Authentifizierung und Autorisierung

nFactor für Gateway-Authentifizierung

Einführung

Die nFactor Authentifizierung ermöglicht eine ganze Reihe von Möglichkeiten in Bezug auf die Authentifizierung. Administratoren, die nFactor verwenden, genießen Authentifizierungs-, Autorisierungs- und Überwachungsflexibilität bei der Konfiguration von Authentifizierungsfaktoren für virtuelle Server.

Zwei Policy-Banken oder zwei Faktoren beschränken einen Administrator nicht mehr. Die Zahl der Policy-Banken kann auf unterschiedliche Bedürfnisse ausgeweitet werden. Basierend auf früheren Faktoren bestimmt nFactor eine Authentifizierungsmethode. Dynamische Anmeldeformulare und Aktionen bei Ausfall sind mit nFactor möglich.

Hinweis: nFactor wird für Citrix ADC Standard Edition nicht unterstützt. Es wird für Citrix ADC Advanced Edition und Citrix ADC Premium Edition unterstützt.

Anwendungsfälle

Die nFactor-Authentifizierung ermöglicht dynamische Authentifizierungsflüsse basierend auf dem Benutzerprofil. Manchmal können dies einfache Flows sein, um dem Benutzer intuitiv zu sein. In anderen Fällen können sie mit dem Sichern von Active Directory oder anderen Authentifizierungsservern gekoppelt werden. Im Folgenden werden einige spezifische Anforderungen für Gateway aufgeführt:

  1. Dynamische Auswahl von Benutzernamen und Kennwort. Traditionell verwenden Citrix Clients (einschließlich Browser und Receiver) das Active Directory-Kennwort (AD) als erstes Kennwortfeld. Das zweite Kennwort ist für das One-Time-Kennwort (OTP) reserviert. Zum Sichern von AD Servern muss OTP jedoch zuerst validiert werden. nFactor kann dies ohne Clientänderungen tun.

  2. Endpunkt für die Mehrmandantenauthentifizierung. Einige Organisationen verwenden unterschiedliche Gatewayserver für Zertifikat- und Nicht-Zertifikatbenutzer. Wenn Benutzer ihre eigenen Geräte zur Anmeldung verwenden, variieren die Zugriffsebenen des Benutzers je nach verwendetem Gerät je nach Citrix ADC. Gateway kann verschiedene Authentifizierungsanforderungen erfüllen.

  3. Authentifizierung basierend auf der Gruppenmitgliedschaft. Einige Organisationen erhalten Benutzereigenschaften von AD-Servern, um die Authentifizierungsanforderungen zu bestimmen. Authentifizierungsanforderungen können für einzelne Benutzer variiert werden.

  4. Authentifizierungskofaktoren. Manchmal werden verschiedene Paare von Authentifizierungsrichtlinien verwendet, um verschiedene Gruppen von Benutzern zu authentifizieren. Durch die Bereitstellung von Paarrichtlinien wird die effektive Authentifizierung erhöht. Abhängige Richtlinien können aus einem Flow erstellt werden. Auf diese Weise werden unabhängige Richtlinienbereiche zu eigenen Strömen, die die Effizienz steigern und die Komplexität verringern.

Authentifizierungsantwortbehandlung

Die Callback-Register von Citrix Gateway behandeln Authentifizierungsantworten. AAAD (Authentication Daemon) -Antworten und Erfolg/Failure/Fehler/Dialog -Codes sind Feed in das Callback-Handle. Die Erfolgs-/Fehler/Fehler/Dialog -Codes leiten Gateway dazu an, die entsprechenden Maßnahmen zu ergreifen.

Kunden-Support

In der folgenden Tabelle werden Konfigurationsdetails beschrieben.

Client nFactor-Unterstützung Authentifizierungsrichtlinien-Bindpunkt EPA
Browser Ja Auth Ja
Citrix Workspace-App Nein VPN N
Gateway-Plug-in Nein VPN Ja

Befehlszeilenkonfiguration

Der virtuelle Gatewayserver benötigt einen virtuellen Authentifizierungsserver, der als Attribut bezeichnet wird. Dies ist die einzige Konfiguration, die für dieses Modell erforderlich ist.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

authnVsName ist der Name des virtuellen Authentifizierungsservers. Dieser virtuelle Server sollte mit erweiterten Authentifizierungsrichtlinien konfiguriert werden und wird für die nFactor-Authentifizierung verwendet.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Dabei steht authnProfile für das zuvor erstellte Authentifizierungsprofil.

Interop-Herausforderungen

Die meisten Legacy Gateway-Clients sind neben RFWeb-Clients auch auf Antworten modelliert, die von Gateway gesendet werden. Beispielsweise wird für viele Clients eine 302-Antwort auf /vpn/index.html erwartet. Außerdem sind diese Clients auf verschiedene Gateway-Cookies wie “pwcount”, “NSC_CERT” usw. angewiesen.

Endpunktanalyse (EPA)

Da das Subsystem Authentifizierung, Autorisierung und Überwachung EPA für nFactor nicht unterstützt; dennoch führt der virtuelle Gateway-Server EPA aus. Nach EPA werden die Anmeldeinformationen über die zuvor erwähnte API an den virtuellen Authentifizierungsserver gesendet. Sobald die Authentifizierung abgeschlossen ist, fährt Gateway mit dem Postauthentifizierungsprozess fort und richtet die Benutzersitzung ein.

Überlegungen zur Fehlkonfiguration

Der Gateway-Client sendet die Benutzeranmeldeinformationen nur einmal. Gateway erhält entweder eine oder zwei Anmeldeinformationen vom Client mit der Anmeldeanforderung. Im Legacy-Modus gibt es maximal zwei Faktoren. Die erhaltenen Passwörter werden für diese Faktoren verwendet. Bei nFactor ist die Anzahl der konfigurierbaren Faktoren jedoch praktisch unbegrenzt. Kennwörter, die vom Gateway-Client abgerufen wurden, werden (gemäß Konfiguration) für konfigurierte Faktoren wiederverwendet. Es ist darauf zu achten, dass das Einmalkennwort (OTP) nicht mehrfach wiederverwendet werden sollte. Ebenso muss der Administrator sicherstellen, dass das wiederverwendete Kennwort in einem Faktor tatsächlich auf diesen Faktor anwendbar ist.

Citrix Clients definieren

Die Konfigurationsoption wird bereitgestellt, um Citrix ADC dabei zu unterstützen, Browser-Clients im Vergleich zu Thick-Clients wie Receiver zu ermitteln.

Ein Mustersatz, ns_vpn_client_useragents, wird bereitgestellt, damit der Administrator Muster für alle Citrix Clients konfigurieren kann.

Ebenso binden Sie die Zeichenfolge “Citrix Receiver” an das obige Patset, um alle Citrix Clients mit “Citrix Receiver” im User-Agent zu ignorieren.

Beschränken von nFactor für Gateway

nFactor für die Gateway-Authentifizierung wird nicht passieren, wenn die folgenden Bedingungen vorhanden sind.

  1. authnProfile ist nicht in Citrix Gateway festgelegt.

  2. Erweiterte Authentifizierungsrichtlinien sind nicht an den virtuellen Authentifizierungsserver gebunden, und derselbe virtuelle Authentifizierungsserver wird in AuthnProfile erwähnt.

  3. Die Zeichenfolge User-Agent in der HTTP-Anforderung entspricht den User-Agents, die in patset ns_vpn_client_useragents konfiguriert sind.

Wenn diese Bedingungen nicht erfüllt sind, wird die klassische Authentifizierungsrichtlinie verwendet, die an Gateway gebunden ist.

Wenn ein User-Agent oder ein Teil davon an das oben genannte Patset gebunden ist, nehmen Anfragen von diesen User-Agents nicht am nFactor-Fluss teil. Beispielsweise schränkt der folgende Befehl die Konfiguration für alle Browser ein (vorausgesetzt, alle Browser enthalten “Mozilla” in der Benutzer-Agent-Zeichenfolge):

bind patset ns_vpn_client_useragents Mozilla

LoginSchema

LoginSchema ist eine logische Darstellung des Anmeldeformulars. Die XML-Sprache definiert es. Die Syntax von loginSchema entspricht der Citrix Common Forms Protocol Spezifikation.

LoginSchema definiert die “Ansicht” des Produkts. Ein Administrator kann eine benutzerdefinierte Beschreibung, Hilfstext usw. des Formulars bereitstellen. Dazu gehören die Beschriftungen des Formulars selbst. Ein Kunde kann eine Erfolgs-/Fehler-Meldung bereitstellen, die das zu einem bestimmten Zeitpunkt dargestellte Formular beschreibt.

LoginSchema und nFactor Wissen erforderlich

Vordefinierte loginSchema-Dateien sind in folgendem Citrix ADC-Speicherort /nsconfig/loginschema/LoginSchema/. Diese vorgefertigten loginSchema-Dateien eignen sich für häufige Anwendungsfälle und können bei Bedarf für geringfügige Abweichungen geändert werden.

Außerdem benötigen die meisten Single-Factor-Anwendungsfälle mit wenigen Anpassungen keine loginSchema-Konfiguration.

Dem Administrator wird empfohlen, in der Dokumentation weitere Konfigurationsoptionen zu prüfen, mit denen Citrix ADC die Faktoren ermitteln kann. Sobald der Benutzer die Anmeldeinformationen übermittelt hat, kann der Administrator mehrere Faktoren konfigurieren, um die Authentifizierungsfaktoren flexibel auszuwählen und zu verarbeiten.

Konfigurieren der Dual-Faktor-Authentifizierung ohne Verwendung von LoginSchema

Citrix ADC ermittelt automatisch Dual-Faktor-Anforderungen basierend auf der Konfiguration. Sobald der Benutzer diese Anmeldeinformationen vorlegt, kann der Administrator den ersten Satz von Richtlinien auf dem virtuellen Server konfigurieren. Für jede Richtlinie kann ein “NextFactor” als “Passthrough” konfiguriert sein. Ein “passthrough” bedeutet, dass der Citrix ADC die Anmeldung mit der vorhandenen Anmeldeinformationen verarbeiten soll, ohne an den Benutzer zu gehen. Durch die Verwendung von “passthrough” -Faktoren kann ein Administrator den Authentifizierungsablauf programmgesteuert steuern. Administratoren werden empfohlen, die nFactor-Spezifikation oder die Bereitstellungshandbücher für weitere Details zu lesen. Siehe Multi-Faktor-Authentifizierung (nFactor).

Benutzername Kennwort-Ausdrücke

Um die Anmeldeinformationen zu verarbeiten, muss der Administrator das LoginSchema konfigurieren. Einzelfaktor- oder Dual-Faktor-Anwendungsfälle mit wenigen LoginSchema-Anpassungen benötigen keine angegebene XML-Definition. Das LoginSchema hat andere Eigenschaften wie userExpression und passwdExpression, die verwendet werden können, um Benutzernamen/Kennwort zu ändern, die der Benutzer präsentiert. Dies sind erweiterte Richtlinienausdrücke und können auch verwendet werden, um die Benutzereingabe zu überschreiben.

High-Level-Schritte in der nFactor-Konfiguration

Das folgende Diagramm veranschaulicht die High-Level-Schritte, die bei der nFactor-Konfiguration beteiligt sind.

nfactor-workflow

GUI-Konfiguration

In diesem Abschnitt werden die folgenden Themen beschrieben:

  • Erstellen eines virtuellen Servers

  • Virtueller Authentifizierungsserver erstellen

  • Authentifizierungs-CERT-Profil erstellen

  • Erstellen einer Authentifizierungsrichtlinie

  • Hinzufügen eines LDAP-Authentifizierungsservers

  • Hinzufügen einer LDAP-Authentifizierungsrichtlinie

  • Hinzufügen eines Radius-Authentifizierungsservers

  • Hinzufügen einer Radius-Authentifizierungsrichtlinie

  • Erstellen eines Authentifizierungs-Anmeldeschemas

  • Erstellen eines Richtlinienlabels

Erstellen eines virtuellen Servers

  1. Navigieren Sie zu Citrix Gateway -> Virtuelle Server.

    lokalisiertes Bild

  2. Klicken Sie auf die Schaltfläche Hinzufügen, um einen virtuellen Lastenausgleichsserver zu erstellen.

    lokalisiertes Bild

  3. Geben Sie die folgenden Informationen ein.

    Parametername Parameterbeschreibung
    Geben Sie den Namen des virtuellen Servers ein. Name für den virtuellen Citrix Gateway-Server. Muss mit einem alphabetischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestriche (-) enthalten. Kann geändert werden, nachdem der virtuelle Server erstellt wurde. Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Server” oder “mein Server”).
    Geben Sie den IP-Adresstyp für den virtuellen Server ein Wählen Sie im Dropdownmenü eine IP-Adresse oder nicht adressierbare Option aus.
    Geben Sie die IP-Adresse des virtuellen Servers ein. Eine Internetprotokolladresse (IP-Adresse) ist ein numerisches Label, das jedem Gerät zugewiesen wird, das am Computernetzwerk beteiligt ist, das das Internetprotokoll für die Kommunikation verwendet.
    Geben Sie die Portnummer für den virtuellen Server ein. Geben Sie die Portnummer ein.
    Geben Sie das Authentifizierungsprofil ein. Authentifizierungsprofil-Entität auf dem virtuellen Server. Diese Entität kann verwendet werden, um die Authentifizierung auf Authentifizierung, Autorisierung und Überwachung virtueller Server für Multi-Factor (nFactor) Authentifizierung zu übertragen.
    Geben Sie das RDP-Serverprofil ein. Name des RDP-Serverprofils, das dem virtuellen Server zugeordnet ist.
    Geben Sie die Maximalbenutzer ein. Maximale Anzahl gleichzeitiger Benutzersitzungen, die auf diesem virtuellen Server zulässig sind. Die tatsächliche Anzahl der Benutzer, die sich an diesem virtuellen Server anmelden dürfen, hängt von der Gesamtzahl der Benutzerlizenzen ab.
    Geben Sie die Max. Anmeldeversuche ein. Maximale Anzahl von Anmeldeversuchen.
    Geben Sie das Timeout für die fehlgeschlagene Anmeldung ein. Anzahl der Minuten, die ein Konto gesperrt wird, wenn der Benutzer die maximal zulässigen Versuche überschreitet.
    Geben Sie das Windows EPA-Plug-in-Upgrade ein. Option zum Festlegen des Upgradeverhaltens für Win.
    Geben Sie das Linux EPA-Plug-in-Upgrade ein. Option zum Festlegen des Plug-in-Upgrade-Verhaltens für Linux.
    Eingeben des MAC-EPA-Plug-in-Upgrades Option zum Festlegen des Plug-in-Upgrade-Verhaltens für Mac.
    Einmal anmelden Diese Option aktiviert/deaktiviert nahtlose SSO für diesen virtuellen Server.
    Nur ICA Wenn sie auf ON gesetzt ist, bedeutet dies den Basismodus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser anmelden und Zugriff auf die veröffentlichten Apps erhalten kann, die in der Citrix Virtual Apps and Desktops Umgebung konfiguriert sind, auf die der Wihome-Parameter hingewiesen wird. Benutzer dürfen keine Verbindung über das Citrix Gateway-Plug-In herstellen, und die Endpunkt-Scans können nicht konfiguriert werden. Die Anzahl der Benutzer, die sich anmelden und auf die Apps zugreifen können, ist in diesem Modus nicht durch die Lizenz beschränkt. - Wenn diese Option auf OFF eingestellt ist, bedeutet dies den SmartAccess Modus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser oder einem Citrix Gateway-Plug-In anmelden kann. Der Administrator kann Endpunktscans so konfigurieren, dass sie auf den Clientsystemen ausgeführt werden, und dann mit der Ergebnisse den Zugriff auf die veröffentlichten Apps steuern. In diesem Modus kann sich der Client in anderen Client-Modi VPN und CVPN mit dem Gateway verbinden. Die Anzahl der Benutzer, die sich anmelden und auf die Ressourcen zugreifen können, wird durch die CCU-Lizenzen in diesem Modus begrenzt.
    Authentifizierung aktivieren Authentifizierung für Benutzer erforderlich, die eine Verbindung mit Citrix Gateway herstellen.
    Doppel-Hop Verwenden Sie die Citrix Gateway-Appliance in einer Double-Hop-Konfiguration. Eine Double-Hop-Bereitstellung bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk, indem drei Firewalls verwendet werden, um die DMZ in zwei Stufen zu unterteilen. Eine solche Bereitstellung kann über eine Appliance in der DMZ und eine Appliance im sicheren Netzwerk verfügen.
    Down-Status-Flush Schließen Sie vorhandene Verbindungen, wenn der virtuelle Server als DOWN markiert ist, was bedeutet, dass der Server eine Zeitüberschreitung überschritten hat. Durch das Trennen vorhandener Verbindungen werden Ressourcen freigegeben und in bestimmten Fällen wird die Wiederherstellung überlasteter Lastausgleichs-Setups beschleunigt. Aktivieren Sie diese Einstellung auf Servern, auf denen die Verbindungen sicher geschlossen werden können, wenn sie als DOWN markiert sind. Aktivieren Sie nicht den Down-Status Leeren auf Servern, die ihre Transaktionen abschließen müssen.
    DTLS Diese Option starten/stoppt den Turn-Dienst auf dem virtuellen Server
    AppFlow-Protokollierung Protokollieren von AppFlow-Datensätzen, die standardmäßige NetFlow- oder IPFIX-Informationen enthalten, z. B. Zeitstempel für Anfang und Ende eines Flows, Paketanzahl und Byteanzahl. Protokollieren Sie auch Datensätze, die Informationen auf Anwendungsebene enthalten, z. B. HTTP-Webadressen, HTTP-Anforderungsmethoden und Antwortstatuscodes, Server-Antwortzeit und Latenz.
    ICA-Proxysitzungsmigration Diese Option bestimmt, ob eine vorhandene ICA-Proxy-Sitzung übertragen wird, wenn sich der Benutzer von einem anderen Gerät anmeldet.
    Status Der aktuelle Status des virtuellen Servers als UP, DOWN, BUSY usw.
    Gerätezertifikat aktivieren Gibt an, ob die Gerätezertifikatprüfung als Teil von EPA aktiviert oder deaktiviert ist.

    lokalisiertes Bild

  4. Wählen Sie auf der Seite den Abschnitt Kein Serverzertifikat aus.

    lokalisiertes Bild

  5. Klicken Sie auf >, um das Serverzertifikat auszuwählen.

    lokalisiertes Bild

  6. Wählen Sie das SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.

    lokalisiertes Bild

  7. Klicken Sie auf Bind.

    lokalisiertes Bild

  8. Wenn eine Warnung zu Keine brauchbaren Verschlüsselungenangezeigt wird, klicken Sie auf OK.

    lokalisiertes Bild

  9. Klicken Sie auf die Schaltfläche Weiter.

    lokalisiertes Bild

  10. Klicken Sie im Abschnitt Authentifizierung oben rechts auf das Symbol +.

    lokalisiertes Bild

Virtueller Authentifizierungsserver erstellen

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Virtuelle Server.

    lokalisiertes Bild

  2. Klicken Sie auf die Schaltfläche Add.

    lokalisiertes Bild

  3. Führen Sie die folgenden Grundeinstellungen aus, um den virtuellen Authentifizierungsserver zu erstellen.

    Hinweis: Die Pflichtfelder sind durch * rechts neben dem Einstellungsnamen gekennzeichnet.

    a) Geben Sie den Namen für den neuen virtuellen Authentifizierungsserver ein.

    b) Geben Sie den IP-Adresstyp ein. Der IP-Adresstyp kann als nicht adressierbar konfiguriert werden.

    c) Geben Sie die IP-Adresseein. Die IP-Adresse kann Null sein.

    d) Geben Sie den Protokoll typ des virtuellen Authentifizierungsservers ein.

    e) Geben Sie den TCP-Port ein, auf dem der virtuelle Server Verbindungen akzeptiert.

    f) Geben Sie die Domäne des Authentifizierungs-Cookies ein, der vom virtuellen Authentifizierungsserver festgelegt wurde.

  4. Klicken Sie auf OK.

    lokalisiertes Bild

  5. Klicken Sie auf Kein Serverzertifikat.

    lokalisiertes Bild

  6. Wählen Sie das gewünschte Serverzertifikat aus der Liste aus.

    lokalisiertes Bild

  7. Wählen Sie das gewünschte SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.

    Hinweis: Der virtuelle Authentifizierungsserver benötigt kein daran gebundenes Zertifikat.

    lokalisiertes Bild

  8. Konfigurieren Sie die Serverzertifikatbindung.

    • Aktivieren Sie das Kontrollkästchen Serverzertifikat für SNI, um die Certkey (s) zu binden, die für die SNI-Verarbeitung verwendet werden.

    • Klicken Sie auf die Schaltfläche Bin den.

    lokalisiertes Bild

Authentifizierungs-CERT-Profil erstellen

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> CERT.

    lokalisiertes Bild

  2. Wählen Sie die Registerkarte Profile und dann Hinzufügenaus.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Felder aus, um das Authentifizierungs-CERT-Profil zu erstellen. Die Pflichtfelder sind durch ein * rechts neben dem Einstellungsnamen gekennzeichnet.

    • Name - Name für das Clientzertifikat-Authentifizierungsserverprofil (Aktion).

    • Zwei Faktoren — In diesem Fall ist die Zwei-Faktor-Authentifizierungsoption NOOP.

    • Benutzernamenfeld — Geben Sie das Clientzertifikat-Feld ein, aus dem der Benutzername extrahiert wird. Muss entweder auf “Betreff” oder “Aussteller” gesetzt sein (beide Sätze doppelter Anführungszeichen enthalten).

    • Gruppennamenfeld - Geben Sie das Client-Cert-Feld ein, aus dem die Gruppe extrahiert wird. Muss entweder auf “Betreff” oder “Aussteller” gesetzt sein (beide Sätze doppelter Anführungszeichen enthalten).

    • Standardauthentifizierungsgruppe - Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu extrahierten Gruppen erfolgreich ist.

  4. Klicken Sie auf Erstellen.

    lokalisiertes Bild

Erstellen einer Authentifizierungsrichtlinie

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.

    lokalisiertes Bild

  2. Wählen Sie die Schaltfläche Hinzufügen

    lokalisiertes Bild

  3. Füllen Sie die folgenden Informationen aus, um Authentifizierungsrichtlinie zu erstellen. Die Pflichtfelder sind durch ein * rechts neben dem Einstellungsnamen gekennzeichnet.

    a) Name — Geben Sie den Namen für die erweiterte AUTHENTICATION-Richtlinie ein. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder ‘meine Authentifizierungsrichtlinie’).

    b) Aktionstyp - Geben Sie den Typ der Authentifizierungsaktion ein.

    c) Aktion - Geben Sie den Namen der Authentifizierungsaktion ein, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    d) Protokollaktion - Geben Sie den Namen der Nachrichtenprotokollaktion ein, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.

    e) Ausdruck : Geben Sie den Namen der benannten Citrix ADC-Regel oder einen Standard-Syntaxausdruck ein, mit dem die Richtlinie bestimmt, ob der Benutzer beim AUTHENTICATION-Server authentifiziert werden soll.

    f) Kommentare — Geben Sie Kommentare ein, um Informationen zu dieser Richtlinie zu erhalten.

  4. Klicken Sie auf Erstellen

    lokalisiertes Bild

Hinzufügen eines LDAP-Authentifizierungsservers

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> LDAP.

    lokalisiertes Bild

  2. Fügen Sie einen LDAP-Server hinzu, indem Sie die Registerkarte Server auswählen und die Schaltfläche Hinzufügen auswählen.

    lokalisiertes Bild

Hinzufügen einer LDAP-Authentifizierungsrichtlinie

  1. Gehen Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.

    lokalisiertes Bild

  2. Klicken Sie auf Hinzufügen, um eine Authentifizierungsrichtlinie hinzuzufügen.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Informationen aus, um Authentifizierungsrichtlinie zu erstellen. Die Pflichtfelder sind durch ein * rechts neben dem Einstellungsnamen gekennzeichnet.

    a) Name — Namen für die erweiterte AUTHENTICATION-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder ‘meine Authentifizierungsrichtlinie’).

    b) Aktionstyp - Typ der Authentifizierungsaktion.

    c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    d) Protokollaktion - Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.

    e) Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

    f) Kommentare - Alle Kommentare, um Informationen über diese Richtlinie zu erhalten.

  4. Klicken Sie auf Erstellen

    lokalisiertes Bild

Hinzufügen eines RADIUS-Authentifizierungsservers

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> RADIUS.

    lokalisiertes Bild

  2. Um einen Server hinzuzufügen, wählen Sie die Registerkarte Server und dann die Schaltfläche Hinzufügen.

    lokalisiertes Bild

  3. Geben Sie Folgendes ein, um einen Authentication RADIUS-Server zu erstellen. Die Pflichtfelder sind durch ein * rechts neben dem Einstellungsnamen gekennzeichnet.

    a) Geben Sie einen Namen für die RADIUS-Aktion ein.

    b) Geben Sie den Servernamen oder die Server-IP-Adresse ein, die dem RADIUS-Server zugewiesen sind.

    c) Geben Sie die Port nummer ein, auf der der RADIUS-Server auf Verbindungen wartet.

    d) Geben Sie den Timeout-Wert in wenigen Sekunden ein. Dies ist der Wert, den die Citrix ADC-Appliance auf eine Antwort vom RADIUS-Server wartet.

    e) Geben Sie den geheimen Schlüssel ein, der zwischen dem RADIUS-Server und der Citrix ADC-Appliance freigegeben wird. Der geheime Schlüssel ist erforderlich, damit die Citrix ADC-Appliance mit dem RADIUS-Server kommunizieren kann.

    f) Bestätigen Sie den geheimen Schlüssel.

  4. Klicken Sie auf Erstellen

    lokalisiertes Bild

Hinzufügen einer RADIUS-Authentifizierungsrichtlinie

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.

    lokalisiertes Bild

  2. Klicken Sie auf Hinzufügen, um eine Authentifizierungsrichtlinie zu erstellen.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Informationen aus, um Authentifizierungsrichtlinie zu erstellen. Die Pflichtfelder sind durch ein * rechts neben dem Einstellungsnamen gekennzeichnet.

    a) Name — Namen für die erweiterte AUTHENTICATION-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder ‘meine Authentifizierungsrichtlinie’).

    b) Aktionstyp - Typ der Authentifizierungsaktion.

    c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    d) Protokollaktion - Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.

    e) Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

    f) Kommentare - Alle Kommentare, um Informationen über diese Richtlinie zu erhalten.

  4. Klicken Sie auf OK.

    lokalisiertes Bild

  5. Stellen Sie sicher, dass Ihre Authentifizierungsrichtlinie aufgeführt ist.

    lokalisiertes Bild

Erstellen eines Authentifizierungs-Anmeldeschemas

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Anmeldeschema.

    lokalisiertes Bild

  2. Wählen Sie die Registerkarte Profile und klicken Sie auf die Schaltfläche Hinzufügen.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Felder aus, um das Anmeldeschema für die Authentifizierung zu erstellen:

    a) Name eingeben — dies ist der Name für das neue Anmeldeschema.

    b) Geben Sie das Authentifizierungsschema ein - dies ist der Name der Datei zum Lesen des Authentifizierungsschemas, das für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei sollte XML-Definition von Elementen gemäß Citrix Forms Authentication Protocol enthalten, um Anmeldeformular rendern zu können. Wenn der Administrator Benutzer nicht zur Eingabe zusätzlicher Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kann “noschema” als Argument angegeben werden. Bitte beachten Sie, dass dies nur für loginSchemas gilt, die mit benutzerdefinierten Faktoren verwendet werden, und nicht für den virtuellen Serverfaktor

    c) Geben Sie Benutzerausdruck ein - dies ist der Ausdruck für die Extraktion von Benutzernamen während der Anmeldung

    d) Kennwort-Ausdruck eingeben - dies ist der Ausdruck für die Kennwort-Extraktion während der Anmeldung

    e) Benutzeranmeldeinformationsindex eingeben - dies ist der Index, bei dem der Benutzer eingegebene Benutzername in der Sitzung gespeichert werden soll.

    f) Password Credential Index eingeben - dies ist der Index, in dem vom Benutzer eingegebene Kennwort in der Sitzung gespeichert werden soll.

    g) Geben Sie Authentifizierungsstärke ein - das ist das Gewicht der aktuellen Authentifizierung.

  4. Klicken Sie auf Erstellen

    lokalisiertes Bild

    1. Stellen Sie sicher, dass Ihr Anmeldeschema Profil aufgeführt ist.

    lokalisiertes Bild

Erstellen eines Richtlinienlabels

Ein Richtlinienlabel gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Richtlinienlabel entspricht einem einzelnen Faktor. Das Richtlinienlabel gibt das Anmeldeformular an, das dem Benutzer angezeigt werden muss. Das Richtlinienlabel muss als nächster Faktor einer Authentifizierungsrichtlinie oder eines anderen Authentifizierungsrichtlinienlabels gebunden sein. Typischerweise enthält ein Richtlinienlabel Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Richtlinienlabel mit Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen haben.

  1. Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsdatenverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinienlabel.

    lokalisiertes Bild

  2. Klicken Sie auf die Schaltfläche Add.

    lokalisiertes Bild

  3. Füllen Sie die folgenden Felder aus, um Authentifizierungsrichtlinienlabel zu erstellen:

    a) Geben Sie den Namen für das neue Authentifizierungsrichtlinienlabel ein.

    b) Geben Sie das Login-Schema ein, das mit dem Label der Authentifizierungsrichtlinie verknüpft ist.

    c) Klicken Sie auf Weiter.

    lokalisiertes Bild

  4. Wählen Sie im Dropdownmenü eine Richtlinie aus.

    lokalisiertes Bild

  5. Wählen Sie die gewünschte Authentifizierungsrichtlinie aus, und klicken Sie auf die Schaltfläche Auswählen.

    lokalisiertes Bild

  6. Füllen Sie die folgenden Felder aus:

    a) Geben Sie die Priorität der Richtlinienbindung ein.

    b) Geben Sie den Sp ringen Ausdruck ein — der Ausdruck gibt die Priorität der nächsten Richtlinie an, die ausgewertet wird, wenn die aktuelle Richtlinienregel als TRUE ausgewertet wird.

    lokalisiertes Bild

  7. Wählen Sie die gewünschte Authentifizierungsrichtlinie aus, und klicken Sie auf die Schaltfläche Auswählen.

    lokalisiertes Bild

  8. Klicken Sie auf die Schaltfläche Bin den.

    lokalisiertes Bild

  9. Klicken Sie auf Fertig.

    lokalisiertes Bild

  10. Überprüfen Sie das Authentifizierungsrichtlinienlabel.

    lokalisiertes Bild

reCAPTCHA Konfiguration für nFactor Authentifizierung

Ab Citrix ADC Version 12.1 Build 50.x unterstützt Citrix Gateway eine neue First-Class-Aktion “CaptchaAction”, die die Captcha-Konfiguration vereinfacht. Da Captcha eine erstklassige Aktion ist, kann es ein Faktor für sich sein. Sie können Captcha überall im nFactor-Fluss injizieren.

Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWeb UI schreiben. Mit der Einführung von CaptChaAction müssen Sie das JavaScript nicht ändern.

Wichtig

Wenn Captcha zusammen mit Benutzernamen oder Kennwortfeldern im Schema verwendet wird, wird die Schaltfläche “Senden” deaktiviert, bis Captcha erfüllt ist.

Captcha Konfiguration

Captcha Konfiguration besteht aus zwei Teilen.

  1. Konfiguration auf Google für die Registrierung von Captcha.
  2. Konfiguration auf der Citrix ADC Appliance zur Verwendung von Captcha als Teil des Anmeldeflusses.

Captcha Konfiguration auf Google

Registrieren Sie eine Domain für Captcha beihttps://www.google.com/recaptcha/admin#list.

  1. Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

    lokalisiertes Bild

    Hinweis:

    Verwenden Sie reCAPTCHA v2 nur. Invisible reCAPTCHA ist noch in der Tech Preview.

  2. Nach der Registrierung einer Domain werden der SiteKey und SecretKey angezeigt.

    lokalisiertes Bild

    Hinweis:

    Der SiteKey und SecretKey sind aus Sicherheitsgründen ausgegraut. SecretKey muss sicher aufbewahrt werden.

Captcha-Konfiguration auf der Citrix ADC Appliance

Die Captcha-Konfiguration auf der Citrix ADC Appliance kann in drei Teile unterteilt werden:

  • Bildschirm Captcha anzeigen
  • Posten Sie die Captcha-Antwort auf den Google-Server
  • LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Bildschirm Captcha anzeigen

Die Anpassung des Anmeldeformulars erfolgt über das Loginschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und an die Benutzeroberfläche zum Rendern des Anmeldeformulars gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml befindet sich im Verzeichnis /nsconfig/loginschema/loginSchema auf der Citrix ADC Appliance.

Wichtig

  • Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur Captcha Faktor (ohne Benutzername oder Kennwort) oder doppelte Authentifizierung mit Captcha benötigen.
  • Wenn benutzerdefinierte Änderungen durchgeführt oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis /nsconfig/loginschema/loginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.

So konfigurieren Sie die Anzeige von Captcha mit CLI

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Posten Sie die Captcha-Antwort auf den Google-Server

Nachdem Sie das Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, fügen Administratoren Post die Konfiguration dem Google-Server hinzu, um die Captcha-Antwort vom Browser zu überprüfen.

So überprüfen Sie die Captcha-Antwort im Browser
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach Captcha, Sie fügen sie dem zweiten Faktor hinzu.

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastenausgleich oder die Citrix Gateway Appliance für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`

nssp.aaatm.com — Löst den virtuellen Authentifizierungsserver auf.

Benutzervalidierung von Captcha

Nachdem Sie alle Schritte konfiguriert haben, die in den vorherigen Abschnitten erwähnt wurden, müssen Sie die unten angezeigten UI-Screenshots sehen.

  1. Sobald der virtuelle Authentifizierungsserver die Anmeldeseite lädt, wird der Anmeldebildschirm angezeigt. DieAnmeldung ist deaktiviert, bis Captcha abgeschlossen ist.

    lokalisiertes Bild

  2. Wählen Sie Ich bin keine Roboteroption aus. Das Captcha-Widget wird angezeigt.

    lokalisiertes Bild

  3. Sie werden durch eine Reihe von Captcha-Bildern navigiert, bevor die Fertigstellungsseite angezeigt wird.
  4. Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter, und klicken Sie auf Anmelden . Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource umgeleitet.

    lokalisiertes Bild

    Hinweise

    • Wenn Captcha mit der AD-Authentifizierung verwendet wird, ist die Schaltfläche “Senden” für Anmeldeinformationen deaktiviert, bis Captcha abgeschlossen ist.
    • Das Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD im ‘nextfactor’ von Captcha erfolgen.