiertes Bild

  2. Klicken Sie auf der Registerkarte Policies auf Add.

    Lokalisiertes Bild

  3. Verwenden Sie das Dropdown-Menü Profil, um das Anmeldeschema-Profil auszuwählen, das Sie bereits erstellt haben.

  4. Geben Sie einen erweiterten Richtlinienausdruck (z. B. wahr) in das Feld Regel ein, und klicken Sie auf Erstellen.

    Lokalisiertes Bild

  5. Navigieren Sie links zu Sicherheit > AAA - Anwendungsverkehr > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen AAA-Server.

    Lokalisiertes Bild

  6. Klicken Sie in der Spalte Erweiterte Einstellungen auf Anmeldeschemas.

    Lokalisiertes Bild

  7. Klicken Sie im Abschnitt Anmeldeschemas auf den Text Kein Anmeldeschema.

    Lokalisiertes Bild

  8. Klicken Sie auf den Text, klicken Sie zum Auswählen.

    Lokalisiertes Bild

  9. Klicken Sie auf das Optionsfeld neben der Richtlinie für das Anmeldeschema und dann auf Auswählen. In dieser Liste werden nur Login-Schema-Richtlinien angezeigt. Login-Schemaprofile (ohne Richtlinie) werden nicht angezeigt.

    Lokalisiertes Bild

  10. Klicken Sie auf Bind.

Erweiterte Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienmaßnahmen. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Erstellen erweiterter Authentifizierungsrichtlinien

Authentifizierungsrichtlinien sind eine Kombination aus Richtlinienausdruck und Richtlinienaktion. Wenn der Ausdruck wahr ist, dann bewerten Sie die Authentifizierungsaktion.

Sie benötigen Authentifizierungsaktionen/Server (z. B. LDAP, RADIUS, CERT, SAML usw.) Beim Erstellen einer erweiterten Authentifizierungsrichtlinie gibt es ein Plussymbol (Hinzufügen), mit dem Sie Authentifizierungsaktionen/Server erstellen können.

Oder Sie können Authentifizierungsaktionen (Aervers) erstellen, bevor Sie die erweiterte Authentifizierungsrichtlinie erstellen. Die Authentifizierungsserver befinden sich unter Authentifizierung > Dashboard. Klicken Sie auf der rechten Seite auf Hinzufügen, und wählen Sie einen Servertyp aus. Die Anweisungen zum Erstellen dieser Authentifizierungsserver sind hier nicht detailliert beschrieben. Siehe die Verfahren Authentifizierung — NetScaler 12/Citrix ADC 12.1.

So erstellen Sie eine erweiterte Authentifizierungsrichtlinie:

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie

    Lokalisiertes Bild

  2. Führen Sie im Detailbereich einen der folgenden Schritte aus:
    • Um eine Richtlinie zu erstellen, klicken Sie auf Hinzufügen.
    • Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus und klicken dann auf Bearbeiten.
  3. Geben Sie im Dialogfeld Authentifizierungsrichtlinie erstellen oder Authentifizierungsrichtlinie konfigurieren Werte für die Parameter ein oder wählen Sie sie aus.

    Lokalisiertes Bild

    • Name — Der Name der Richtlinie. Für eine zuvor konfigurierte Richtlinie kann nicht geändert werden.
    • Aktionstyp - Der Richtlinientyp: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS oder WEBAUTH.
    • Aktion - Die Authentifizierungsaktion (Profil), die mit der Richtlinie verknüpft werden soll. Sie können eine bestehende Authentifizierungsaktion auswählen oder auf das Plus klicken und eine Aktion des richtigen Typs erstellen.
    • Protokollaktion — Die mit der Richtlinie zu verknüpfen Überwachungsaktion. Sie können eine bestehende Audit-Aktion auswählen oder auf das Plus klicken und eine Aktion erstellen. Sie haben keine Aktionen konfiguriert, oder um eine Aktion zu erstellen, klicken Sie auf Hinzufügen und führen Sie die Schritte aus.
    • Ausdruck — Die Regel, die Verbindungen auswählt, auf die Sie die angegebene Aktion anwenden möchten. Die Regel kann einfach (“wahr” wählt den gesamten Verkehr aus) oder komplex sein. Sie geben Ausdrücke ein, indem Sie zuerst den Ausdruckstyp in der Dropdownliste ganz links unter dem Ausdrucksfenster auswählen und dann Ihren Ausdruck direkt in den Ausdruckstextbereich eingeben, oder indem Sie auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen, und die darin bezeichnenden Dropdownlisten verwenden, um Ihre Ausdruck.)
    • Kommentar - Sie können einen Kommentar eingeben, der die Art des Datenverkehrs beschreibt, für den diese Authentifizierungsrichtlinie gilt. Optional.
  4. Klicken Sie auf Create und dann auf Close. Wenn Sie eine Richtlinie erstellt haben, wird diese Richtlinie auf der Seite Authentifizierungsrichtlinien und Server angezeigt.

Sie müssen je nach Bedarf zusätzliche erweiterte Authentifizierungsrichtlinien basierend auf Ihrem nFactor-Design erstellen.

Binden Sie die erweiterte Authentifizierungsrichtlinie für den ersten Faktor an Citrix ADC AAA

Sie können erweiterte Authentifizierungsrichtlinien für den ersten Faktor, den virtuellen Citrix ADC AAA-Server, direkt binden. Für die nächsten Faktoren müssen Sie die erweiterten Authentifizierungsrichtlinien an die Bezeichnungen der Authentifizierungsrichtlinie binden.

  1. Navigieren Sie zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server. Bearbeiten Sie einen vorhandenen virtuellen Server.

Lokalisiertes Bild

  1. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf Keine Authentifizierungsrichtlinie.

    Lokalisiertes Bild

  2. Klicken Sie unter Richtlinie auswählenauf den Text und klicken Sie zum Auswählen.

    Lokalisiertes Bild

  3. Klicken Sie auf das Optionsfeld neben der erweiterten Authentifizierungsrichtlinieund dann auf Auswählen.

    Lokalisiertes Bild

  4. Im Abschnitt “Bindungsdetails” bestimmt der Gehe zu Ausdruck, was als Nächstes passiert, wenn diese erweiterte Authentifizierungsrichtlinie fehlschlägt.
    • Wenn Gehe zu Ausdruck aufNEXTfestgelegt ist, wird die nächste erweiterte Authentifizierungsrichtlinie ausgewertet, die an diesen Citrix ADC AAA Virtual Server gebunden ist.
    • Wenn Goto Expression auf ENDfestgelegt ist oder wenn keine erweiterten Authentifizierungsrichtlinien an diesen Citrix ADC AAA Virtual Server gebunden sind, wird die Authentifizierung abgeschlossen und als fehlgeschlagen markiert.

    Lokalisiertes Bild

  5. Unter Nächsten Faktor auswählenkönnen Sie auswählen, dass auf eine Authentifizierungsrichtlinienbeschriftung verweisen kann. Der nächste Faktor wird nur bewertet, wenn die erweiterte Authentifizierungsrichtlinie erfolgreich ist. Klicken Sie abschließend auf Bind.

    Lokalisiertes Bild

Verwenden Sie extrahierte LDAP-Gruppen, um den nächsten Authentifizierungsfaktor auszuwählen

Sie können extrahierte LDAP-Gruppen verwenden, um den nächsten Authentifizierungsfaktor ohne tatsächliche Authentifizierung mit LDAP auszuwählen.

  1. Deaktivieren Sie beim Erstellen oder Bearbeiten eines LDAP-Servers oder einer LDAP-Aktion das Kontrollkästchen Authentifizierung .
  2. Wählen Sie unter Andere Einstellungendie entsprechenden Werte in Gruppenattribut und Unterattributnameaus.

Authentifizieren Sie das Policy Label

Wenn Sie eine erweiterte Authentifizierungsrichtlinie an den Citrix ADC AAA Virtual Server binden und einen nächsten Faktor ausgewählt haben, wird der nächste Faktor nur ausgewertet, wenn die erweiterte Authentifizierungsrichtlinie vorliegt. Der nächste Faktor, der ausgewertet wird, ist ein Label für die Authentifizierungsrichtlinie.

Das Label der Authentifizierungsrichtlinie gibt eine Sammlung von Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Es gibt auch das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Die Bezeichnung der Authentifizierungsrichtlinie muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein.

Hinweis: Jeder Faktor benötigt kein Login-Schema. Das Anmeldeschemaprofil ist nur erforderlich, wenn Sie ein Anmeldeschema an ein Authentifizierungsrichtlinienlabel binden.

Erstellen einer Authentifizierungsrichtlinien

Ein Policy Label gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Das Policy Label gibt das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Das Policy Label muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein. In der Regel enthält ein Policy Label Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Policy Label haben, das Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen enthält.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung.

    Lokalisiertes Bild

  2. Klicken Sie auf die Schaltfläche Add.

    Lokalisiertes Bild

  3. Füllen Sie die folgenden Felder aus, um Authentifizierungsrichtlinienlabel zu erstellen

    a) Geben Sie den Namen für das neue Label für die Authentifizierungsrichtlinie ein.

    b) Wählen Sie das Login-Schema aus, das der Bezeichnung der Authentifizierungsrichtlinie WENN Sie dem Benutzer nichts anzeigen möchten, können Sie ein Login-Schema-Profil auswählen, das auf noschema (LSCHEMA_INT) festgelegt ist.

    c) Klicken Sie auf “ Weiter”.

    Lokalisiertes Bild

  4. Klicken Sie im Abschnitt Policy Binding auf die Stelle, auf die steht Klicken Sie zur Auswahl.

  5. Wählen Sie die Authentifizierungsrichtlinie aus, die diesen Faktor auswertet.

    Lokalisiertes Bild

  6. Füllen Sie die folgenden Felder aus:

    a) Geben Sie die Priorität der Policy-Bindung ein.

    b) Wählen Sie in Gehe zu Ausdruck die Option NEXT aus, wenn Sie erweiterte Authentifizierungsrichtlinien an diesen Faktor binden möchten, oder wählen Sie END.

    Lokalisiertes Bild

  7. Wenn Sie unter Nächsten Faktor auswähleneinen weiteren Faktor hinzufügen möchten, klicken Sie auf, um das nächste Authentifizierungsrichtlinienlabel auszuwählen und zu binden (nächster Faktor). Wenn Sie den nächsten Faktor nicht auswählen und diese erweiterte Authentifizierungsrichtlinie erfolgreich ist, ist die Authentifizierung erfolgreich und abgeschlossen.
  8. Klicken Sie auf Bind.

  9. Sie können auf Bindung hinzufügen klicken, um dieser Richtlinienbezeichnung (Faktor) erweiterte Authentifizierungsrichtlinien hinzuzufügen. Klicken Sie nach Abschluss auf Fertig .

    Lokalisiertes Bild

Beschriftung der Authentifizierungsrichtlinie binden

Nachdem Sie das Policy Label erstellt haben, binden Sie es an eine vorhandene erweiterte Authentifizierungsrichtlinie, die an Kettenfaktoren gebunden ist.

Sie können den nächsten Faktor auswählen, wenn Sie einen vorhandenen virtuellen Citrix ADC AAA-Server bearbeiten, an den eine erweiterte Authentifizierungsrichtlinie gebunden ist, oder wenn Sie eine andere Policy Label bearbeiten, um den nächsten Faktor einzubeziehen.

So bearbeiten Sie einen vorhandenen virtuellen Citrix ADC AAA-Server, an den bereits eine erweiterte Authentifizierungsrichtlinie gebunden ist

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Server. Wählen Sie den virtuellen Server aus und klicken Sie auf Bearbeiten.

    Lokalisiertes Bild

  2. Klicken Sie links im Abschnitt Erweiterte Authentifizierungsrichtlinien auf eine bestehende Authentifizierungsrichtlinienbindung.

    Lokalisiertes Bild

  3. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    Lokalisiertes Bild

  4. Klicken Sie unter Nächsten Faktor auswählenauf und wählen Sie ein vorhandenes Authentifizierungsrichtlinienlabel aus (nächster Faktor).

    Lokalisiertes Bild

  5. Klicken Sie auf Bind. Den nächsten Faktor sehen Sie ganz rechts.

    Lokalisiertes Bild

So fügen Sie eine Policy Label als nächsten Faktor zu einem anderen Policy Label hinzu

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung. Wählen Sie ein anderes Policy Label aus und klicken Sie auf Bearbeiten.

    Lokalisiertes Bild

  2. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    Lokalisiertes Bild

  3. Klicken Sie unter Bindungsdetails > Nächsten Faktorauswählen auf, um den nächsten Faktor auszuwählen.
  4. Wählen Sie das Policy Label für den nächsten Faktor und klicken Sie auf die Schaltfläche Auswählen .

    Lokalisiertes Bild

  5. Klicken Sie auf Binden. Den nächsten Faktor sehen Sie auf der rechten Seite.

    Lokalisiertes Bild

nFactor für Citrix Gateway

Um nFactor auf Citrix Gateway zu aktivieren, muss ein Authentifizierungsprofil mit einem virtuellen Citrix ADC AAA-Server verknüpft sein.

Erstellen Sie ein Authentifizierungsprofil, um einen virtuellen Citrix ADC AAA-Server mit dem virtuellen Citrix Gateway-Server zu verbinden

  1. Navigieren Sie zu Citrix Gateway > Virtuelle Server und wählen Sie einen vorhandenen virtuellen Gateway-Server aus, der bearbeitet werden soll.

    Lokalisiertes Bild

  2. Klicken Sie in Erweiterte Einstellungenauf Authentifizierungsprofil.

  3. Klicken Sie unter Authentifizierungsprofil auf Hinzufügen.

    Lokalisiertes Bild

  4. Geben Sie den Namen für das Authentifizierungsprofil ein und klicken Sie auf die Stelle, an der es heißt Klicken zur Auswahl

    Lokalisiertes Bild

  5. Wählen Sie unter Virtueller Authentifizierungsserver einen vorhandenen Server aus, auf dem das Anmeldeschema, eine erweiterte Authentifizierungsrichtlinie und Bezeichnungen für Authentifizierungsrichtlinien konfiguriert sind. Sie können auch einen virtuellen Authentifizierungsserver erstellen. Der virtuelle Citrix ADC AAA-Server benötigt keine IP-Adresse. Klicken Sie auf Select.

    Lokalisiertes Bild

  6. Klicken Sie auf Erstellen.

    Lokalisiertes Bild

  7. Klicken Sie auf OK um den Abschnitt Authentifizierungsprofil zu schließen.

    Lokalisiertes Bild

Hinweis: Wenn Sie einen der Faktoren als Clientzertifikate konfiguriert haben, müssen SSL-Parameter und CA-Zertifikat konfiguriert werden.

Nachdem Sie das Authentifizierungsprofil mit einem virtuellen AAA-Server verknüpft haben und zu Ihrem Citrix Gateway navigieren, können Sie die nFactor-Authentifizierungsbildschirme anzeigen.

Konfigurieren von SSL-Parametern und CA-Zertifikat

Wenn einer der Authentifizierungsfaktoren ein Zertifikat ist, müssen Sie eine SSL-Konfiguration auf dem virtuellen Citrix Gateway-Server durchführen.

  1. Navigieren Sie zu Traffic Management > SSL > Certificates > CA Certificates, und installieren Sie das Stammzertifikat für den Aussteller der Clientzertifikate. Zertifikate von Certificate Authority benötigen keine Schlüsseldateien.

    Wenn Standard-SSL-Profile aktiviert sind, sollten Sie bereits ein SSL-Profil erstellt haben, für das die Clientauthentifizierung aktiviert ist.

  2. Navigieren Sie zu Citrix Gateway > Virtuelle Server, und bearbeiten Sie einen vorhandenen virtuellen Citrix Gateway-Server, der für nFactor aktiviert ist.

    • Wenn Standard-SSL-Profile aktiviert sind, klicken Sie auf das Bearbeitungssymbol.
    • Wählen Sie in der Liste SSL-Profil das SSL-Profil aus, für das die Clientauthentifizierung aktiviert und auf OPTIONAL festgelegt ist.

    • Wenn Standard-SSL-Profile nicht aktiviert sind, klicken Sie auf das Bearbeitungssymbol.
    • Aktivieren Sie das Kontrollkästchen Clientauthentifizierung.
    • Stellen Sie sicher, dass das Client-Zertifikat auf Optional
  3. Klicken Sie auf OK.

  4. Klicken Sie im Abschnitt Zertifikate auf Kein CA-Zertifikat.

  5. Klicken Sie unter Select CA Certificate auf, um das Stammzertifikat für den Aussteller der Clientzertifikate auszuwählen und auszuwählen.

  6. Klicken Sie auf Bind.

Hinweis: Möglicherweise müssen Sie auch alle Zwischen-CA-Zertifikate binden, die die Clientzertifikate ausgestellt haben.

Konfigurieren der Citrix Gateway-Verkehrsrichtlinie für nFactor Single Sign-On bei StoreFront

Für die einmalige Anmeldung bei StoreFront verwendet nFactor standardmäßig das zuletzt eingegebene Kennwort. Wenn LDAP nicht das zuletzt eingegebene Kennwort ist, müssen Sie eine Verkehrsrichtlinie/ein Profil erstellen, um das standardmäßige nFactor-Verhalten zu überschreiben.

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Verkehr.

    Lokalisiertes Bild

  2. Klicken Sie auf der Registerkarte Verkehrsprofile auf Hinzufügen.

    Lokalisiertes Bild

  3. Geben Sie einen Namen für das Verkehrsprofil ein. Wählen Sie das HTTP-Protokoll aus. Wählen Sie unter Einmaliges Anmelden die Option ON aus.

    Lokalisiertes Bild

  4. Geben Sie im SSO-Ausdruckeinen AAA.USER.ATTRIBUTE (#) -Ausdruck ein, der den im Anmeldeschema angegebenen Indizes entspricht, und klicken Sie auf Erstellen.

    Hinweis Der AAA.USER-Ausdruck ist jetzt implementiert, um die veralteten HTTP.REQ.USER-Ausdrücke zu ersetzen.

    Lokalisiertes Bild

  5. Klicken Sie auf die Registerkarte Verkehrsrichtlinien und dann auf Hinzufügen.

    Geben Sie einen Namen für die Richtlinie ein. Wählen Sie das im vorherigen Schritt erstellte Verkehrsprofil aus. Geben Sie unter Ausdruck einen erweiterten Ausdruck ein, z. B. wahr. Klicken Sie auf Erstellen.

    Lokalisiertes Bild

  6. Navigieren Sie zu Citrix Gateway > Citrix Gateway Virtual Server.

    • Wählen Sie einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
    • Klicken Sie im Abschnitt Richtlinien auf das +-Zeichen.
    • Wählen Sie unter Richtlinie wählen die Option Traffic aus.
    • Wählen Sie unter Typ wählen die Option Anfrage aus.
    • Wählen Sie die von Ihnen erstellte Traffic-Richtlinie aus und klicken Sie dann auf Bind.

    Lokalisiertes Bild

Beispiel-Snippet zur nFactor-Konfiguration mithilfe der Citrix ADC CLI

Um die schrittweisen Konfigurationen für die nFactor-Authentifizierung zu verstehen, sollten wir eine Zwei-Faktor-Authentifizierungsbereitstellung in Betracht ziehen, bei der der erste Faktor die LDAP-Authentifizierung und der zweite Faktor die RADIUS-Authentifizierung ist.

Bei dieser Beispielbereitstellung muss sich der Benutzer mit einem einzigen Anmeldeformular bei beiden Faktoren anmelden. Daher definieren wir ein einziges Anmeldeformular, das zwei Kennwörter akzeptiert. Das erste Kennwort wird für die LDAP-Authentifizierung und das andere für die RADIUS-Authentifizierung verwendet. Hier sind die Konfigurationen, die ausgeführt werden:

  1. Konfigurieren des virtuellen Lastausgleichsservers für die Authentifizierung

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON

  2. Konfigurieren Sie den virtuellen Authentifizierungsserver.

    add authentication vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Konfigurieren Sie das Anmeldeschema für das Anmeldeformular und binden Sie es an eine Richtlinie für das Anmeldeschema.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    Hinweis

    Möglicherweise müssen Sie den Benutzernamen und eines der im Anmeldesema für Single Sign-On (SSO) eingegebenen Kennwörter für einen Back-End-Dienst verwenden, zum Beispiel StoreFront. Sie können diese Indexwerte in der Verkehrsaktion referenzieren, indem Sie den Ausdruck AAA.USER.ATTRIBUTE (#) verwenden. Die Werte können zwischen 1 und 16 liegen.

    Alternativ können Sie die im Anmeldeschema eingegebenen Anmeldeinformationen als Single Sign-On-Anmeldeinformationen verwenden, indem Sie den folgenden Befehl verwenden.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. Konfigurieren Sie ein Anmeldeschema für den Passthrough und binden Sie es an ein Policy Label

    add authentication loginSchema login2 -authenticationSchema noschema

    add authentication policylabel label1 -loginSchema login2

  5. Konfigurieren Sie die LDAP- und RADIUS-Richtlinien.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    add authentication Policy ldap -rule true -action ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Policy radius -rule true -action radius

  6. Binden Sie die Richtlinie für das Anmeldeschema an den virtuellen Authentifizierungsserver

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. Binden Sie die LDAP-Richtlinie (erster Faktor) an den virtuellen Authentifizierungsserver.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. Binden Sie die RADIUS-Richtlinie (zweiter Faktor) an die Bezeichnung der Authentifizierungsrichtlinie.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end