Citrix ADC

Abfragen während der Authentifizierung

Ausgehend von Citrix ADC Release Build 13.0.79.64 kann eine Citrix ADC Appliance während der Multifaktor-Authentifizierung für den Polling-Mechanismus konfiguriert werden.

Wenn Polling auf einer Citrix ADC Appliance konfiguriert ist, können Endpunkte (wie ein Webbrowser oder eine App) die Appliance während der Authentifizierung in den konfigurierten Intervallen abfragen (untersuchen), um den Status der übermittelten Authentifizierungsanforderung abzurufen.

Die Abfrage kann so konfiguriert werden, dass Authentifizierungen verarbeitet werden, wenn ein Endpunkt eine TCP-Verbindung während der Authentifizierung bei einer Citrix ADC Appliance unterbricht.

Punkte zu beachten

  • Die Polling-Konfiguration wird für LDAP-, RADIUS- und TACACS-Authentifizierungsmethoden unterstützt.

  • Der Client kann Authentifizierungsanfragen ab dem zweiten Faktor untersuchen.

Warum sollte Polling konfiguriert werden?

Manchmal führt der Wechsel zwischen den Apps (z. B. einer Anmelde-App und einer Authentifikator-App) dazu, dass Endpunkte die Verbindung zur Citrix ADC Appliance verlieren, was zu einer Unterbrechung des Authentifizierungsflusses führt. Wenn Polling konfiguriert ist, kann diese Unterbrechung der Authentifizierung vermieden werden.

Den Polling-Mechanismus verstehen

Im Folgenden finden Sie ein Beispiel für den Ereignisfluss während der Authentifizierung, ohne dass Polling konfiguriert ist.

Der Abfragemechanismus ermöglicht es einer Citrix ADC Appliance, eine laufende Authentifizierung mit dem Endpunkt fortzusetzen, ohne den Authentifizierungsprozess in einem seltenen Fall eines Zurücksetzens der TCP-Verbindung am Endpunkt neu starten zu müssen.

Polling-aktuell

  1. Ein Endpunkt (App oder Webbrowser) authentifiziert sich mit Anmeldeinformationen.
  2. Der Benutzername und das Kennwort werden mit einem vorhandenen First-Faktor-Verzeichnis (LDAP/Active Directory) überprüft.
  3. Wenn die richtigen Anmeldeinformationen angegeben werden, wechselt die Authentifizierung zum nächsten Faktor.
  4. Zu diesem Zeitpunkt sendet die Citrix ADC Appliance eine Anfrage an den RADIUS-Push-Server.
  5. Während die Citrix ADC Appliance auf eine Antwort vom RADIUS-Server wartet, unterbricht der Endpunkt die TCP-Verbindung.
  6. Der Citrix ADC erhält eine Antwort vom RADIUS-Push-Server.
  7. Da keine Client-TP-Verbindung gefunden wird, bricht die Citrix ADC Appliance die Sitzung ab und die Anmeldung schlägt fehl.

Im Folgenden finden Sie ein Beispiel für den Ereignisfluss während der Authentifizierung mit konfiguriertem Polling.

Poling-neu

  1. Ein Endpunkt (App oder Webbrowser) authentifiziert sich mit Anmeldeinformationen.
  2. Der Benutzername und das Kennwort werden mit einem vorhandenen First-Faktor-Verzeichnis (LDAP/Active Directory) überprüft.
  3. Wenn die richtigen Anmeldeinformationen angegeben werden, wechselt die Authentifizierung zum nächsten Faktor.
  4. Zu diesem Zeitpunkt sendet die Citrix ADC Appliance eine Anfrage an den RADIUS-Push-Server.
  5. Während die Citrix ADC Appliance auf eine Antwort vom RADIUS-Server wartet, unterbricht der Endpunkt die TCP-Verbindung.
  6. Endpoint sendet eine Umfrage (Probe) an die Citrix ADC Appliance, um nach dem Authentifizierungsstatus zu suchen.
  7. Da die Citrix ADC Appliance keine Rückmeldung vom RADIUS-Server hört, fordert sie den Endpunkt auf, die Abfrage fortzusetzen.
  8. Die Citrix ADC Appliance erhält eine Antwort vom RADIUS-Push-Server.
  9. Da keine Client-TP-Verbindung gefunden wird, speichert ADC den Sitzungsstatus.
  10. Endpoint fragt erneut ab, um nach dem Authentifizierungsstatus zu suchen.
  11. Die Citrix ADC Appliance richtet die Sitzung ein und die Anmeldung ist erfolgreich.

Konfigurieren von Polling mit CLI

Im Folgenden finden Sie eine Beispiel-CLI Konfiguration.

Konfigurieren Sie den ersten Faktor

add authentication ldapAction ldap-new -serverIP 10.106.40.65 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword 2f63d3659103464a4fad0ade65e2ccfd4e8440e36ddff941d29796af03e01139 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -alternateEmailAttr userParameters

add authentication Policy ldap-new -rule true -action ldap-new

bind authentication vserver avs -policy ldap-new -priority 1 -nextFactor rad_factor
<!--NeedCopy-->

Konfigurieren Sie den zweiten Faktor

add authentication radiusAction rad1 -serverIP 10.102.229.120 -radKey 1b1613760143ce2371961e9a9eb5392c86a4954a62397f29a01b5d12b42ce232 -encrypted -encryptmethod ENCMTHD_3

add authentication Policy rad -rule true -action rad1
<!--NeedCopy-->

Konfigurieren Sie das Anmeldesschema Poll.xml

add authentication loginSchema polling_schema -authenticationSchema LoginSchema/Poll.xml

add authentication policylabel rad_factor -loginSchema polling_schema

bind authentication policylabel rad_factor -policyName rad -priority 1 -gotoPriorityExpression NEXT
<!--NeedCopy-->

Konfigurieren von Polling mit GUI

Ausführliche Schritte zum Konfigurieren der Multifaktor-Authentifizierung mit der GUI finden Sie unter Konfigurieren der nFactor-Authentifizierung

Im Folgenden finden Sie die Beispielschritte auf hoher Ebene, die für die Konfiguration von Citrix ADC für Polling ab dem zweiten Faktor erforderlich sind.

  1. Erstellen Sie einen ersten Faktor für die Authentifizierung, zum Beispiel LDAP.
  2. Erstellen Sie einen zweiten Faktor für die Authentifizierung, z. B.
  3. Fügen Sie Poll.xml in Citrix ADC (/nsConfig/loginschema/loginschema/) als Anmeldeschema für den zweiten Faktor hinzu.
Abfragen während der Authentifizierung