Citrix Gateway

Native OTP-Unterstützung für die Authentifizierung

Citrix Gateway unterstützt Einmalkennwörter (OTPs), ohne einen Server eines Drittanbieters verwenden zu müssen. Das Einmalkennwort ist eine hochsichere Option für die Authentifizierung bei sicheren Servern, da die generierte Nummer oder der generierte Passcode zufällig ist. Zuvor boten spezialisierte Unternehmen wie RSA mit bestimmten Geräten, die Zufallszahlen generieren, die OTPs an. Dieses System muss in ständiger Kommunikation mit dem Client stehen, um eine vom Server erwartete Zahl zu generieren.

Zusätzlich zur Reduzierung der Kapital- und Betriebskosten verbessert diese Funktion die Kontrolle des Administrators, indem die gesamte Konfiguration auf der Citrix ADC-Appliance beibehalten wird.

Hinweis: Da Server von Drittanbietern nicht mehr benötigt werden, muss der Citrix ADC-Administrator eine Schnittstelle zum Verwalten und Validieren von Benutzergeräten konfigurieren.

Der Benutzer muss bei einem virtuellen Citrix Gateway-Server registriert sein, um die OTP-Lösung verwenden zu können. Eine Registrierung ist nur einmal pro Gerät erforderlich und kann auf bestimmte Umgebungen beschränkt werden. Die Konfiguration und Validierung eines registrierten Benutzers ähnelt der Konfiguration einer zusätzlichen Authentifizierungsrichtlinie.

Vorteile einer nativen OTP-Unterstützung

  • Reduziert die Betriebskosten, da zusätzlich zum Active Directory keine zusätzliche Infrastruktur auf einem Authentifizierungsserver erforderlich ist.
  • Konsolidiert die Konfiguration nur auf der Citrix ADC-Appliance und bietet so Administratoren eine hervorragende Kontrolle.
  • Eliminiert die Abhängigkeit des Clients von einem zusätzlichen Authentifizierungsserver zur Generierung einer von Clients erwarteten Zahl.

Nativer OTP-Workflow

Die native OTP-Lösung ist ein zweifacher Prozess und der Workflow wird wie folgt klassifiziert:

  • Geräteregistrierung
  • Login für Endbenutzer

Wichtig: Sie können den Registrierungsprozess überspringen, wenn Sie Lösungen von Drittanbietern verwenden oder andere Geräte außer der Citrix ADC-Appliance verwalten. Die letzte Zeichenfolge, die Sie hinzufügen, muss im von Citrix ADC angegebenen Format vorliegen.

Die folgende Abbildung zeigt den Ablauf der Geräteregistrierung zur Registrierung eines neuen Geräts für den Empfang von OTP.

OTP-Workflow

Hinweis: Die Geräteregistrierung kann mit einer beliebigen Anzahl von Faktoren erfolgen. Der einzelne Faktor (wie in der vorherigen Abbildung angegeben) wird als Beispiel verwendet, um den Geräteregistrierungsprozess zu erklären.

Die folgende Abbildung zeigt die Überprüfung von OTP durch das registrierte Gerät.

Arbeitsablauf für OTP-Verifizierung

Voraussetzungen

Um die native OTP-Funktion zu verwenden, stellen Sie sicher, dass die folgenden Voraussetzungen erfüllt sind.

  • Citrix ADC Feature Release-Version ist 12.0 Build 51.24 und höher.
  • Die Advanced- oder Premium Edition-Lizenz ist auf Citrix Gateway installiert.
  • Citrix Gateway ist mit Management-IP konfiguriert und auf die Verwaltungskonsole kann sowohl über einen Browser als auch über eine Befehlszeile zugegriffen werden.
  • Citrix ADC ist mit Authentifizierung, Autorisierung und Überwachung virtueller Server zur Authentifizierung von Benutzern konfiguriert.
  • Citrix ADC-Appliance ist mit Unified Gateway konfiguriert, und das Authentifizierungs-, Autorisierungs- und Überwachungsprofil wird dem virtuellen Gatewayserver zugewiesen.
  • Die native OTP-Lösung ist auf den nFactor-Authentifizierungsfluss beschränkt. Erweiterte Richtlinien sind erforderlich, um die Lösung zu konfigurieren. Weitere Einzelheiten finden Sie im Artikel CTX222713.

Stellen Sie außerdem Folgendes für Active Directory sicher:

  • Eine minimale Attributlänge von 256 Zeichen.
  • Der Attributtyp muss ‘DirectoryString’ wie UserParameters sein. Diese Attribute können Zeichenfolgenwerte enthalten.
  • Der Typ der Attributzeichenfolge muss Unicode sein, wenn der Gerätename nicht-englische Zeichen enthält.
  • Der Citrix ADC LDAP-Administrator muss Schreibzugriff auf das ausgewählte AD-Attribut haben.
  • Citrix ADC-Appliance und Clientcomputer müssen mit einem gemeinsamen Netzwerkzeitserver synchronisiert werden.

Konfigurieren Sie Natives OTP über die GUI

Die native OTP-Registrierung ist nicht nur eine Ein-Faktor-Authentifizierung. Die folgenden Abschnitte helfen Ihnen bei der Konfiguration der Single- und Second-Factor-Authentifizierung.

Erstellen eines Anmeldeschemas für den ersten Faktor

  1. Navigieren Sie zu Sicherheit AAA > Anwendungsverkehr > Anmeldeschema.
  2. Gehen Sie zu Profile und klicken Sie auf Hinzufügen.
  3. Geben Sie auf der Seite Authentifizierungs-Login-Schema erstellen unter dem Feld Namelschema_single_auth_manage_otp ein und klicken Sie neben noschema auf Bearbeiten.
  4. Klicken Sie auf den Ordner LoginSchema .
  5. Scrolle nach unten, um SingleAuth.xml auszuwählen und klicke auf Auswählen
  6. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Richtlinien und dann auf Hinzufügen.
  8. Geben Sie auf dem Bildschirm Create Authentication Login-Schema Policydie folgenden Werte ein.

    Name: lpol_single_auth_manage_otp_by_url Profil: wählen Sie lpol_single_auth_manage_otp_by_url aus der Liste. Regel: HTTP.REQ.COOKIE.VALUE (“NSC_TASS”) .EQ (“manageotp”)

Konfigurieren des virtuellen Servers für Authentifizierung, Autorisierung und Überwachung

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Authentifizierungsserver. Klicken Sie hier, um den vorhandenen virtuellen Server zu bearbeiten.
  2. Klicken Sie auf das +-Symbol neben Anmeldeschemas unter Erweiterte Einstellungen im rechten Fensterbereich.
  3. Wählen Sie Kein Anmeldeschemaaus.
  4. Klicken Sie auf den Pfeil und wählen Sie die Richtlinie lpol_single_auth_manage_otp_by_url aus.
  5. Wählen Sie die Richtlinie lpol_single_auth_manage_otp_by_url aus und klicken Sie auf Auswählen.
  6. Klicken Sie auf Binden.
  7. Blättern Sie nach oben und wählen Sie 1 Authentifizierungsrichtlinie unter Erweiterte Authentifizierungsrichtlinie
  8. Klicken Sie mit der rechten Maustaste auf die nFactor-Richtlinie, und wählen Sie Bindung bearbeiten aus.
  9. Klicken Sie auf das +-Symbol unter Nächsten Faktor auswählen, erstellen Sie einen nächsten Faktor und klicken Sie auf Binden.
  10. Geben Sie auf dem Bildschirm Authentifizierung erstellen PolicyLabel Folgendes ein und klicken Sie auf Weiter:

    Vorname: manage_otp_flow_label

    Anmeldeschema: Lschema_Int

  11. Klicken Sie auf dem Bildschirm Authentication PolicyLabel auf das Symbol +, um eine Richtlinie zu erstellen.

  12. Geben Sie auf dem Bildschirm Authentifizierungsrichtlinie erstellen Folgendes ein:

    Vorname: auth_pol_ldap_otp_action

  13. Wählen Sie mithilfe der Liste Aktionstyp den Aktionstyp aus.
  14. Klicken Sie im Feld Aktion auf das +-Symbol, um eine Aktion zu erstellen.
  15. Aktivieren Sie auf der Seite Authentifizierung LDAP-Server erstellen das Optionsfeld Server-IP, deaktivieren Sie das Kontrollkästchen neben Authentifizierung, geben Sie die folgenden Werte ein und wählen Sie Verbindung testenaus.

    Vorname: ldap_otp_action

    IP-Adresse: 192.168.10.11

    Base DN: DC = Training, DC = Labor

    Verwaltungsrätin: Administrator@training.lab

    Kennwort: xxxxx

  16. Scrollen Sie nach unten zum Abschnitt Andere Einstellungen . Verwenden Sie das Dropdownmenü, um die folgenden Optionen auszuwählen. Server-Anmeldename Attribut als Neu und geben Sie userprincipalname ein.
  17. Verwenden Sie das Dropdownmenü, um SSO-Namensattribut als Neu auszuwählen und userprincipalnameeinzugeben.
  18. Geben Sie “UserParameters” in das Feld OTP Secret ein und klicken Sie auf Mehr.
  19. Geben Sie die folgenden Attribute ein.

    Attribut 1 = mail-Attribut 2 = objectGUID Attribut 3 = ImmutableID

  20. Klicken Sie auf OK.
  21. Legen Sie auf der Seite Authentifizierungsrichtlinie erstellen den Ausdruck auf true fest und klicken Sie auf Erstellen.
  22. Klicken Sie auf der Seite Create Authentication Policylabel auf Bindenund dann auf Fertig.
  23. Klicken Sie auf der Seite Policy Binding auf Bind.
  24. Klicken Sie auf der Seite Authentifizierungsrichtlinie auf Schließen, und klicken Sie auf Fertig.

Hinweis

Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portalthema gebunden sein. Binden Sie ein Serverzertifikat an den Server. Die Server-IP ‘1.2.3.5’ muss über einen entsprechenden FQDN verfügen, also otpauth.server.com, für die spätere Verwendung.

Erstellen eines Anmeldeschemas für OTP des zweiten Faktors

  1. Navigieren Sie zu Sicherheit > AAA-Anwendungsverkehr > Virtuelle Server. Wählen Sie den zu bearbeitenden virtuellen Server aus.
  2. Scrollen Sie nach unten und wählen Sie 1 Login
  3. Klicken Sie auf Bindung hinzufügen.
  4. Klicken Sie im Abschnitt Policy Binding auf das Symbol +, um eine Richtlinie hinzuzufügen.
  5. Geben Sie auf der Seite Create Authentication Login Schema Policy Name as OTP ein und klicken Sie auf das Symbol +, um ein Profil zu erstellen.
  6. Geben Sie auf der Seite Create Authentication Login Schema Name as OTP ein, und klicken Sie auf das Symbol neben noschema.
  7. Klicken Sie auf den Ordner LoginSchema, wählen Sie DualAuthManageOTP.xml aus, und klicken Sie dann auf Auswählen.
  8. Klicken Sie auf Erstellen.
  9. Geben Sie im Abschnitt Regel die Option True ein. Klicken Sie auf Erstellen.
  10. Klicken Sie auf Binden.
  11. Beachten Sie die beiden Faktoren der Authentifizierung. Klicken Sie auf Schließen, und klicken Sie auf Fertig.

Content Switching-Richtlinie für die Verwaltung von OTP konfigurieren

Die folgenden Konfigurationen sind erforderlich, wenn Sie Unified Gateway verwenden.

  1. Navigieren Sie zu Traffic Management > Content Switching > Richtlinien. Wählen Sie die Richtlinie für den Content Switching aus, klicken Sie mit der rechten Maustaste und wählen Sie Bearbeiten.

  2. Bearbeiten Sie den Ausdruck, um die folgende OR-Anweisung auszuwerten, und klicken Sie auf OK:

is_vpn_url   HTTP.REQ.URL.CONTAINS(“manageotp”)

Konfigurieren Sie natives OTP über die CLI

Sie benötigen die folgenden Informationen, um die OTP-Geräteverwaltungsseite zu konfigurieren:

  • IP wird dem virtuellen Authentifizierungsserver zugewiesen
  • FQDN entspricht der zugewiesenen IP
  • Serverzertifikat für Authentifizierung virtueller Server

Hinweis: Natives OTP ist nur eine webbasierte Lösung.

So konfigurieren Sie die Registrierungs- und Verwaltungsseite für OTP-Geräte

Erstellen eines virtuellen Authentifizierungsservers

add authentication vserver authvs SSL 1.2.3.5 443
bind authentication vserver authvs -portaltheme RFWebUI
bind ssl vserver authvs -certkeyname otpauthcert
<!--NeedCopy-->

Hinweis: Der virtuelle Authentifizierungsserver muss an das RfWebUI-Portalthema gebunden sein. Binden Sie ein Serverzertifikat an den Server. Die Server-IP ‘1.2.3.5’ muss über einen entsprechenden FQDN verfügen, also otpauth.server.com, für die spätere Verwendung.

So erstellen Sie eine LDAP-Anmeldeaktion

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>
<!--NeedCopy-->

Beispiel:

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname
<!--NeedCopy-->

So fügen Sie eine Authentifizierungsrichtlinie für LDAP-Anmeldung hinzu

add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action
<!--NeedCopy-->

So präsentieren Sie die Benutzeroberfläche über LoginSchema

Benutzernamenfeld und Kennwortfeld für Benutzer bei der Anmeldung anzeigen

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"
<!--NeedCopy-->

Seite zur Geräteregistrierung und -verwaltung anzeigen

Citrix empfiehlt zwei Möglichkeiten, den Bildschirm für die Geräteregistrierung und -verwaltung anzuzeigen: URL oder Hostname.

  • Verwenden von URL

    Wenn die URL ‘/manageotp’ enthält

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • Verwenden des Hostnamens

    Wenn der Hostname ‘alt.server.com’ lautet

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

So konfigurieren Sie die Benutzeranmeldeseite über die CLI

Sie benötigen die folgenden Informationen, um die Seite Benutzeranmeldung zu konfigurieren:

  • IP für einen virtuellen Lastausgleichsserver
  • Entsprechender FQDN für den virtuellen Lastausgleichsserver
  • Serverzertifikat für den virtuellen Lastausgleichsserver

     bind ssl vserver lbvs_https -certkeyname lbvs_server_cert
     <!--NeedCopy-->
    

Back-End-Dienst im Lastenausgleich wird wie folgt dargestellt:

add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com
<!--NeedCopy-->

So erstellen Sie eine OTP-Passcode-Validierungsaktion

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>
<!--NeedCopy-->

Beispiel:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecret userParameters
<!--NeedCopy-->

Wichtig: Der Unterschied zwischen der LDAP-Anmeldung und der OTP-Aktion besteht darin, dass die Authentifizierung deaktiviert und ein neuer Parameter eingeführt werden muss OTPSecret. Verwenden Sie den AD-Attributwert nicht.

So fügen Sie Authentifizierungsrichtlinien für die OTP-Kenncodevalidierung hinzu

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action
<!--NeedCopy-->

Präsentation der Zwei-Faktor-Authentifizierung durch LoginSchema

Fügen Sie die Benutzeroberfläche für die Zwei-Faktor-Authentifizierung hinzu.

```add authentication loginSchema lscheme_dual_factor -authenticationSchema “/nsconfig/loginschema/LoginSchema/DualAuth.xml” add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor


#### So erstellen Sie einen Passcode-Validierungsfaktor über die Richtlinien

Erstellen einer Beschriftung für die Verwaltung von OTP-Flussrichtlinien für den nächsten Faktor (der erste Faktor ist die LDAP-Anmeldung)

add authentication loginSchema lschema_noschema -authenticationSchema noschema add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema


#### So binden Sie die OTP-Richtlinie an das Richtlinienlabel

bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT


#### So binden Sie den UI-Flow

Binden Sie die LDAP-Anmeldung gefolgt von der OTP-Validierung mit dem virtuellen Authentifizierungsserver.

bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END ```

Registrieren Sie Ihr Gerät bei Citrix ADC

  1. Navigieren Sie mit dem Suffix /manageotp zu Ihrem Citrix ADC FQDN (erste öffentliche IP). Zum Beispiel Login bei https://otpauth.server.com/manageotp mit Benutzeranmeldeinformationen.
  2. Klicken Sie auf das +-Symbol, um ein Gerät hinzuzufügen.

    Gateway-Anmeldeseite

  3. Geben Sie einen Gerätenamen ein und drücken Sie Los. Ein Barcode erscheint auf dem Bildschirm.
  4. Klicken Sie auf Setup beginnen und dann auf Barcode scannen.
  5. Bewegen Sie die Gerätekamera über den QR-Code. Optional können Sie den 16-stelligen Code eingeben.

    QR-Code

    Hinweis: Der angezeigte QR-Code ist 3 Minuten lang gültig.

  6. Nach erfolgreichem Scan wird Ihnen ein 6-stelliger, zeitsensitiver Code angezeigt, mit dem Sie sich anmelden können.

    Erfolgsmeldung bei Anmeldung

  7. Klicken Sie zum Testen auf dem QR-Bildschirm auf Fertig und dann auf das grüne Häkchen rechts.
  8. Wählen Sie Ihr Gerät aus dem Dropdownmenü aus, geben Sie den Code von Google Authenticator ein (muss blau und nicht rot sein) und klicken Sie auf Los.
  9. Stellen Sie sicher, dass Sie sich über das Dropdownmenü oben rechts auf der Seite abmelden.

Melden Sie sich mit dem OTP bei Citrix ADC an

  1. Navigieren Sie zu Ihrer ersten öffentlich zugänglichen URL und geben Sie Ihr OTP über Google Authenticator ein, um sich anzumelden.
  2. Authentifizieren Sie sich bei der Citrix ADC Splash-Seite.

    ADC-Authentifizierungsseite