Citrix ADC

Konfigurieren des EPA-Scans für die Vor- und Nachauthentifizierung als Faktor in der mehrstufigen Authentifizierung (nFactor)

Auf Citrix Gateway kann Endpoint Analysis (EPA) so konfiguriert werden, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird auf dem Benutzergerät heruntergeladen und installiert, wenn sich Benutzer zum ersten Mal bei Citrix Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert, kann sich der Benutzer nicht mit dem Citrix Gateway-Plug-In anmelden.

Informationen zum Verständnis von EPA in nFactor-Konzepten finden Sie unter Konzepte und Entitäten, die für EPA in nFactor Authentication Through NetScaler verwendet werden.

In diesem Thema wird der EPA-Scan als erste Prüfung in einer nFactor- oder Multifaktor-Authentifizierung verwendet, gefolgt von der Anmeldung und dem EPA-Scan als abschließende Prüfung.

Darstellung des EPA-Scans, der als erste Überprüfung in nFactor- oder Multifaktor-Authentifizierung verwendet wird

Der Benutzer stellt eine Verbindung zur virtuellen IP-Adresse von Citrix Gateway her. Ein EPA-Scan wird eingeleitet. Wenn der EPA-Scan erfolgreich ist, wird der Benutzer auf die Anmeldeseite mit Benutzernamen- und Kennwortfeldern für die LDAP- oder AD-basierte Authentifizierung (Active Directory) gerendert. Basierend auf dem Erfolg der Benutzeranmeldeinformationen wird der Benutzer zum nächsten EPA-Faktor umgeleitet.

An dieser Konfiguration beteiligte Schritte auf hoher Ebene

  1. Wenn der Scan erfolgreich ist, wird der Benutzer einer Standardbenutzergruppe platziert oder markiert.

  2. Die nächste Authentifizierungsmethode (LDAP) wird gewählt.

  3. Basierend auf dem Ergebnis der Authentifizierung wird dem Benutzer der nächste Scansatz präsentiert.

Voraussetzungen

Es wird davon ausgegangen, dass die folgende Konfiguration vorhanden ist.

  • Konfigurationen für virtuelle VPN-Server/Gateway und virtuelle Authentifizierungsserver
  • Authentifizierung, Autorisierung und Überwachung von Benutzergruppen (für standardmäßige und isolierte Benutzergruppen) und zugehörige Richtlinien
  • LDAP-Serverkonfigurationen und zugehörige Richtlinien

Konfiguration über die CLI

  1. Erstellen Sie eine Aktion, um einen EPA-Scan durchzuführen, und verknüpfen Sie ihn mit einer EPA-Scanrichtlinie.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    <!--NeedCopy-->
    

    Der vorhergehende Ausdruck scannt, ob der Firefox-Prozess auf dem Clientcomputer ausgeführt wird.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    <!--NeedCopy-->
    
  2. Konfigurieren Sie die Richtlinienbezeichnung nach EPA-Scan, die die Policy Label für den EPA-Scan hostet

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Hinweis: LSCHEMA_INT ist ein eingebautes Schema ohne Schema (Noschema), was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite präsentiert wird.

  3. Verknüpfen Sie die in Schritt 1 konfigurierte Policy Label mit der in Schritt 2 konfigurierten Richtlinienbezeichnung.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    END zeigt das Ende des Authentifizierungsmechanismus an.

  4. Konfigurieren Sie die ldap-auth-Richtlinie und verknüpfen Sie sie mit einer LDAP-Richtlinie, die für die Authentifizierung bei einem bestimmten LDAP-Server konfiguriert ist.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    <!--NeedCopy-->
    
  5. Konfigurieren Sie die Policy Label ldap-factor mit dem Anmeldeschema, um den Benutzernamen und das Kennwort eines einzelnen Faktors

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    <!--NeedCopy-->
    

    Hinweis: Ersetzen Sie durch das Schema, das Sie benötigen, falls Sie nicht im eingebauten Schema LoginSchema/SingleAuth.xml verwenden möchten

  6. Ordnen Sie die in Schritt 4 konfigurierte Policy Label mit der in Schritt 5 konfigurierten Richtlinienbezeichnung zu.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    <!--NeedCopy-->
    

    END gibt das Ende des Authentifizierungsmechanismus für diesen Abschnitt an und NextFactor gibt den nächsten Faktor nach der Authentifizierung an.

  7. Erstellen Sie eine Aktion, um einen EPA-Scan durchzuführen, und verknüpfen Sie ihn mit einer EPA-Scanrichtlinie.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    <!--NeedCopy-->
    

    Hier ist default_group eine vorkonfigurierte Benutzergruppe.

    Der obige Ausdruck scannt, ob Windows 7-Benutzer Service Pack 1 installiert haben.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    <!--NeedCopy-->
    
  8. Ordnen Sie eine EPA-Scanrichtlinie dem virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu, wobei der nächste Schritt auf den Policy Label ldap-Faktor verweist, um den nächsten Schritt der Authentifizierung durchzuführen.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Konfiguration über die GUI

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > EPA.

    Erster EPA-Scan, um nach automatischem Windows Update und einer Standardgruppe zu suchen

    Ersten EPA-Scan erstellen

    Zweiter EPA-Scan zur Suche nach dem Firefox-Browser

    Erstellen Sie einen zweiten EPA-Scan

  2. Erstellen Sie eine EPA-Richtlinie. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie, und binden Sie die in Schritt 1 erstellte Aktion.

    Richtlinie für den ersten EPA-Scan

    Erstellen einer Richtlinie für den ersten EPA-Scan

    Richtlinie für den zweiten EPA-Scan

    Richtlinie für den zweiten EPA-Scan erstellen

    Weitere Informationen zu Advanced EPA finden Sie unter Advanced Endpoint Analysis-Scans

  3. Erstellen Sie einen nFactor-Flow. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.

    Klicken um nFactor hinzuzufügen

    Hinweis: nFactor Visualizer ist mit Firmware 13.0 und höher verfügbar.

  4. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Faktornamen hinzufügen

    Für den EPA-Scan ist kein Schema erforderlich.

  5. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie für den ersten Faktor hinzuzufügen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

  6. Wählen Sie die erste in Schritt 2 erstellte EPA-Richtlinie aus.

    Klicken Sie, um die erste EPA-Richtlinie auszuwählen

  7. Klicken Sie auf das grüne +-Zeichen und fügen Sie den nächsten Faktor hinzu, also die LDAP-Authentifizierung.

    Klicken Sie, um den nächsten Faktor hinzuzufügen

  8. Klicken Sie auf Schema hinzufügen und dann auf Hinzufügen, um ein Schema für den zweiten Faktor hinzuzufügen.

    Klicken Sie hier, um ein Schema hinzuzufügen

  9. Erstellen Sie ein Schema, in diesem Beispiel Single_Auth, und wählen Sie dieses Schema.

    Erstellen Sie ein einzelnes Authentifizierungsschema

    Wählen Sie ein einzelnes Authentifizierungsschema aus

  10. Klicken Sie auf Richtlinie hinzufügen, um eine LDAP-Richtlinie für die Authentifizierung hinzuzufügen.

    Hinzufügen einer LDAP-Richtlinie für die Authentifizierung

    Weitere Informationen zum Erstellen der LDAP-Authentifizierung finden Sie unter Konfigurieren der LDAP-Authentifizierung

  11. Erstellen Sie den nächsten Faktor für den EPA-Scan nach der Authentifizierung.

    Erstellen Sie den nächsten Faktor für den postauth EPA-Scan

  12. Klicken Sie auf Richtlinie hinzufügen, wählen Sie SecondePA_CHECK Richtlinie aus, die in Schritt 2 erstellt wurde, und klicken Sie auf Hinzufügen.

    Klicken Sie hier, um eine Richtlinie hinzuzufügen.

  13. Klicken Sie auf Fertig.

  14. Klicken Sie auf An Authentifizierungsserver binden, wählen Sie den nFactor-Flow aus, und klicken Sie dann auf Erstellen.

    Binden Sie den Fluss an einen virtuellen Authentifizierungsserver

Bindung des nFactor-Flows aufheben

  1. Wählen Sie den nFactor-Flow aus und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus und klicken Sie auf Binden aufheben.

    Bindung des Flows vom virtuellen Authentifizierungsserver aufheben

Konfigurieren des EPA-Scans für die Vor- und Nachauthentifizierung als Faktor in der mehrstufigen Authentifizierung (nFactor)