Citrix ADC

Konfigurieren der Endpunktanalyse nach der Authentifizierung als Faktor in der Citrix ADC nFactor-Authentifizierung

January 19, 2021

Beigesteuert von:

In Citrix Gateway kann Endpoint Analysis (EPA) konfiguriert werden, um zu überprüfen, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt und dem Benutzer entsprechend internen Ressourcen Zugriff gewährt. Das Endpoint Analysis-Plug-In wird heruntergeladen und auf dem Benutzergerät installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert oder den Scan überspringt, kann sich der Benutzer nicht mit dem Citrix Gateway -Plug-In anmelden. Optional können Benutzer in eine Quarantänegruppe versetzt werden, in der der Benutzer eingeschränkte Zugriff auf interne Netzwerkressourcen erhält.

Früher wurde Post-EPA als Teil der Sitzungsrichtlinie konfiguriert. Jetzt kann es mit nFactor verknüpft werden, was mehr Flexibilität bietet, wenn es ausgeführt werden kann.

In diesem Thema wird der EPA-Scan als abschließende Prüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.

EPA-Scan als endgültiges Einchecken nFactor- oder Multifaktor-Authentifizierung

Der Benutzer versucht, eine Verbindung mit der virtuellen IP-Adresse von Citrix Gateway herzustellen. Eine einfache Anmeldeseite mit Benutzername und Kennwort Feld wird dem Benutzer gerendert, um Anmeldedaten bereitzustellen. Mit diesen Anmeldeinformationen wird die LDAP- oder AD-basierte Authentifizierung am Back-End durchgeführt. Wenn erfolgreich, wird dem Benutzer eine Popup-Meldung angezeigt, um den EPA-Scan zu autorisieren. Sobald der Benutzer autorisiert hat, wird der EPA-Scan durchgeführt und basierend auf dem Erfolg oder Fehler der Benutzerclient-Einstellungen erhält der Benutzer Zugriff.

Voraussetzungen

Es wird davon ausgegangen, dass folgende Konfiguration vorhanden ist.

Konfigurationen virtueller VPN-Server/Gateway- und Authentifizierungsserver
LDAP-Serverkonfigurationen und zugehörige Richtlinien

Hinweis: Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienbezeichnungen. Dies ist der Ansatz, der für die Konfiguration verwendet wird, aber von rechts nach links.

Zuordnung von Richtlinien und Richtlinienbezeichnungen, die in diesem Beispiel verwendet werden

Führen Sie Folgendes mit der CLI aus

Erstellen Sie eine Aktion zum Ausführen des EPA-Scans, und ordnen Sie sie einer EPA-Scanrichtlinie zu.
```
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"
```
Der obige Ausdruck wird überprüft, ob macOS Benutzer eine Browserversion kleiner als 10.0.3 haben oder wenn Windows 7-Benutzer Service Pack 1 installiert haben.
```
add authentication Policy EPA-check -rule true -action EPA-client-scan
```
Konfigurieren Sie die Richtlinienbezeichnung nach ldap-epa-Scan, die die Richtlinie für den EPA-Scan hostet.
```
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
```
Hinweis: LSCHEMA_INT ist ein eingebautes Schema ohne Schema (Noschema), was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.

Ordnen Sie die in Schritt 1 konfigurierte Richtlinie mit der in Schritt 2 konfigurierten Richtlinienbezeichnung zu.

bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100     -gotoPriorityExpression END

Konfigurieren Sie die ldap-auth-Richtlinie für eine LDAP-Richtlinie, die für die Authentifizierung mit einem bestimmten LDAP-Server konfiguriert ist, und verknüpfen Sie sie mit einer LDAP-Richtlinie.
```
add authentication Policy ldap-auth -rule true -action ldap_server1
```
Dabei steht ldap_server1 für LDAP-Richtlinie und ldap-auth für den Richtliniennamen
Ordnen Sie ldap-auth-Richtlinie dem Authentifizierungs-, Autorisierungs- und Überwachungsvirtuellem Server zu, wobei der nächste Schritt auf die Richtlinienbezeichnung nach ldap-epa-scan verweist, um EPA-Scan durchzuführen.
```
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
```
Hinweis: Der EPA-Scan vor der Authentifizierung wird immer als erster Schritt in der nFactor-Authentifizierung durchgeführt. Der EPA-Scan nach der Authentifizierung wird immer als letzter Schritt in der nFactor-Authentifizierung durchgeführt. EPA-Scans können nicht zwischen einer nFactor-Authentifizierung durchgeführt werden.

Konfigurieren mit dem nFactor Visualizer

Die obige Konfiguration kann auch mit nFactor Visualizer durchgeführt werden, der eine Funktion ist, die auf Firmware 13.0 und höher verfügbar ist.

nFactor-Flussdarstellung im Visualizer

Navigieren Sie zu Sicherheit > AAA-Anwendungsdatenverkehr > nFactor Visualizer > nFactor Flow, und klicken Sie auf Hinzufügen .
Klicken Sie auf +, um den nFactor Flow hinzuzufügen.
Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.
Klicken Sie auf Schema hinzufügen, um ein Schema für den ersten Faktor hinzuzufügen, und klicken Sie dann auf Hinzufügen.
Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen.

Hinweis: Sie können eine LDAP-Richtlinie erstellen. Klicken Sie auf Hinzufügen, und wählen Sie im Feld Aktion die Option LDAP aus. Weitere Informationen zum Hinzufügen eines LDAP-Servers finden Sie unter https://support.citrix.com/article/CTX123782)
Klicken Sie auf +, um den EPA-Faktor hinzuzufügen.
Lassen Sie den Abschnitt Schema hinzufügen leer, damit das Standardschema für diesen Faktor nicht angewendet wird. Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und -Aktion nach der Auth hinzuzufügen.

EPA-Aktion:

EPA-Richtlinie:

Klicken Sie auf Erstellen.
Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Konfigurieren der Endpunktanalyse nach der Authentifizierung als Faktor in der Citrix ADC nFactor-Authentifizierung

January 19, 2021

Beigesteuert von:

January 19, 2021

Beigesteuert von: