Citrix ADC

Zwei-Faktor-Authentifizierung für Systembenutzer und externe Benutzer

Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsmechanismus, bei dem eine Citrix ADC Appliance einen Systembenutzer auf zwei Authentifikatorstufen authentifiziert. Die Appliance gewährt dem Benutzer erst nach erfolgreicher Validierung von Kennwörtern durch beide Authentifizierungsstufen Zugriff. Wenn ein Benutzer lokal authentifiziert wird, muss das Benutzerprofil in der Citrix ADC Datenbank erstellt werden. Wenn der Benutzer extern authentifiziert wird, müssen der Benutzername und das Kennwort mit der Benutzeridentität übereinstimmen, die auf dem externen Authentifizierungsserver registriert ist.

Hinweis

Die Zwei-Faktor-Authentifizierungsfunktion funktioniert nur ab Citrix ADC 12.1 Build 51.16.

So funktioniert Zwei-Faktor-Authentifizierung

Betrachten Sie einen Benutzer, der versucht, sich bei einer Citrix ADC Appliance anzumelden. Der angeforderte Anwendungsserver sendet den Benutzernamen und das Kennwort an den ersten externen Authentifizierungsserver (RADIUS, TACACS, LDAP oder AD). Sobald der Benutzername und das Kennwort überprüft wurden, wird der Benutzer zur Eingabe einer zweiten Authentifizierungsebene aufgefordert. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen. Das folgende Diagramm veranschaulicht, wie die Zwei-Faktor-Authentifizierung für eine Citrix ADC Appliance funktioniert.

Zweistufige Authentifizierung

Im Folgenden sind die verschiedenen Anwendungsfälle für die Konfiguration der Zwei-Faktor-Authentifizierung für externe und Systembenutzer.

Sie können die Zwei-Faktor-Authentifizierung auf einer Citrix ADC Appliance auf verschiedene Arten konfigurieren. Im Folgenden finden Sie die verschiedenen Konfigurationsszenarien für die Zwei-Faktor-Authentifizierung auf einer Citrix ADC Appliance.

  1. Zwei-Faktor-Authentifizierung (2FA) für Citrix ADC, GUI, CLI, API und SSH.
  2. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert.
  3. Externe Authentifizierung mit richtlinienbasierter lokaler Authentifizierung für Systembenutzer aktiviert.
  4. Externe Authentifizierung deaktiviert für Systembenutzer mit aktivierter lokaler Authentifizierung.
  5. Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert.
  6. Externe Authentifizierung für ausgewählte LDAP-Benutzer aktiviert

Anwendungsfall 1: Zwei-Faktor-Authentifizierung (2FA) über Citrix ADC -, GUI-, CLI-, API- und SSH-Schnittstellen

Die Zwei-Faktor-Authentifizierung ist für alle Citrix ADC Verwaltungszugriffe für GUI, API und SSH aktiviert und verfügbar.

Anwendungsfall 2: Zwei-Faktor-Authentifizierung wird auf externen Authentifizierungsservern wie LDAP, RADIUS, Active Directory und TACACS unterstützt

Sie können die Zwei-Faktor-Authentifizierung auf den folgenden externen Authentifizierungsservern für die Benutzerauthentifizierung der ersten und zweiten Ebene konfigurieren.

  • RADIUS
  • LDAP
  • Active Directory
  • TACACS

Anwendungsfall 3: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert

Sie beginnen den Authentifizierungsprozess, indem Sie die Option für die externe Authentifizierung aktivieren und die lokale Authentifizierung für Systembenutzer deaktivieren.

Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer deaktiviert

Führen Sie die folgenden Schritte durch, indem Sie die Befehlszeilenschnittstelle verwenden:

  1. Hinzufügen von Authentifizierungsaktion für LDAP-Richtlinie
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server
  7. Globale Systemauthentifizierung für LDAP-Richtlinie binden
  8. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein: add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel: add authentication policy pol1 -rule true -action ldapact1

Authentifizierungsaktion für RADIUS-Server hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen der Authentifizierungsrichtlinie für RADIUS-Server (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <radius policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml für Systembenutzer verwenden, um das zweite Kennwort für die Citrix ADC Appliance anzugeben. Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <login schema name> -authenticationSchema LoginSchema/SingleAuth.xml

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung zum RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global pol11 -priority 1 -nextFactor label11

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Anwendungsfall 4: Externe Authentifizierung für Systembenutzer mit angehängter lokaler Authentifizierungsrichtlinie aktiviert

In diesem Szenario ist der Benutzer berechtigt, sich bei der Appliance mit Zwei-Faktor-Authentifizierung mit Auswertung der lokalen Authentifizierungsrichtlinie auf der zweiten Ebene der Benutzeridentifikation anzumelden.

Externe Authentifizierung für Systembenutzer mit angehängter lokaler Authentifizierungsrichtlinie

Führen Sie die folgenden Schritte mit der Befehlszeilenschnittstelle aus.

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Lokale Authentifizierungsrichtlinie hinzufügen
  4. Authentifizierungsrichtlinienlabel hinzufügen
  5. LDAP-Richtlinie als systemglobal binden
  6. Deaktivieren der lokalen Authentifizierung im Systemparameter

Authentifizierungsaktion für LDAP-Server hinzufügen (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <string>-ssoNameAttribute <string>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name –ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server (Authentifizierung der ersten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <ldap policy name> -rule true -action <ldap action name>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Lokale Authentifizierungsrichtlinie für Systembenutzer hinzufügen (Authentifizierung auf der zweiten Ebene)

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Hinzufügen und Binden der Authentifizierungsrichtlinienbezeichnung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>] bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Deaktivieren der lokalen Authentifizierung im Systemparameter

Geben Sie an der Eingabeaufforderung Folgendes ein:

set system parameter -localauth disabled

Anwendungsfall 5: Externe Authentifizierung deaktiviert und lokale Authentifizierung für Systembenutzer aktiviert

Wenn der Benutzer ExternalAuth deaktiviert hat, zeigt dies an, dass der Benutzer nicht auf dem Authentifizierungsserver vorhanden ist. Der Benutzer wird nicht beim externen Authentifizierungsserver authentifiziert, selbst wenn ein Benutzer mit demselben Benutzernamen auf dem externen authentifizierten Server vorhanden ist. Der Benutzer wird lokal authentifiziert.

Externe Authentifizierung deaktiviert und lokale Authentifizierung für Systembenutzer aktiviert

So aktivieren Sie das Kennwort des Systembenutzers und deaktivieren die externe Authentifizierung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add system user <name> <password> -externalAuth DISABLED

Beispiel:

add system user user1 password1 –externalAuth DISABLED

Anwendungsfall 6: Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert

So konfigurieren Sie die Appliance für die Authentifizierung von Systembenutzern mithilfe eines lokalen Kennworts. Wenn diese Authentifizierung fehlschlägt, wird der Benutzer mit einem externen Authentifizierungskennwort auf den externen Authentifizierungsservern auf zwei Ebenen authentifiziert.

Externe Authentifizierung aktiviert und lokale Authentifizierung für Systembenutzer aktiviert

Gehen Sie folgendermaßen vor, um über die Befehlszeile zu konfigurieren:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie binden
  9. Bind Authentication System global für LDAP-Richtlinie

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema SingleAuth.xml verwenden, um die Anmeldeseite anzuzeigen und den Systembenutzer bei der Authentifizierung der zweiten Ebene zu authentifizieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority 1

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

Anwendungsfall 7: Externe Authentifizierung ist nur für ausgewählte externe Benutzer aktiviert

Konfiguration selektiver externer Benutzer mit Zwei-Faktor-Authentifizierung gemäß dem in der LDAP-Aktion konfigurierten Suchfilter, während andere Systembenutzer mit Einzelfaktorauthentifizierung authentifiziert werden.

Um über die Befehlszeilenschnittstelle zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie
  3. Hinzufügen der Authentifizierungsaktion für die RADIUS-Richtlinie
  4. Hinzufügen der Authentifizierungsrichtlinie für die RADIUS-Richtlinie
  5. Authentifizierungsanmeldeschema hinzufügen
  6. Authentifizierungsrichtlinienlabel hinzufügen
  7. Authentifizierungsrichtlinienlabel für Anmeldeschema binden
  8. Globales Authentifizierungssystem für RADIUS-Richtlinie binden

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-ssoNameAttribute <>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name -ssoNameAttribute name

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Hinzufügen von Authentifizierungsaktion für RADIUS-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication radiusaction <rad action name> -serverip <rad server ip> -radkey <key> -radVendorID <ID >-radattributetype <rad attribute type>

Beispiel:

add authentication radiusaction radact1 -serverip 1.1.1.1 -radkey 123 -radVendorID 1234 -radAttributeType 2

Erweiterte Authentifizierungsrichtlinie für RADIUS-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> -rule true -action <rad action name>

Beispiel:

add authentication policy radpol11 -rule true -action radact11

Authentifizierungsanmeldeschema hinzufügen

Sie können das Anmeldeschema von SingleAuth.xml verwenden, um die Anmeldeseite bereitzustellen, auf der die Appliance einen Systembenutzer auf einer zweiten Authentifizierungsebene authentifizieren kann.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication loginSchema <name> -authenticationSchema <string>

Beispiel:

add authentication loginSchema radschema -authenticationSchema LoginSchema/SingleAuth.xml

Hinzufügen und Binden der Authentifizierungsrichtlinie zur RADIUS-Authentifizierungsrichtlinie für die Benutzeranmeldung

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policylabel <labelName> [-type ( AAATM_REQ | RBA_REQ )] [-comment <string>][-loginSchema <string>]

Beispiel:

add authentication policylabel label1 -type RBA_REQ -loginSchema radschema bind authentication policylabel <labelName> -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-nextFactor <string>]

Beispiel:

bind authentication policylabel label1 -policyName rad_pol11 -priority

Authentifizierungsrichtlinie global binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global [<policyName> [-priority <positive_integer>] [-nextFactor <string>] [-gotoPriorityExpression <expression>]]

Beispiel:

bind system global radpol11 -priority 1 -nextFactor label11

So konfigurieren Sie ohne Zwei-Faktor-Authentifizierung für Gruppenbenutzer mit dem Suchfilter:

  1. Authentifizierungsaktion für LDAP-Server hinzufügen
  2. Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server
  3. Bind Authentication System global für LDAP-Server

Authentifizierungsaktion für LDAP-Server hinzufügen

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication ldapaction <ldap action name> -serverip <IP> -ldapbase <> -ldapbinddn <binddn name> -ldapbinddnpassword <password>-ldaploginname <loginname> -groupattrname <grp attribute name> -subAttributename <>-searchFilter<>

Beispiel:

add authentication ldapaction ldapact1 -serverip 1.1.1.1 -ldapbase base -ldapbindDn name -ldapbindDNpassword password -ldapLoginName name -groupAttrName name -subAttributeName name - searchFilter "memberOf=CN=grp4,CN=Users,DC=aaatm-test,DC=com"

Hinzufügen der Authentifizierungsrichtlinie für LDAP-Server

Geben Sie an der Eingabeaufforderung Folgendes ein:

add authentication policy <policy name> --rule true -action <ldap action name>

Beispiel:

add authentication policy pol1 -rule true -action ldapact1

Bind Authentication System global für LDAP-Richtlinie

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind system global ldappolicy -priority <priority> -nextFactor <policy label name>

Beispiel:

bind system global pol11 -priority 1 -nextFactor label11

Angepasste Eingabeaufforderung für Zwei-Faktor-Authentifizierung anzeigen

Wenn Sie zwei Faktor-Kennwort-Feld mit der Datei SingleAuth.xml unter/flash/nsconfig/loginschema/LoginSchema

Es folgt das Snippet einer Datei SingleAuth.xml, in der ‘SecondPassword: ‘der zweite Kennwortfeldname ist, der an den Benutzer aufgefordert wird, ein zweites Kennwort einzugeben.

<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext/>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><ID>login</ID><SaveID>ExplicitForms-Username</SaveID><Type>username</Type></Credential><Label><Text>singleauth_user_name</Text><Type>nsg-login-label</Type></Label><Input><AssistiveText>singleauth_please_supply_either_domain\username_or_user@fully.qualified.domain</AssistiveText><Text><Secret>false</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><ID>passwd</ID><SaveID>ExplicitForms-Password</SaveID><Type>password</Type></Credential><Label><Text>SecondPassword:</Text><Type>nsg-login-label</Type></Label><Input><Text><Secret>true</Secret><ReadOnly>false</ReadOnly><InitialValue/><Constraint>.+</Constraint></Text></Input></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>singleauth_first_factor</Text><Type>nsg_confirmation</Type></Label><Input/></Requirement>
<Requirement><Credential><ID>saveCredentials</ID><Type>savecredentials</Type></Credential><Label><Text>singleauth_remember_my_password</Text><Type>nsg-login-label</Type></Label><Input><CheckBox><InitialValue>false</InitialValue></CheckBox></Input></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>singleauth_log_on</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>

Konfigurieren der Zwei-Faktor-Authentifizierung mit der Citrix ADC GUI

  1. Melden Sie sich bei der Citrix ADC Appliance an.
  2. Gehen Sie zu System > Authentifizierung > Erweiterte Richtlinien > Richtlinie .
  3. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der ersten Ebene zu erstellen.
  4. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest.
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Pluszeichen klicken und eine Aktion des richtigen Typs erstellen.
    4. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  5. Klicken Sie auf Erstellen und dann auf Schließen.
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Hinzufügen, um die Authentifizierungsrichtlinie der zweiten Ebene zu erstellen.
  8. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen die folgenden Parameter fest
    1. Name. Name der Richtlinie
    2. Aktionstyp. Wählen Sie den Aktionstyp als LDAP, Active Directory, RADIUS, TACACS usw.
    3. Aktion. Die Authentifizierungsaktion (Profil), die der Richtlinie zugeordnet werden soll. Sie können eine vorhandene Authentifizierungsaktion auswählen oder auf das Symbol + klicken, um eine Aktion des richtigen Typs zu erstellen.
    4. Ausdruck. Bereitstellen eines erweiterten Richtlinienausdrucks
  9. Klicken Sie auf Erstellen und dann auf Schließen.
    1. Ausdruck. Geben Sie einen erweiterten Richtlinienausdruck an.
  10. Klicken Sie auf Erstellen.
  11. Klicken Sie auf der Seite Authentifizierungsrichtlinien auf Globale Bindung .
  12. Wählen Sie auf der Seite Globale Authentifizierungsrichtlinien-Bindung erstellen die Authentifizierungsrichtlinie der ersten Ebene aus und klicken Sie auf Bindung hinzufügen.
  13. Wählen Sie auf der Seite Richtlinienbindung die Authentifizierungsrichtlinie aus, und legen Sie den folgenden Richtlinienbindungsparameter fest.
    1. Nächster Faktor. Wählen Sie die Bezeichnung der Authentifizierungsrichtlinie der zweiten Ebene aus.
  14. Klicken Sie auf Binden und Schließen .

    GUI-Konfiguration für Zwei-Faktor-Authentifizierung für Systembenutzer

  15. Klicken Sie auf Fertig.
  16. Melden Sie sich bei der Citrix ADC Appliance für die Authentifizierung der zweiten Ebene an. Der Benutzer kann nun das zweite Kennwort angeben. Nur wenn beide Kennwörter korrekt sind, darf der Benutzer auf die Citrix ADC Appliance zugreifen.

Hinweis

Die für eine zweite Faktorauthentifizierung konfigurierte TACACS unterstützt keine Autorisierung und Buchhaltung, selbst wenn Sie sie für den Befehl “TacsAction” aktivieren. Der zweite Faktor wird nur für den Zweck der Authentifizierung verwendet.

Siehe auch Zwei-Faktor-Authentifizierung bei Citrix ADC nFactor-Authentifizierung.