PoC-Leitfaden: nFactor für Citrix Gateway-Authentifizierung mit Gerätezertifikat

Einführung

Große Unternehmensumgebungen erfordern flexible Authentifizierungsoptionen, um die Anforderungen verschiedener Benutzerpersonen zu erfüllen. Mit dem Gerätezertifikat in Verbindung mit LDAP-Anmeldeinformationen erhalten Unternehmen die Multifaktor-Authentifizierung “etwas, das Sie haben” und “etwas, das Sie wissen”. Auf diese Weise können Benutzer ihre Identität nahtlos überprüfen und sicher auf ihre Anwendungen und Daten zugreifen.

Authentifizierung des Gerätezertifikats

Übersicht

Dieser Leitfaden zeigt, wie Sie eine Proof of Concept Umgebung unter Verwendung der Zwei-Faktor-Authentifizierung mit Citrix Gateway implementieren. Es validiert ein Gerätezertifikat als ersten Faktor mit Endpoint Analysis (EPA). Dann verwendet es die Domänenanmeldeinformationen des Benutzers als zweiten Faktor. Es verwendet einen von Citrix Virtual Apps and Desktops veröffentlichten virtuellen Desktop, um die Konnektivität zu überprüfen.

Es trifft Annahmen über die abgeschlossene Installation und Konfiguration der folgenden Komponenten:

  • Citrix ADC ist installiert und lizenziert
  • Citrix Gateway wurde mit einem extern erreichbaren virtuellen Server konfiguriert, der an ein Platzhalterzertifikat gebunden ist
  • Citrix Gateway ist in eine Citrix Virtual Apps and Desktops Umgebung integriert, die LDAP zur Authentifizierung verwendet
  • Active Directory (AD) ist in der Umgebung verfügbar, in der Microsoft Certificate Authority installiert ist
  • Ein Windows 10-Endpunkt ist Domäne beigetreten und hat die Citrix Workspace-App installiert
  • Der Endpunktbenutzer muss über lokale Administratorrechte verfügen oder das Citrix Gateway Plug-in installiert haben

Die neueste Produktversion, Lizenzierung und Anforderungsdetails finden Sie in der Citrix-Dokumentation: Gerätezertifikat in nFactor als EPA-Komponente

Konfiguration

Zuerst melden wir uns bei der CLI auf unserem Citrix ADC an und geben die Authentifizierungsaktionen und die zugehörigen Richtlinien für EPA bzw. LDAP zusammen mit dem Anmeldeschema ein. Dann melden wir uns bei unserer GUI an, um unseren nFactor-Flow im Visualizer-Tool zu erstellen und die Multifaktor-Authentifizierungskonfiguration abzuschließen.

EPA-Authentifizierungsrichtlinien

Als Nächstes erstellen wir die EPA-Aktion, um das Gerätezertifikat und die Richtlinie zu überprüfen, die darauf verweist.

EPA-Aktion 1 - authAct_EPA_dcnf

Aktualisieren Sie die folgenden Felder für Ihre Umgebung und kopieren Sie die Zeichenfolge und fügen Sie sie in die CLI ein: add authentication epaAction authAct_EPA_dcnf -csecexpr "sys.client_expr(\"device-cert_0_0\")"

EPA-Richtlinie 1 - authPol_EPA_dcnf

Aktualisieren Sie die folgenden Felder für Ihre Umgebung und kopieren Sie die Zeichenfolge und fügen Sie sie in die CLI ein: add authentication Policy authPol_EPA_dcnf -rule true -action authAct_EPA_dcnf

LDAP-Authentifizierungsrichtlinien

Wir erstellen die LDAP-Aktionen und die Richtlinien, auf die sie verweisen.

Füllen Sie für LDAP-Aktionen die erforderlichen Felder zum Erstellen der LDAP-Aktion in einer Zeichenfolge aus und fügen Sie sie in die CLI ein:

  • ldapAction - geben Sie den Aktionsnamen ein.
  • serverIP - geben Sie den FQDN oder die IP-Adresse des Domänenservers/s ein.
  • serverPort - geben Sie den LDAP-Port ein.
  • ldapBase - geben Sie die Reihe von Domänenobjekten und Containern ein, in der relevante Benutzer in Ihrem Verzeichnis gespeichert sind.
  • ldapBindDn - Geben Sie das Dienstkonto ein, das zur Abfrage von Domänenbenutzern
  • ldapBindDnPassword - Geben Sie das Kennwort für Ihr Dienstkonto ein.
  • ldapLoginName - geben Sie den Objekttyp des Benutzers ein.
  • groupAttrName - Geben Sie den Gruppen-Attributnamen ein.
  • subAttributeName - Geben Sie den Namen der Unterattribute ein.
  • secType - geben Sie den Sicherheitstyp ein.
  • ssoNameAttribute - Geben Sie das Single Sign-On-Namensattribut ein.

Füllen Sie für LDAP-Richtlinien die erforderlichen Felder aus, um auf die LDAP-Aktion zu verweisen, in einer Zeichenfolge und fügen Sie sie in die CLI ein:

  • Policy - Geben Sie den Richtliniennamen ein.
  • action - geben Sie den Namen der oben erstellten E-Mail-Aktion ein.

Weitere Informationen finden Sie unter LDAP-Authentifizierungsrichtlinien

  1. Stellen Sie zuerst eine Verbindung zur CLI her, indem Sie eine SSH-Sitzung mit der NSIP-Adresse des Citrix ADC öffnen und sich als nsroot Administrator oder gleichwertiger Admin-Benutzer anmelden.

LDAP Aktion 1 - authact_ldap_dcnf

Aktualisieren Sie die folgenden Felder für Ihre Umgebung und kopieren Sie die Zeichenfolge und fügen Sie sie in die CLI ein: add authentication ldapAction authAct_Ldap_dcnf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn wsadmin@workspaces.wwco.net -ldapBindDnPassword xyz123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2021_03_23_19_58 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

LDAP Richtlinie 1 - authpol_ldap_DCNF

Aktualisieren Sie die folgenden Felder für Ihre Umgebung und kopieren Sie die Zeichenfolge und fügen Sie sie in die CLI ein: add authentication Policy authPol_LDAP_dcnf -rule true -action authAct_Ldap_dcnf

Login-Schema

Als Nächstes erstellen wir Anmeldeschemas, die mit jedem Faktor verwendet werden.

lSchema 1 - lSchema_epa_dcnf

Der EPA-Faktor erfordert kein Login-Schema.

lSchema 2 - lSchema_ldap_dcnf

Aktualisieren Sie die folgenden Felder für Ihre Umgebung und kopieren Sie die Zeichenfolge und fügen Sie sie in die CLI ein: add authentication loginSchema ls_ldap_dcnf -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml"

Zertifikate

Domain-Zertifikat

In diesem POC haben wir ein Platzhalterzertifikat verwendet, das unserer Active Directory-Domäne entspricht, und es entspricht auch dem vollqualifizierten Domänennamen, den wir für den Zugriff auf den virtuellen Gateway-Server verwenden (gateway.workspaces.wwco.net)

  1. Melden Sie sich bei der Citrix ADC GUI an
  2. Navigieren Sie zu Traffic Management > SSL> Zertifikate > Alle Zertifikate, um sicherzustellen, dass Ihr Domain-Zertifikat und CAs installiert und verknüpft sind. Weitere Informationen finden Sie unter Citrix ADC SSL-Zertifikate .

Gerätezertifikat

Es gibt viele Systeme und Optionen für die Verwaltung von Benutzer- und Gerätezertifikaten. In diesem POC verwenden wir die auf unserem Active Directory-Server installierte Microsoft Certificate Authority. Wir haben auch unseren Windows 10-Endpunkt mit der Domäne verbunden.

  1. Über das Startmenü unserer Domäne treten Windows 10-Endpunkt ein mmc, klicken mit der rechten Maustaste und führen als Administrator aus
  2. Wählen Sie Datei > Hinzufügen/Entfernen, wählen Sie Zertifikate, wählen Sie den Pfeil aus, um ihn in den Bereich Ausgewähltes Snap-In zu verschieben, wählen Sie Computerkonto, Weiter, Lokaler Computer, Fertig stellen und klicken Sie auf OK
  3. Öffnen Sie den Ordner Persönlich und klicken Sie mit der rechten Maustaste auf den Ordner Zertifikate > Alle Aufgaben > Neues Zertifikat anfordern Gerätezertifikat
  4. Klicken Sie auf Weiter, bis Ihnen Zertifikatstypen angeboten werden, wählen Sie Computer aus und klicken Sie auf Registrieren, gefolgt von Beenden
  5. Doppelklicken Sie auf das installierte Zertifikat, wählen Sie die Registerkarte “Zertifizierungspfad”, wählen Sie oben die Stammzertifizierungsstelle aus und klicken Sie auf “Zertifikat anzeigen”. (Hinweis: Wir können die CA vom Active Directory-Server exportieren, aber für den POC können wir Schritte eliminieren, indem wir es hier tun)
  6. Wählen Sie im Popup-Fenster die Registerkarte Details aus, wählen Sie In Datei kopieren, klicken Sie auf Weiter, klicken Sie auf Weiter (um die DER-Codierung zu akzeptieren)
  7. Wählen Sie Durchsuchen aus, geben Sie einen Dateinamen ein, wählen Sie Speichern, wählen Sie Weiter aus und wählen Sie Fertig stellen aus, um die CA-Zertifikatsdatei zu speichern. Gerätezertifikat
  8. Jetzt importieren wir es in den ADC, indem wir zu **Traffic Management > SSL> Zertifikate > CA-Zertifikate navigieren
  9. Klicken Sie auf Installieren, wir geben den Namen ein DeviceCertificateCA, wählen Datei auswählen, Lokal und wählen die Datei aus, öffnen und klicken auf Gerätezertifikatinstallieren

nFactor Visualizer

  1. Als nächstes navigiere zu Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Wählen Sie Hinzufügen aus und wählen Sie das Pluszeichen im Feld Faktor aus

Factor1_Epa_dcnf

  1. Geben Sie ein Factor1_Epa_dcnf und wählen Erstellen
  2. Wählen Sie im selben Feld Richtlinie hinzufügen
  3. Wählen Sie die EPA-Richtlinie authPol_EPA_dcnf
  4. Wählen Sie Add
  5. Wählen Sie das grüne Pluszeichen neben der authPol_EPA_dcnf Richtlinie aus, um einen weiteren Faktor zu erstellen

Factor2_Ldap_dcnf

  1. Geben Sie Factor2_Ldap_dcnf
  2. Wählen Sie Erstellen
  3. Wählen Sie im selben Feld Schema hinzufügen
  4. Auswählen ls_ldap_dcnf
  5. Wählen Sie im selben Feld Richtlinie hinzufügen
  6. Auswählen authPol_LDAP_dcnf
  7. Wählen Sie unter Gehe zu Ausdruck END

Gerätezertifikat

Citrix ADC Authentifizierung, Autorisierung und Auditing (Citrix ADC AAA) virtueller Server

  1. Navigieren Sie als Nächstes zu Sicherheit > AAA - Anwendungsdatenverkehr > Virtuelle Server und wählen Sie Hinzufügen
  2. Geben Sie die folgenden Felder ein und klicken Sie auf OK:
    • Name - ein eindeutiger Wert. Wir treten ein DC_AuthVserver
    • Typ der IP-Adresse - Non Addressable
  3. Wählen Sie Kein Serverzertifikat aus, wählen Sie das Domänenzertifikat aus, klicken Sie auf Auswählen, binden und
  4. Wählen Sie Kein nFactor Flow
  5. Klicken Sie unter Select nFactor Flow auf den Pfeil nach rechts und wählen Sie den Factor1_Epa_dcnf zuvor erstellten
  6. Klicken Sie auf Auswählen, gefolgt von Binden, gefolgt von Weiter Gerätezertifikat

Citrix Gateway - virtueller Server

  1. Als nächstes navigieren Sie zu Citrix Gateway > Virtuelle Server
  2. Wählen Sie Ihren vorhandenen virtuellen Server aus, der Proxy-Zugriff auf Ihre Citrix Virtual Apps and Desktops Umgebung bietet
  3. Wählen Sie Bearbeiten
  4. Wählen Sie unter Grundeinstellungen das Bleistiftsymbol aus, das Sie bearbeiten möchten, und wählen Sie unten mehr aus
  5. Wählen Sie unten rechts unter Device Cert CA die Option Add aus und klicken Sie auf das Pluszeichen (+) neben DeviceCertificateCA, gefolgt von OK Device Certificate
  6. Wählen Sie nun unter Zertifikat CA Certificate, Add Binding aus, wählen Sie den Rechtspfeil unter Select CA Cert aus und wählen Sie DeviceCertificateCA gefolgt von Bind and Close Device
  7. Wenn Sie derzeit eine LDAP-Richtlinie haben, navigieren Sie unter Standardauthentifizierung - Primäre Authentifizierung, wählen Sie LDAP-Richtlinie aus. Überprüfen Sie dann die Richtlinie, wählen Sie Bindung aufheben, wählen Sie Ja zur Bestätigung und wählen Sie Schließen
  8. Wählen Sie rechts im Menü Erweiterte Einstellungen die Option Authentifizierungsprofil
  9. Wählen Sie Add
  10. Geben Sie einen Namen ein. Wir treten ein DC_AuthProfile
  11. Klicken Sie unter Virtueller Authentifizierungsserver auf den Pfeil nach rechts und wählen Sie den von uns erstellten Citrix ADC AAA-Server DC_AuthVserver
  12. Klicken Sie auf Auswählen und erstellen
  13. Klicken Sie auf OK und stellen Sie sicher, dass auf dem virtuellen Server jetzt ein Authentifizierungsprofil ausgewählt ist, während die Standardauthentifizierungsrichtlinie entfernt wurde Gerätezertifikat
  14. Klicken Sie auf Fertig

Verifizierung von Benutzerendpunkten

Wir testen die Authentifizierung, indem wir uns in unserer Citrix Virtual Apps and Desktops Umgebung authentifizieren.

  1. Öffnen Sie einen Browser und navigieren Sie zu dem Domänen-FQDN, der vom Citrix Gateway verwaltet wird. Wir benutzen https://gateway.workspaces.wwco.net
  2. Wählen Sie Download, wenn das EPA-Plug-In nicht installiert wurde.
  3. Wählen Sie andernfalls Ja aus, wenn das EPA-Plug-In Sie zum Scannen auffordert (Sie können auch Immer zum automatischen Scannen auswählen). Danach sucht es nach Gerätezertifikaten. Gerätezertifikat
  4. Wenn Sie mehrere Gerätezertifikate haben, werden Sie aufgefordert, das entsprechende für die Authentifizierung auszuwählen, da sonst eine Anmeldeaufforderung angezeigt wird.
  5. Geben Sie den Benutzernamen und das Kennwort für die Domäne Gerätezertifikat
  6. Wählen Sie den virtuellen Desktop aus den verfügbaren Ressourcen in seinem Workspace aus und überprüfen Sie einen erfolgreichen Start. Gerätezertifikat

Zusammenfassung

Mit Citrix Workspace und Citrix Gateway können Unternehmen ihre Sicherheitslage verbessern, indem sie eine mehrstufige Authentifizierung implementieren, ohne die Benutzererfahrung zu komplexieren. Gerätezertifikate ermöglichen es Unternehmen, Benutzeranmeldeinformationen nahtlos einen zweiten Authentifizierungsfaktor hinzuzufügen, um eine gute Benutzererfahrung zu gewährleisten und gleichzeitig die Sicherheitslage zu verbessern.

Referenzen

Weitere Informationen finden Sie unter:

So konfigurieren Sie das Gerätezertifikat auf Citrix Gateway für die Authentifizierung - Erfahren Sie, wie Sie einen OSCP-Responder implementieren, um den Zertifikatssperrstatus zu überprüfen.

EPA Verbose Logging auf NetScaler Gateway verstehen und konfigurieren - überprüfen Sie, ob die Datei nsepa.txt auf dem Endpunkt die richtige CA in der heruntergeladenen Liste protokolliert. “Netscaler hat eine Liste der zulässigen Zertifizierungsstellen für das Gerätezertifikat gesendet. “ Wenn nicht überprüft werden, dass Sie das richtige importiert und das richtige, das das Gerätezertifikat ausgestellt hat, an den Gateway vServer gebunden hat.

Citrix ADC Commands to find the Policy Hits for Citrix Gateway Session Policies - Erfahren Sie mehr über CLI-Befehle wie nsconmsg -d current -g _hits die Verfolgung von Richtlinien hits zur Unterstützung der Fehlerbehebung.

PoC-Leitfaden: nFactor für Citrix Gateway-Authentifizierung mit Gerätezertifikat