Konfigurieren von Citrix Gateway für die Verwendung von RADIUS- und LDAP-Authentifizierung mit Mobilgeräten/Tablet -Geräten
In diesem Abschnitt wird beschrieben, wie Sie die Citrix Gateway-Appliance so konfigurieren, dass die RADIUS-Authentifizierung als primäre und LDAP-Authentifizierung als sekundäre für Mobilgeräte oder Tablets verwendet wird.
Die Konfiguration, die im Abschnitt gezeigt wird, erlaubt weiterhin allen anderen Verbindungen die Verwendung von LDAP first und RADIUS second.
Wenn Sie die Zwei-Faktor-Authentifizierung in der Citrix Workspace-App für die Verwendung mit Mobil-/Tablet-Geräten konfigurieren, müssen Sie die RSA SecureID (RADIUS-Authentifizierung) als primäre Authentifizierung hinzufügen. Aber wenn die Benutzer die Eingabeaufforderung für Benutzername und Kennwort, Passcode auf Receiver erhalten, setzen sie LDAP zuerst und RADIUS als zweite Anmeldeinformationen. Aus Sicht des Administrators ist es eine andere Konfiguration im Vergleich zu nicht-mobilen Konfigurationen.
Führen Sie das folgende Verfahren aus, um die Citrix Gateway-Appliance so zu konfigurieren, dass die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre für Mobilgeräte verwendet wird.
-
Wählen Sie im Konfigurationsdienstprogramm Citrix Gateway > Richtlinien > Authentifizierung aus, und erstellen Sie eine Authentifizierungsrichtlinie für LDAP und RSA für mobile Geräte und nicht mobile Geräte. Dies ist notwendig, um eine Logikbedingung zu vermeiden, die es Benutzern ermöglichen könnte, die RADIUS-Authentifizierung zu umgehen.
-
Geben Sie LDAP-Server-Details ein, nachdem Sie auf Option hinzufügen unter Registerkarte Server für LDAP geklickt haben.
Weitere Informationen zum Konfigurieren des Authentifizierungsservers finden Sie im Abschnitt “Erstellen von Authentifizierungsserver” von How to Configure LDAP-Authentifizierung on NetScaler
-
Erstellen Sie LDAP-Richtlinie für die mobilen Geräte, indem Sie den erforderlichen LDAP-Server auswählen.
Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:
`REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
-
Klicken Sie auf Ausdruckseditor, um eine Richtlinie zu erstellen:
-
Erstellen Sie eine RADIUS-Richtlinie und einen RADIUS-Server für die mobilen Geräte.
(a) Navigieren Sie zu der RADIUS-Option über Citrix Gateway > Richtlinien > Authentifizierung > RADIUS. Klicken Sie auf Hinzufügen unter der Registerkarte Server.
(b) Fügen Sie die erforderlichen Angaben hinzu. Der Standardport für die RADIUS-Authentifizierung ist 1812.
(c) Um diese Richtlinie nur an mobile Geräte zu binden, verwenden Sie den folgenden Ausdruck:
-
Führen Sie den gleichen Schritt aus, um eine LDAP-Richtlinie für nicht-mobile Geräte zu erstellen. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an nicht-mobile Geräte zu binden:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Erstellen Sie eine RADIUS-Richtlinie für nicht-mobile Geräte. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an nicht-mobile Geräte zu binden:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Wechseln Sie zu den Eigenschaften des virtuellen Citrix Gateway-Servers und klicken Sie auf die Registerkarte Authentifizierung. Fügen Sie auf den primären Authentifizierungsrichtlinien die Richtlinie RSA_Mobile als oberste Priorität und die Richtlinie LDAP_NonMobile als sekundäre Priorität hinzu:
-
Fügen Sie auf den sekundären Authentifizierungsrichtlinien die Richtlinie LDAP_Mobile als oberste Priorität hinzu, gefolgt von der Richtlinie RSA_NonMobile als sekundäre Priorität:
Die Sitzungsrichtlinie muss den richtigen Single Sign-On-Anmeldeinformationsindex aufweisen, d. h. die LDAP-Anmeldeinformationen müssen. Für mobile Geräte sollte der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Secondary (LDAP) festgelegt werden.
Daher benötigen Sie zwei Sitzungsrichtlinien, eine für mobile Geräte und die andere für nicht-mobile Geräte.
(a) Für mobile Geräte Sitzungsrichtlinie und Sitzungsprofil wird wie im folgenden Screenshot gezeigt aussehen. Um eine Sitzungsrichtlinie zu erstellen, navigieren Sie zum erforderlichen virtuellen Server, und klicken Sie auf Bearbeiten, gehen Sie zum Richtlinienabschnitt und klicken Sie auf + Zeichen:
(b) Wählen Sie die Option Sitzung aus dem Dropdownmenü.
(c) Geben Sie den gewünschten Sitzungsrichtliniennamen ein und klicken Sie auf +, um ein neues Profil zu erstellen. Für mobile Geräte sollte der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Secondary (LDAP) festgelegt werden.
(d) Führen Sie für nicht-mobile Geräte die gleichen Schritte aus. Anmeldeinformationsindex unter Sitzungsprofil > Client Experience sollte auf Primär gesetzt werden, d. h. LDAP.
Der Ausdruck sollte geändert werden in:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
(e) Um ein neues Profil für nicht-mobile Benutzer zu erstellen, klicken Sie auf + Zeichen.
-
Richtlinien und Profile unter dem erforderlichen virtuellen Server ähneln dem folgenden Screenshot:
-
Zusätzlich auf StoreFront, unter der Citrix Gateway-Konfiguration, um “Anmeldetyp” = “Domäne und Sicherheitstoken” zu verwenden
