-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
-
Native OTP-Unterstützung für Authentifizierung
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Native OTP-Unterstützung für Authentifizierung
Citrix ADC unterstützt Einmalkennwörter (OTPs), ohne einen Server eines Drittanbieters verwenden zu müssen. Einmal-Kennwort ist eine hochsichere Option für die Authentifizierung bei sicheren Servern, da die generierte Nummer oder der Code zufällig ist. Zuvor boten spezialisierte Firmen wie RSA mit bestimmten Geräten, die Zufallszahlen generieren, die OTPs an. Dieses System muss in ständiger Kommunikation mit dem Client stehen, um eine vom Server erwartete Nummer zu generieren.
Zusätzlich zur Reduzierung der Kapital- und Betriebskosten verbessert diese Funktion die Kontrolle des Administrators, indem die gesamte Konfiguration auf der Citrix ADC-Appliance beibehalten wird.
Hinweis: Da Server von Drittanbietern nicht mehr benötigt werden, muss der Citrix ADC Administrator eine Schnittstelle zur Verwaltung und Validierung von Benutzergeräten konfigurieren.
Der Benutzer muss bei einem virtuellen Citrix ADC -Server registriert sein, um die OTP-Lösung verwenden zu können. Die Registrierung ist nur einmal pro einziges Gerät erforderlich und kann auf bestimmte Umgebungen beschränkt werden. Die Konfiguration und Validierung eines registrierten Benutzers ähnelt dem Konfigurieren einer zusätzlichen Authentifizierungsrichtlinie.
Vorteile der Native OTP-Unterstützung
- Senkung der Betriebskosten, da neben dem Active Directory keine zusätzliche Infrastruktur auf einem Authentifizierungsserver erforderlich ist.
- Konsolidiert die Konfiguration nur mit der Citrix ADC-Appliance und bietet somit eine hervorragende Kontrolle für Administratoren.
- Eliminiert die Abhängigkeit des Clients von einem zusätzlichen Authentifizierungsserver, um eine von Clients erwartete Anzahl zu generieren.
Nativer OTP-Workflow
Die native OTP-Lösung ist ein zweifacher Prozess und der Workflow wird wie folgt klassifiziert:
- Geräteregistrierung
- Endbenutzer-Anmeldung
Wichtig: Sie können den Registrierungsprozess überspringen, wenn Sie neben der Citrix ADC Appliance Lösungen von Drittanbietern verwenden oder andere Geräte verwalten. Die letzte Zeichenfolge, die Sie hinzufügen, muss im von Citrix ADC angegebenen Format vorliegen.
Die folgende Abbildung zeigt den Geräteregistrierungsablauf, um ein neues Gerät zu registrieren, um OTP zu empfangen.
Hinweis: Die Geräteregistrierung kann mit einer Reihe von Faktoren durchgeführt werden. Der einzelne Faktor (wie in der vorherigen Abbildung angegeben) wird als Beispiel verwendet, um den Geräteregistrierungsprozess zu erklären.
Die folgende Abbildung zeigt die Überprüfung von OTP durch das registrierte Gerät.
Die folgende Abbildung zeigt die Regitration und den Verwaltungsablauf des Geräts.
Die folgende Abbildung zeigt den Endbenutzerfluss für die Native OTP-Funktion.
Voraussetzungen
Um die native OTP-Funktion zu verwenden, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.
- Version des Citrix ADC-Features ist 12.0 Build 51.24 und höher.
- Die Advanced- oder Premium-Edition-Lizenz ist auf Citrix Gateway installiert.
- Citrix ADC ist mit Management-IP konfiguriert, und auf die Verwaltungskonsole kann sowohl über einen Browser als auch über eine Befehlszeile zugegriffen werden.
- Citrix ADC ist mit Authentifizierung, Autorisierung und Überwachung virtueller Server zur Authentifizierung von Benutzern konfiguriert.
- Citrix ADC-Appliance ist mit Unified Gateway konfiguriert, und das Authentifizierungs-, Autorisierungs- und Überwachungsprofil wird dem virtuellen Gatewayserver zugewiesen.
- Die native OTP-Lösung ist auf den nFactor-Authentifizierungsfluss beschränkt. Erweiterte Richtlinien sind erforderlich, um die Lösung zu konfigurieren. Weitere Informationen finden Sie im ArtikelCTX222713.
Stellen Sie außerdem Folgendes für Active Directory sicher:
- Eine minimale Attributlänge von 256 Zeichen.
- Attributtyp muss “DirectoryString” sein, z. B. UserParameters. Diese Attribute können Zeichenfolgenwerte enthalten.
- Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht englische Zeichen enthält.
- Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
- Citrix ADC-Appliance und Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.
Konfigurieren Sie Natives OTP mit der GUI
Die native OTP-Registrierung ist nicht nur eine Einzelfaktor-Authentifizierung. In den folgenden Abschnitten können Sie die Authentifizierung mit einem und zweiten Faktor konfigurieren.
Anmeldeschema für den ersten Faktor erstellen
- Navigieren Sie zu Security AAA > Anwendungsdatenverkehr > Anmeldeschema.
- Gehen Sie zu Profile und klicken Sie auf Hinzufügen.
- Geben Sie auf der Seite Create Authentication Login Schemalschema_single_auth_manage_otp unter dem Feld Name ein und klicken Sie neben noschema auf Bearbeiten.
- Klicken Sie auf den Ordner LoginSchema.**
- Scrollen Sie nach unten, um SingleAuth.xml auszuwählen, und klicken Sie auf Auswählen.
- Klicken Sie auf Erstellen.
- Klicken Sie auf Richtlinien und dann auf Hinzufügen.
-
Geben Sie auf dem Bildschirm Authentifizierungsanmeldeschema-Richtlinie erstellen die folgenden Werte ein.
Name: lpol_single_auth_manage_otp_by_url Profil: wähle lpol_single_auth_manage_otp_by_url aus der Liste aus. Regel: HTTP.REQ.COOKIE.VALUE (“NSC_TASS”) .EQ (“
manageotp
”)
Konfigurieren der Authentifizierung, Autorisierung und Überwachung des virtuellen Servers
- Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Virtuelle Authentifizierungsserver. Klicken Sie hier, um den vorhandenen virtuellen Server zu bearbeiten.
- Klicken Sie auf das +-Symbol neben Anmeldeschemas unter Erweiterte Einstellungen im rechten Fensterbereich.
- Wählen Sie Kein Anmeldeschemaaus.
- Klicken Sie auf den Pfeil und wählen Sie die Richtlinie lpol_single_auth_manage_otp_by_url aus.
- Wählen Sie die Richtlinie lpol_single_auth_manage_otp_by_url aus und klicken Sie auf Auswählen.
- Klicken Sie auf Bind.
- Scrollen Sie nach oben und wählen Sie unter Erweiterte Authentifizierungsrichtlinie die Option 1 Authentifizierungsrichtlinie aus.
- Klicken Sie mit der rechten Maustaste auf die nFactor-Richtlinie, und wählen Sie Bindung bearbeiten aus.
- Klicken Sie auf das Plus-Symbol unter Nächsten Faktor auswählen, erstellen Sie einen Nächsten Faktor, und klicken Sie auf Binden.
-
Geben Sie im Bildschirm Create Authentication
PolicyLabel
Folgendes ein und klicken Sie auf Continue:Vorname: manage_otp_flow_label
Anmeldeschema: Lschema_Int
-
Klicken Sie auf dem Bildschirm Authentifizierungsrichtlinienlabel auf das Symbol +, um eine Richtlinie zu erstellen.
-
Geben Sie auf dem Bildschirm Authentifizierungsrichtlinie erstellen Folgendes ein:
Vorname: auth_pol_ldap_otp_action
- Wählen Sie den Aktionstyp in der Liste Aktionstyp aus.
- Klicken Sie im Feld Aktion auf das Symbol +, um eine Aktion zu erstellen.
-
Aktivieren Sie auf der Seite Authentifizierungs-LDAP-Server erstellendas Optionsfeld Server-IP, deaktivieren Sie das Kontrollkästchen neben Authentifizierung, geben Sie die folgenden Werte ein, und wählen Sie Verbindung testen aus.
Vorname: ldap_otp_action
IP-Adresse: 192.168.10.11
Base DN: DC = Training, DC = Labor
Administrator: Administrator@training.lab
Kennwort:
xxxxx
- Scrollen Sie nach unten zum Abschnitt Weitere Einstellungen. Verwenden Sie das Dropdownmenü, um die folgenden Optionen auszuwählen. Serveranmeldenamen-Attribut als Neu, und geben Sie userprincipalname ein.
- Verwenden Sie das Dropdownmenü, um SSO-Namensattribut als Neu auszuwählen, und geben Sie userprincipalname ein.
- Geben Sie “UserParameters” in das Feld OTP Secret ein und klicken Sie auf Mehr.
-
Geben Sie die folgenden Attribute ein.
Attribut 1 = mail Attribut 2 = objectGUID Attribut 3 = immutableID
- Klicken Sie auf OK.
- Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen den Ausdruck auf true fest, und klicken Sie auf Erstellen.
- Klicken Sie auf der Seite Authentifizierungsrichtlinienlabel erstellen auf Binden, und klicken Sie auf Fertig.
- Klicken Sie auf der Seite Richtlinienbindung auf Binden.
- Klicken Sie auf der Seite Authentifizierungsrichtlinie auf Schließen, und klicken Sie auf Fertig.
Hinweis:
Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portalthema gebunden sein. Binden Sie ein Serverzertifikat an den Server. Die Server-IP “1.2.3.5” muss einen entsprechenden FQDN haben, der otpauth.server.com, für die spätere Verwendung ist.
Anmeldeschema für den zweiten Faktor OTP erstellen
- Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > Virtuelle Server. Wählen Sie den virtuellen Server aus, der bearbeitet werden soll.
- Scrollen Sie nach unten und wählen Sie 1 Anmeldeschemaaus.
- Klicken Sie auf Bindung hinzufügen.
- Klicken Sie im Abschnitt Richtlinienbindung auf das Symbol +, um eine Richtlinie hinzuzufügen.
- Geben Sie auf der Seite Authentifizierungsschema erstellen den Namen als OTP ein, und klicken Sie auf das Symbol +, um ein Profil zu erstellen.
- Geben Sie auf der Seite Create Authentication Login Schema Name als OTP ein und klicken Sie auf das Symbol neben noschema.
- Klicken Sie auf den Ordner LoginSchema, wählen Sie DualAuthManageOTP.xmlaus, und klicken Sie dann auf Auswählen.
- Klicken Sie auf Erstellen.
- Geben Sie im Abschnitt Regel die Option True ein. Klicken Sie auf Erstellen.
- Klicken Sie auf Bind.
- Beachten Sie die beiden Faktoren der Authentifizierung. Klicken Sie auf Schließen, und klicken Sie auf Fertig.
Content Switching-Richtlinie für die Verwaltung von OTP konfigurieren
Die folgenden Konfigurationen sind erforderlich, wenn Sie Unified Gateway verwenden.
-
Navigieren Sie zu Traffic Management > Content Switching > Richtlinien. Wählen Sie die Content Switching-Richtlinie aus, klicken Sie mit der rechten Maustaste und wählen Sie Bearbeiten aus.
-
Bearbeiten Sie den Ausdruck, um die folgende OR-Anweisung auszuwerten, und klicken Sie auf OK:
is_vpn_url||HTTP.REQ.URL.CONTAINS(“manageotp
”)
Konfigurieren Sie Natives OTP mit der CLI
Sie benötigen die folgenden Informationen, um die OTP-Geräteverwaltungsseite zu konfigurieren:
- Dem virtuellen Authentifizierungsserver zugewiesene IP-Adresse
- FQDN, der der zugewiesenen IP entspricht
- Serverzertifikat für die Authentifizierung virtueller Server
Hinweis: Native OTP ist nur eine webbasierte Lösung.
So konfigurieren Sie die OTP-Geräteregistrierung und -verwaltung
Erstellen eines virtuellen Authentifizierungsservers
> add authentication vserver authvs SSL 1.2.3.5 443
> bind authentication vserver authvs -portaltheme RFWebUI
> bind ssl vserver authvs -certkeyname otpauthcert
Hinweis: Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portalthema gebunden sein. Binden Sie ein Serverzertifikat an den Server. Die Server-IP “1.2.3.5” muss einen entsprechenden FQDN haben, der otpauth.server.com, für die spätere Verwendung ist.
So erstellen Sie eine LDAP-Anmeldeaktion
add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> - serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>
Beispiel:
add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname
So fügen Sie Authentifizierungsrichtlinie für die LDAP-Anmeldung hinzu
add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action
So präsentieren Sie die Benutzeroberfläche über LoginSchema
Benutzernamenfeld und Kennwortfeld für Benutzer bei der Anmeldung anzeigen
add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"
Seite zur Geräteregistrierung und -verwaltung anzeigen
Citrix empfiehlt zwei Möglichkeiten zur Anzeige der Geräteregistrierung und -verwaltung: URL oder Hostname.
-
URL verwenden
Wenn die URL /manageotp enthält
add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
-
Hostname verwenden
Wenn der Hostname “alt.server.com” lautet
add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END
So konfigurieren Sie die Benutzeranmeldeseite mit der CLI
Sie benötigen die folgenden Informationen, um die Seite Benutzeranmeldung zu konfigurieren:
- IP für einen virtuellen Lastausgleichsserver
- Entsprechender FQDN für den Lastenausgleich virtuellen Server
-
Serverzertifikat für den Lastausgleichsserver
bind ssl vserver lbvs_https -certkeyname lbvs_server_cert
Back-End-Dienst im Lastenausgleich wird wie folgt dargestellt:
add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com
So erstellen Sie OTP-Kenncodevalidierungsaktion
add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`
Beispiel:
add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecret userParameters
Wichtig: Der Unterschied zwischen der LDAP-Anmeldung und der OTP-Aktion besteht darin, dass die Authentifizierung deaktiviert und ein neuer Parameter eingeführt werden muss
OTPSecret
. Verwenden Sie nicht den AD-Attributwert.
So fügen Sie Authentifizierungsrichtlinien für die OTP-Kenncodevalidierung hinzu
add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action
So zeigen Sie die Zwei-Faktor-Authentifizierung über LoginSchema an
Fügen Sie die Benutzeroberfläche für die Zwei-Faktor-Authentifizierung hinzu.
add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor
So erstellen Sie einen Passcode-Validierungsfaktor über die Richtlinien
Erstellen einer Beschriftung für die Verwaltung von OTP-Flussrichtlinien für den nächsten Faktor (der erste Faktor ist die LDAP-Anmeldung)
add authentication loginSchema lschema_noschema -authenticationSchema noschema
add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema
So binden Sie die OTP-Richtlinie an das Richtlinienlabel
bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT
So binden Sie den UI-Flow
Binden Sie die LDAP-Anmeldung gefolgt von der OTP-Validierung mit dem virtuellen Authentifizierungsserver.
bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT
bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END
Registrieren Sie Ihr Gerät bei Citrix ADC
- Navigieren Sie zu Ihrem Citrix ADC-FQDN (erste öffentliche IP-Adresse) mit dem Suffix /manageotp. Beispiel:https://otpauth.server.com/manageotp Login mit Benutzeranmeldeinformationen.
-
Klicken Sie auf das Symbol +, um ein Gerät hinzuzufügen.
- Geben Sie einen Gerätenamen ein und drücken Sie Los. Ein Barcode erscheint auf dem Bildschirm.
- Klicken Sie auf Setup starten und dann auf Barcode scannen.
-
Bewegen Sie die Gerätekamera über den QR-Code. Sie können optional den 16-stelligen Code eingeben.
Hinweis: Der angezeigte QR-Code ist 3 Minuten lang gültig.
-
Nach erfolgreichem Scannen erhalten Sie einen 6-stelligen zeitsensitiven Code, mit dem Sie sich anmelden können.
- Klicken Sie zum Testen auf Fertig auf dem QR-Bildschirm und dann auf das grüne Häkchen auf der rechten Seite.
- Wählen Sie Ihr Gerät aus dem Dropdownmenü aus und geben Sie den Code von Google Authenticator ein (muss blau sein, nicht rot) und klicken Sie auf Los.
- Stellen Sie sicher, dass Sie sich über das Dropdownmenü in der oberen rechten Ecke der Seite abmelden.
Melden Sie sich mit dem OTP bei Citrix ADC an
- Navigieren Sie zu Ihrer ersten öffentlichen URL und geben Sie Ihren OTP von Google Authenticator ein, um sich anzumelden.
-
Authentifizieren Sie sich bei der Citrix ADC Begrüßungsseite.
Teilen
Teilen
In diesem Artikel
- Vorteile der Native OTP-Unterstützung
- Nativer OTP-Workflow
- Voraussetzungen
- Konfigurieren Sie Natives OTP mit der GUI
- Konfigurieren Sie Natives OTP mit der CLI
- Seite zur Geräteregistrierung und -verwaltung anzeigen
- Registrieren Sie Ihr Gerät bei Citrix ADC
- Melden Sie sich mit dem OTP bei Citrix ADC an
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.