Authentifizierung und Autorisierung

Konfigurieren von Citrix Gateway für die Verwendung von RADIUS- und LDAP-Authentifizierung mit Mobilgeräten/Tablet -Geräten

In diesem Abschnitt wird beschrieben, wie Sie die Citrix Gateway-Appliance so konfigurieren, dass die RADIUS-Authentifizierung als primäre und LDAP-Authentifizierung als sekundäre für Mobilgeräte oder Tablets verwendet wird.

Die Konfiguration, die im Abschnitt gezeigt wird, erlaubt weiterhin allen anderen Verbindungen die Verwendung von LDAP first und RADIUS second.

Wenn Sie die Zwei-Faktor-Authentifizierung in der Citrix Workspace-App für die Verwendung mit Mobil-/Tablet-Geräten konfigurieren, müssen Sie die RSA SecureID (RADIUS-Authentifizierung) als primäre Authentifizierung hinzufügen. Aber wenn die Benutzer die Eingabeaufforderung für Benutzername und Kennwort, Passcode auf Receiver erhalten, setzen sie LDAP zuerst und RADIUS als zweite Anmeldeinformationen. Aus Sicht des Administrators ist es eine andere Konfiguration im Vergleich zu nicht-mobilen Konfigurationen.

lokalisiertes Bild

Führen Sie das folgende Verfahren aus, um die Citrix Gateway-Appliance so zu konfigurieren, dass die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre für Mobilgeräte verwendet wird.

  1. Wählen Sie im Konfigurationsdienstprogramm Citrix Gateway > Richtlinien > Authentifizierung aus, und erstellen Sie eine Authentifizierungsrichtlinie für LDAP und RSA für mobile Geräte und nicht mobile Geräte. Dies ist notwendig, um eine Logikbedingung zu vermeiden, die es Benutzern ermöglichen könnte, die RADIUS-Authentifizierung zu umgehen.

    lokalisiertes Bild

  2. Geben Sie LDAP-Server-Details ein, nachdem Sie auf Option hinzufügen unter Registerkarte Server für LDAP geklickt haben.

    lokalisiertes Bild

    Weitere Informationen zum Konfigurieren des Authentifizierungsservers finden Sie im Abschnitt “Erstellen von Authentifizierungsserver” von How to Configure LDAP-Authentifizierung on NetScaler

  3. Erstellen Sie LDAP-Richtlinie für die mobilen Geräte, indem Sie den erforderlichen LDAP-Server auswählen.

    Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:

    `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
    

    lokalisiertes Bild

  4. Klicken Sie auf Ausdruckseditor, um eine Richtlinie zu erstellen:

    lokalisiertes Bild

  5. Erstellen Sie eine RADIUS-Richtlinie und einen RADIUS-Server für die mobilen Geräte.

    (a) Navigieren Sie zu der RADIUS-Option über Citrix Gateway > Richtlinien > Authentifizierung > RADIUS. Klicken Sie auf Hinzufügen unter der Registerkarte Server.

    lokalisiertes Bild

    (b) Fügen Sie die erforderlichen Angaben hinzu. Der Standardport für die RADIUS-Authentifizierung ist 1812.

    lokalisiertes Bild

    (c) Um diese Richtlinie nur an mobile Geräte zu binden, verwenden Sie den folgenden Ausdruck:

    lokalisiertes Bild

  6. Führen Sie den gleichen Schritt aus, um eine LDAP-Richtlinie für nicht-mobile Geräte zu erstellen. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an nicht-mobile Geräte zu binden:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    lokalisiertes Bild

  7. Erstellen Sie eine RADIUS-Richtlinie für nicht-mobile Geräte. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an nicht-mobile Geräte zu binden:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    lokalisiertes Bild

  8. Wechseln Sie zu den Eigenschaften des virtuellen Citrix Gateway-Servers und klicken Sie auf die Registerkarte Authentifizierung. Fügen Sie auf den primären Authentifizierungsrichtlinien die Richtlinie RSA_Mobile als oberste Priorität und die Richtlinie LDAP_NonMobile als sekundäre Priorität hinzu:

    lokalisiertes Bild

  9. Fügen Sie auf den sekundären Authentifizierungsrichtlinien die Richtlinie LDAP_Mobile als oberste Priorität hinzu, gefolgt von der Richtlinie RSA_NonMobile als sekundäre Priorität:

    lokalisiertes Bild

    Die Sitzungsrichtlinie muss den richtigen Single Sign-On-Anmeldeinformationsindex aufweisen, d. h. die LDAP-Anmeldeinformationen müssen. Für mobile Geräte sollte der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Secondary (LDAP) festgelegt werden.

Daher benötigen Sie zwei Sitzungsrichtlinien, eine für mobile Geräte und die andere für nicht-mobile Geräte.

(a) Für mobile Geräte Sitzungsrichtlinie und Sitzungsprofil wird wie im folgenden Screenshot gezeigt aussehen. Um eine Sitzungsrichtlinie zu erstellen, navigieren Sie zum erforderlichen virtuellen Server, und klicken Sie auf Bearbeiten, gehen Sie zum Richtlinienabschnitt und klicken Sie auf + Zeichen:

lokalisiertes Bild

(b) Wählen Sie die Option Sitzung aus dem Dropdownmenü.

lokalisiertes Bild

(c) Geben Sie den gewünschten Sitzungsrichtliniennamen ein und klicken Sie auf +, um ein neues Profil zu erstellen. Für mobile Geräte sollte der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Secondary (LDAP) festgelegt werden.

lokalisiertes Bild

(d) Führen Sie für nicht-mobile Geräte die gleichen Schritte aus. Anmeldeinformationsindex unter Sitzungsprofil > Client Experience sollte auf Primär gesetzt werden, d. h. LDAP.

Der Ausdruck sollte geändert werden in:

`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`

lokalisiertes Bild

(e) Um ein neues Profil für nicht-mobile Benutzer zu erstellen, klicken Sie auf + Zeichen.

lokalisiertes Bild

  1. Richtlinien und Profile unter dem erforderlichen virtuellen Server ähneln dem folgenden Screenshot:

    lokalisiertes Bild

  2. Zusätzlich auf StoreFront, unter der Citrix Gateway-Konfiguration, um “Anmeldetyp” = “Domäne und Sicherheitstoken” zu verwenden

    lokalisiertes Bild

    lokalisiertes Bild

Konfigurieren von Citrix Gateway für die Verwendung von RADIUS- und LDAP-Authentifizierung mit Mobilgeräten/Tablet -Geräten