Citrix ADC

Konfigurieren Sie den Benutzernamen für das Vorfüllen aus dem Zertifikat in der Citrix ADC nFactor-Authentifizierung

Im folgenden Abschnitt wird der Anwendungsfall der Zwei-Faktor-Authentifizierung beschrieben. Der erste Faktor ist die Zertifikatauthentifizierung gefolgt von LDAP.

Anwendungsfall: Zertifikat und LDAP-Authentifizierung

Nehmen Sie einen Anwendungsfall an, bei dem Administratoren die Zwei-Faktor-Authentifizierung konfigurieren. Erste Ebene als Zertifikatauthentifizierung und gefolgt von LDAP-Authentifizierung. Als Teil des ersten Faktors fordert der Client ein Benutzerzertifikat an. Der Benutzername wird aus dem Zertifikat extrahiert und im Feld Benutzername des Anmeldeformulars vorausgefüllt, das für den nächsten Faktor zurückgegeben wird.

  1. Der Client-Browser greift auf den virtuellen Traffic Management-Server zu und wird zur Authentifizierung auf eine Anmeldeseite umgeleitet.

  2. Der erste Faktor wird anhand einer Zertifikataktion bewertet, die den Benutzernamen extrahiert. Die Bewertung ist erfolgreich und wird an den nächsten Faktor weitergegeben, in diesem Fall die Richtlinie “label1”.

  3. Die Policy Label gibt an, dass der zweite Faktor das Anmeldeschema “login1” mit LDAP-Richtlinie ist.

  4. Das Anmeldeformular mit dem vorausgefüllten Benutzernamen wird zurückgegeben, um das Kennwort vom Benutzer für die LDAP-Authentifizierung zu erhalten.

  5. Der Authentifizierungsserver gibt Cookies und eine Antwort zurück, die den Browser des Clients zurück zum virtuellen Verkehrsverwaltungsserver umleitet, auf dem sich der angeforderte Inhalt befindet. Wenn die Anmeldung jedoch fehlschlägt, wird dem Browser des Clients die ursprüngliche Anmeldeseite angezeigt, damit der Client es erneut versuchen kann.

Hinweis

Das Setup kann auch über den nFactor Visualizer erstellt werden, der in Citrix ADC Version 13.0 und höher verfügbar ist.

nFactor Visualizer SAML und LDAP

Führen Sie Folgendes mit der CLI aus

  1. Konfigurieren Sie den virtuellen Server und den Authentifizierungsserver für das Verkehrsmanagement

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      oder

    • set ssl parameter –denysslrenegotiation NO
  2. Konfigurieren Sie einen ersten Faktor als Zertifikataktion.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Konfigurieren Sie einen zweiten Faktor.

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. Konfigurieren Sie die LDAP-Aktion.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Binden Sie die Richtlinien.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Konfigurieren mit dem nFactor Visualizer

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.

  2. Klicken Sie auf +, um den nFactor-Flow hinzuzufügen.

    Klicken Sie, um einen Flow hinzuzufügen

  3. Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.

    Hinzufügen eines Namens für den Flow

  4. Für die Zertifikatauthentifizierung ist kein Schema erforderlich.

  5. Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie für die Zertifikatauthentifizierung zu erstellen.

    Richtlinie zum Vorbefüllen

  6. Richtlinie für die Zertifikatauthentifizierung hinzufügen.

    Zertifizierungsrichtlinie hinzufügen

    Hinweis

    Weitere Informationen zur Zertifikatauthentifizierung finden Sie unter Konfigurieren und Binden einer Authentifizierungsrichtlinie für Clientzertifikate.

  7. Klicken Sie neben Zertifizierungsrichtlinie auf grün+, um den nächsten Faktor hinzuzufügen.

    Richtlinie hinzufügen nächster Faktor

  8. Wählen Sie Faktor erstellen aus, um einen Faktor für die LDAP-Authentifizierung zu erstellen.

    Erstellen Sie den Faktor LDAP

  9. Klicken Sie auf Schema hinzufügen, um ein Schema von PrefilUserFormExpr.xml für den zweiten Faktor hinzuzufügen, der einen vorausgefüllten Benutzernamen hat.

    Vorausgefüllter Benutzername

  10. Wählen Sie Richtlinie hinzufügen aus, um eine Richtlinie für die LDAP-Authentifizierung hinzuzufügen.

    Richtlinie für LDAP

    Hinweis

    Weitere Informationen zum Erstellen der LDAP-Authentifizierung finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mit dem Konfigurationsdienstprogramm.

  11. Klicken Sie auf Fertig, um die Konfiguration zu speichern.

  12. Um den erstellten nFactor Flow an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen.

    Authentifizierserver binden

    Hinweis

    Binden und lösen Sie die Bindung des nFactor Flow durch die Option, die in nFactor Flow unter Nur Bindungen anzeigen angegeben ist.

Entbindung des nFactor Flow

  1. Wählen Sie den nFactor Flow aus, und klicken Sie auf Bindungen anzeigen.

  2. Wählen Sie den virtuellen Authentifizierungsserver aus und klicken Sie auf Unbind.

    Unbind auth server

Konfigurieren Sie den Benutzernamen für das Vorfüllen aus dem Zertifikat in der Citrix ADC nFactor-Authentifizierung