Citrix ADC

Configuración de la autenticación nFactor

Puede configurar varios factores de autenticación mediante la configuración de nFactor. La configuración de nFactor solo se admite en las ediciones Citrix ADC Advanced y Premium.

Métodos para configurar nFactor

Puede configurar la autenticación nFactor mediante uno de los métodos siguientes:

  • nFactor Visualizer: el visualizador nFactor le permite vincular fácilmente factores o etiquetas de directivas en un solo panel y también cambiar la vinculación de los factores en el mismo panel. Puede crear un flujo nFactor mediante el visualizador y vincular ese flujo a un servidor virtual de autenticación, autorización y auditoría. Para obtener más información sobre nFactor Visualizer y un ejemplo de configuración de nFactor mediante el visualizador, consulte nFactor Visualizer para obtener una configuración simplificada.

  • Citrix ADC GUI: Para obtener más información, consulte la sección Elementos de configuración involucrados en la configuración de nFactor.

  • CLI de Citrix ADC: Para obtener un fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC, consulte Fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC.

Importante: Este tema contiene detalles sobre la configuración de nFactor mediante la GUI de Citrix ADC.

Elementos de configuración implicados en la configuración nFactor

Los siguientes elementos participan en la configuración de nFactor. Para ver los pasos detallados, consulte las secciones correspondientes de este tema.

Elemento de configuración Tareas que deben realizarse
Servidor virtual AAA Creación de un servidor virtual AAA
  Enlazar el tema del portal al servidor virtual AAA
  Activar autenticación de certificados de cliente
Esquema de inicio de sesión Configuración de un perfil de esquema de inicio
  Crear y enlazar una directiva de esquema de inicio de sesión
Directivas de autenticación avanzada Creación de directivas de autenticación avanzadas
  Vincular la directiva de autenticación avanzada de primer factor al servidor virtual AAA de Citrix ADC
  Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación
Etiqueta de directiva de autenticación Crear etiqueta de directiva de autenticación
  Etiqueta de directiva de autenticación de enlace
nFactor para Citrix Gateway Crear perfil de autenticación para vincular un servidor virtual Citrix ADC AAA con el servidor virtual Citrix Gateway
  Configuración de parámetros SSL y certificado de CA para Citrix Gateway
  Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Cómo funciona nFactor

Cuando un usuario se conecta al servidor virtual de autenticación, autorización y auditoría o Citrix Gateway, la secuencia de eventos que se producen es la siguiente:

  1. Si se utiliza la autenticación basada en formularios, se muestra el esquema de inicio de sesión enlazado al servidor virtual de autenticación, autorización y auditoría.

  2. Se evalúan las directivas de autenticación avanzada enlazadas al servidor virtual de autenticación, autorización y auditoría.
    • Si la directiva de autenticación avanzada tiene éxito y si se configura el siguiente factor (etiqueta de directiva de autenticación), se evalúa el siguiente factor. Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.
    • Si se produce un error en la directiva de autenticación avanzada y si Goto Expression se establece en Siguiente, se evalúa la siguiente directiva de autenticación avanzada enlazada. Si ninguna de las directivas de autenticación avanzada tiene éxito, se produce un error en la autenticación.
  3. Si la etiqueta de directiva de autenticación de siguiente factor tiene un esquema de inicio de sesión enlazado, se muestra al usuario.
  4. Se evalúan las directivas de autenticación avanzadas enlazadas a la etiqueta de directiva de autenticación de siguiente factor.
    • Si la directiva de autenticación avanzada tiene éxito y si se configura el siguiente factor (etiqueta de directiva de autenticación), se evalúa el siguiente factor.
    • Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.
  5. Si se produce un error en la directiva de autenticación avanzada y si Goto Expression es Siguiente, se evalúa la siguiente directiva de autenticación avanzada vinculada.

  6. Si las directivas tienen éxito, se produce un error en la autenticación.

Servidor virtual de autenticación, autorización y auditoría

Para usar nFactor con Citrix Gateway, primero debe configurarlo en un servidor virtual de autenticación, autorización y auditoría. A continuación, vincula el servidor virtual de autenticación, autorización y auditoría al servidor virtual de Citrix Gateway.

Crear servidor virtual de autenticación, autorización y auditoría

  1. Si la función Autenticación, autorización y auditoría aún no está habilitada, vaya a Seguridad > AAA: tráfico de aplicacionesy haga clic con el botón derecho para habilitar la función.

    Habilitar función

  2. Vaya a Configuración > Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

    Servidor virtual

  3. Haga clic en Agregar para crear un servidor virtual de autenticación.

    Agregar servidor virtual

  4. Introduzca la siguiente información y haga clic en Aceptar.

    Nombre del parámetro Descripción del parámetro
    Nombre Nombre del servidor virtual de autenticación, autorización y auditoría.
    Tipo de dirección IP Cambie el tipo de dirección IP a No direccionable si este servidor virtual se utiliza solo para Citrix Gateway.

    Configurar el servidor virtual

  5. En Certificado, seleccione Sin certificado de servidor.

    Certificado de servidor

  6. Haga clic en el texto, haga clic para seleccionar para seleccionar el certificado del servidor.

    Seleccionar certificado de servidor

  7. Haga clic en el botón de opción situado junto a un certificado para el servidor virtual de autenticación, autorización y auditoría y, a continuación, haga clic en Seleccionar. El certificado elegido no importa porque no se puede acceder directamente a este servidor.

    Seleccionar certificado de servidor2

  8. Haga clic en Bind.

    Certificado de enlace

  9. Haga clic en Continuar para cerrar la sección Certificado.

    Detalles completos del certificado

  10. Haga clic en Continuar.

    Detalles completos del certificado2

Enlazar el tema del portal al servidor virtual de autenticación, autorización y auditoría

  1. Vaya a Citrix Gateway > Temas del portaly agregue un tema. Cree el tema en Citrix Gateway y, a continuación, lo vincule al servidor virtual de autenticación, autorización y auditoría.

    Tema del portal

  2. Crea un tema basado en el tema de plantilla RFWebUI.

    Crear tema de portal

  3. Después de ajustar el tema según lo quiera, en la parte superior de la página de edición del tema del portal, haga clic en Hacer clic para enlazar y ver el tema configurado.

    Tema del portal Bind

  4. Cambie la selección a Autenticación. En el menú desplegable Nombre del servidor virtual de autenticación, seleccione el servidor virtual de autenticación, autorización y auditoría, y haga clic en Vincular y vista previa y cierre la ventana de vista previa.

    Enlace de vista previa

Habilitar la autenticación de certificados de cliente

Si uno de sus factores de autenticación es el certificado de cliente, debe realizar alguna configuración de SSL en el servidor virtual de autenticación, autorización y auditoría:

  1. Vaya a Administración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados raíz no tienen archivo de claves.

    Certificado CA 1

    Certificado CA 2

  2. Vaya a Administración del tráfico > SSL > Cambiar la configuración avanzada de SSL.

    Configuración de SSL

    1. Desplácese hacia abajo para comprobar si el perfil predeterminado está HABILITADO. En caso afirmativo, debe utilizar un perfil SSL para habilitar la autenticación de certificados de cliente. De lo contrario, puede habilitar la autenticación de certificados de cliente directamente en el servidor virtual de autenticación, autorización y auditoría en la sección Parámetros SSL.
  3. Si los perfiles SSL predeterminados no están habilitados:

    1. Vaya a Seguridad > AAA - Aplicación > Servidores virtuales y modifique un servidor virtual de autenticación, autorización y auditoría existente.

    Perfil SSL

    1. A la izquierda, en la sección Parámetros SSL, haga clic en el icono del lápiz.

    Modificar perfil SSL

    1. Marque la casilla junto a Autenticación de clientes

    2. Asegúrese de que está seleccionado Opcional en el menú desplegable Certificado de cliente y haga clic en Aceptar.

    Certificado de cliente opcional

  4. Si los perfiles SSL predeterminados están habilitados, cree un perfil SSL con la autenticación de cliente habilitada:

    1. En el menú de la izquierda, expanda Sistema y haga clic en Perfiles.

    2. En la parte superior derecha, cambia a la ficha Perfil SSL.

    3. Haga clic con el botón derecho en el perfil ns_default_ssl_profile_frontend y haga clic en Agregar. Esto copia la configuración del perfil predeterminado.

    4. Asigna un nombre al perfil. El propósito de este perfil es habilitar los certificados de cliente.

    5. Desplácese hacia abajo y busque la casilla Autenticación de clientes Marca la casilla.

    6. Cambie el menú desplegable Certificado de cliente a OPCIONAL.

    7. Al copiar el perfil SSL predeterminado, no se copian los cifrados SSL. Debe volver a hacerlas.

    8. Haga clic en Listo cuando haya terminado de crear el perfil SSL.

    9. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales y modifique un servidor virtual de autenticación, autorización y auditoría.

    10. Vaya hacia abajo hasta la sección Perfil SSL y haga clic en el lápiz.

    11. Cambie el menú desplegable Perfil SSL por el perfil que tiene habilitados los certificados de cliente. Haga clic en OK.

    12. Desplácese hacia abajo en este artículo hasta llegar a las instrucciones para vincular el certificado de CA.

  5. A la izquierda, en la sección Certificados, haga clic en donde dice Sin certificado de CA.

    Sin certificado de CA

  6. Haga clic en el texto, haga clic para seleccionarlo.

    Seleccione el certificado de CA

  7. Haga clic en el botón de opción situado junto al certificado raíz del emisor de los certificados de cliente y haga clic en Seleccionar.

    Certificado raíz

  8. Haga clic en Bind.

    Enlazar un certificado

Archivo XML de esquema de inicio de sesión

El esquema de inicio de sesión es un archivo XML que proporciona la estructura de las páginas de inicio de sesión de autenticación basadas en formularios.

nFactor implica múltiples factores de autenticación que están encadenados entre sí. Cada factor puede tener páginas o archivos de esquema de inicio de sesión diferentes. En algunos casos de autenticación, a los usuarios se les pueden presentar varias pantallas de inicio de sesión.

Configurar un perfil de esquema de inicio de sesión

Para configurar un perfil de esquema de inicio de sesión:

  1. Cree o modifique un archivo.XML de esquema de inicio de sesión basado en el diseño de nFactor.
  2. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Esquema de inicio de sesión

  3. A la derecha, cambia a la ficha Perfiles y haga clic en Agregar.

    Ficha Perfiles

  4. En el campo Esquema de autenticación, haga clic en el icono del lápiz.

    Modificar esquema

  5. Haga clic en la carpeta LoginSchema para ver los archivos que contiene.

    Lista de esquemas de conexión

  6. Seleccione uno de los archivos. Puede ver una vista previa a la derecha. Las etiquetas se pueden cambiar haciendo clic en el botón Modificar de la parte superior derecha.

    Modificar esquema

  7. Al guardar los cambios, se crea un archivo en /nsconfig/LoginSchema.

    Guardar esquema

  8. En la parte superior derecha, haga clic en Seleccionar.

    Seleccione un esquema

  9. Asigne un nombre al esquema de inicio de sesión y haga clic en Más.

    Esquema de nombres

  10. Use el nombre de usuario y la contraseña introducidos en el esquema de inicio de sesión para el inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront.

    Puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante cualquiera de los métodos siguientes.

    • Haga clic en Más en la parte inferior de la página Crear esquema de inicio de sesión de autenticación y seleccione Activar credenciales de inicio de sesión único.

    • Haga clic en Más en la parte inferior de la página Crear esquema de inicio de sesión de autenticación e introduzca valores únicos para el índice de credenciales de usuario y el índice de credenciales de contraseña. Estos valores pueden estar entre 1 y 16. Más adelante, haga referencia a estos valores de índice en una directiva/perfil de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#).

    Crear un esquema de inicio de sesión

  11. Haga clic en Aceptar para crear el perfil de esquema de inicio de sesión.

    Nota: Si modifica el archivo de esquema de inicio de sesión (.xml) más adelante, para que los cambios se reflejen, debe modificar el perfil del esquema de inicio de sesión y volver a seleccionar el archivo de esquema de inicio de sesión (.xml).

Crear y enlazar una directiva de esquema de inicio de sesión

Para enlazar un perfil de esquema de inicio de sesión a un servidor virtual de autenticación, autorización y auditoría, primero debe crear una directiva de esquema de inicio de sesión. Las directivas de esquema de inicio de sesión no son necesarias al vincular el perfil del esquema de inicio de sesión a una etiqueta de directiva de autenticación, como se detalla más adelante.

Para crear y vincular una directiva de esquema de inicio de sesión:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Crear esquema de inicio de sesión

  2. En la ficha Policies, haga clic en Add.

    Ficha Directivas

  3. Utilice el menú desplegable Perfil para seleccionar el perfil de esquema de inicio de sesión que ya ha creado.

  4. Introduzca una expresión de directiva avanzada en el cuadro Regla y haga clic en Crear.

    Regla

  5. A la izquierda, vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales y modifique un servidor virtual de autenticación, autorización y auditoría existente.

    Servidor virtual

  6. En la columna Configuración avanzada, haga clic en Esquemas de iniciode sesión.

    Configuraciones avanzadas del esquema de inicio

  7. En la sección Esquemas de inicio de sesión, haga clic en el texto Sin esquema de iniciode sesión.

    Sin esquema de inicio

  8. Haga clic en el texto, haga clic para seleccionarlo.

    Seleccione Sin esquema de inicio de sesión

  9. Haga clic en el botón de opción situado junto a la directiva de esquema de inicio de sesión y haga clic en Seleccionar. En esta lista solo aparecen las directivas de esquema de inicio de sesión. Los perfiles de esquema de inicio de sesión (sin directiva) no aparecen.

    Esquema de inicio de sesión

  10. Haga clic en Bind.

Directivas de autenticación avanzada

Las directivas de autenticación son una combinación de expresión de directiva y acción de directiva. Si la expresión es verdadera, evalúe la acción de autenticación.

Creación de directivas de autenticación avanzadas

Las directivas de autenticación son una combinación de expresión de directivas y acción de directivas. Si la expresión es verdadera, evalúe la acción de autenticación.

Necesita acciones/servidores de autenticación (por ejemplo, LDAP, RADIUS, CERT, SAML, etc.) Al crear una directiva de autenticación avanzada, hay un icono más (Agregar) que le permite crear acciones/servidores de autenticación.

O bien, puede crear acciones de autenticación (servidores) antes de crear la directiva de autenticación avanzada. Los servidores de autenticación se encuentran en Autenticación > Panel de control. A la derecha, haga clic en Agregar y seleccione un tipo de servidor. Las instrucciones para crear estos servidores de autenticación no se detallan aquí. Consulte los procedimientos Autenticación: NetScaler 12/Citrix ADC 12.1.

Para crear una directiva de autenticación avanzada:

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva

    Directiva avanzada 1

  2. En el panel de detalles, realice una de las siguientes acciones:
    • Para crear una directiva, haga clic en Agregar.
    • Para modificar una directiva existente, selecciónela y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione valores para los parámetros.

    Crear una directiva avanzada

    • Nombre: nombre de la directiva. No se puede cambiar para una directiva configurada previamente.
    • Tipo de acción: Tipo de directiva: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS o WEBAUTH.
    • Acción: acción de autenticación (perfil) que se va a asociar a la directiva. Puede elegir una acción de autenticación existente o hacer clic en el signo más y crear una acción del tipo adecuado.
    • Acción de registro: acción de auditoría que se va a asociar a la directiva. Puede elegir una acción de auditoría existente o hacer clic en el signo más y crear una acción. No tiene ninguna acción configurada o, para crear una acción, haga clic en Agregar y complete los pasos.
    • Expresión: Regla que selecciona las conexiones a las que quiere aplicar la acción especificada. La regla puede ser simple (“true” selecciona todo el tráfico) o compleja. Las expresiones se introducen seleccionando primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escribiendo la expresión directamente en el área de texto de la expresión o haciendo clic en Agregar para abrir el cuadro de diálogo Agregar expresión y mediante las listas desplegables que contiene para crear el expresión.)
    • Comentario: Puede escribir un comentario que describa el tipo de tráfico al que se aplica esta directiva de autenticación. Opcional.
  4. Haga clic en Create y, luego, en Close. Si ha creado una directiva, esa directiva aparece en la página Directivas y servidores de autenticación.

Cree directivas de autenticación avanzadas adicionales según sea necesario en función de su diseño de nFactor.

Vincular la directiva de autenticación avanzada de primer factor a la autenticación, la autorización y la auditoría

Puede vincular directamente directivas de autenticación avanzadas para el primer factor: el servidor virtual de autenticación, autorización y auditoría. Para los siguientes factores, debe vincular las directivas de autenticación avanzada a las etiquetas de la directiva de autenticación.

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales. Modificar un servidor virtual existente.

Modificar servidor virtual

  1. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en Sin directiva de autenticación.

    Sin directiva de autenticación

  2. En Seleccionar directiva, haga clic en el texto, haga clic para seleccionar.

    Seleccione sin autenticación

  3. Haga clic en el botón de opción situado junto a la Directiva de autenticación avanzaday, a continuación, haga clic en Seleccionar.

    l Seleccione la opción

  4. En la sección Detalles de enlace, la expresión Goto determina qué sucede a continuación si se produce un error en esta directiva de autenticación avanzada.
    • Si Goto Expression se establece en SIGUIENTE, se evalúa la siguiente directiva de autenticación avanzada enlazada a este servidor virtual de autenticación, autorización y auditoría.
    • Si Goto Expression se establece en ENDo si no hay directivas de autenticación más avanzadas enlazadas a este servidor virtual de autenticación, autorización y auditoría, la autenticación se completa y se marca como fallida.

    Directiva de vinculación

  5. En Seleccionar factor siguiente, puede seleccionar puede apuntar a una etiqueta de directiva de autenticación. El siguiente factor se evalúa solo si la directiva de autenticación avanzada tiene éxito. Por último, haga clic en Enlazar.

    Directiva de enlace 2

Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación

Puede utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación sin autenticación real con LDAP.

  1. Al crear o modificar un servidor LDAP o una acción LDAP, desactive la casilla Autenticación.
  2. En Otros ajustes, seleccione los valores apropiados en Atributo de grupo y Nombre de subatributo.

Autenticar la etiqueta de directiva

Cuando vincula una directiva de autenticación avanzada al servidor virtual de autenticación, autorización y auditoría y ha seleccionado un factor siguiente, el siguiente factor se evalúa solo si la directiva de autenticación avanzada. El siguiente factor que se evalúa es una etiqueta de directiva de autenticación.

La etiqueta de directiva de autenticación especifica un conjunto de directivas de autenticación para un factor concreto. Cada etiqueta de directiva corresponde a un único factor. También especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva de autenticación debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación.

Nota: No todos los factores necesitan un esquema de inicio de sesión. El perfil de esquema de inicio de sesión solo es necesario si vincula un esquema de inicio de sesión a una etiqueta de directiva de autenticación.

Crear una etiqueta de directiva de autenticación

Una etiqueta de directiva especifica las directivas de autenticación de un factor concreto. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para distintos mecanismos de autenticación.

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva.

    Etiqueta de directiva 1

  2. Haga clic en el botón Agregar.

    Agregar etiqueta de directiva1

  3. Complete los campos siguientes para crear una etiqueta de directiva de autenticación:

    a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    b) Seleccione el esquema de inicio de sesión asociado a la etiqueta de directiva de autenticación. SI no quiere mostrar nada al usuario, puede seleccionar un perfil de esquema de inicio de sesión que esté configurado como ningún esquema (LSCHEMA_INT).

    c) Haga clic en Continuar.

    Continuar

  4. En la sección Vinculación de directivas, haga clic en donde dice Haga clic para seleccionar.

  5. Seleccione la directiva de autenticación que evalúa este factor.

    Etiqueta de directiva de enlace

  6. Rellene los campos siguientes:

    a) Introduzca la prioridad de la vinculación de la directiva.

    b) En Goto Expression, seleccione SIGUIENTE si quiere enlazar directivas de autenticación más avanzadas a este factor o seleccione END.

    Expresión

  7. En Seleccionar siguiente factor, si quiere agregar otro factor, haga clic para seleccionar y enlazar la siguiente etiqueta de directiva de autenticación (factor siguiente). Si no selecciona el siguiente factor y esta directiva de autenticación avanzada tiene éxito, la autenticación se realiza correctamente y se ha completado.
  8. Haga clic en Bind.

  9. Puede hacer clic en Agregar enlace para agregar directivas de autenticación más avanzadas a esta etiqueta de directiva (factor). Haga clic en Listo al finalizar.

    Agregar enlace

Etiqueta de directiva de autenticación de enlace

Después de crear la etiqueta de directiva, la vincula a un enlace de directiva de autenticación avanzada existente para encadenar los factores.

Puede seleccionar el siguiente factor al modificar un servidor virtual de autenticación, autorización y auditoría existente que tenga un límite de directiva de autenticación avanzada o al modificar una etiqueta de directiva diferente para incluir el siguiente factor.

Para modificar un servidor virtual de autenticación, autorización y auditoría existente que ya tiene una directiva de autenticación avanzada enlazada a él

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales. Seleccione el servidor virtual y haga clic en Modificar.

    Modificar servidor virtual

  2. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en un enlace de directiva de autenticación existente.

    Modificar servidor virtual 2

  3. En Seleccionar acción, haga clic en Modificar enlace.

    Seleccionar acción

  4. En Seleccionar factor siguiente, haga clic en y seleccione una etiqueta de directiva de autenticación existente (factor siguiente).

    Seleccione el siguiente factor

  5. Haga clic en Bind. Puede ver el siguiente factor en el extremo derecho.

    Enlazar siguiente factor

Para agregar un factor siguiente de etiqueta de directiva a otro rótulo de directiva

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva. Seleccione una etiqueta de directiva diferente y haga clic en Modificar.

    Agregar etiqueta de directiva

  2. En Seleccionar acción, haga clic en Modificar enlace.

    Modificar acción

  3. En Detalles de enlace > Seleccionar factor siguiente, haga clic para seleccionar el siguiente factor.
  4. Elija la etiqueta de directiva para el siguiente factor y haga clic en el botón Seleccionar.

    Modificar enlace

  5. Haga clic en Vincular. Puede ver el siguiente factor a la derecha.

    Vincular

nFactor para Citrix Gateway

Para habilitar nFactor en Citrix Gateway, se debe vincular un perfil de autenticación a un servidor virtual de autenticación, autorización y auditoría.

Crear un perfil de autenticación para vincular un servidor virtual de autenticación, autorización y auditoría con el servidor virtual Citrix Gateway

  1. Vaya a Citrix Gateway > Servidores virtuales y seleccione un servidor virtual de puerta de enlace existente para modificarlo.

    Modificar servidor gateway

  2. En Configuración avanzada, haga clic en Perfil de autenticación.

  3. Haga clic en Agregar en Perfil de autenticación

    Agregar perfil de autenticación

  4. Introduzca el nombre del perfil de autenticación y haga clic donde dice Haga clic para seleccionar.

    Perfil de autenticación de nombres

  5. En Servidor virtual de autenticación, seleccione un servidor existente que tenga configurado el esquema de inicio de sesión, la directiva de autenticación avanzada y las etiquetas de directiva de autenticación. También puede crear un servidor virtual de autenticación. El servidor virtual de autenticación, autorización y auditoría no necesita una dirección IP. Haga clic en Seleccionar.

    Seleccionar servidor virtual

  6. Haga clic en Crear.

    Crear perfil

  7. Haga clic en Aceptar para cerrar la sección Perfil de autenticación.

    Creación de perfiles de cierre

Nota: Si ha configurado uno de los factores como certificados de cliente, debe configurar los parámetros SSL y el certificado de CA.

Después de haber completado la vinculación del perfil de autenticación a un servidor virtual de autenticación, autorización y auditoría, y cuando navega a su Citrix Gateway, puede ver las pantallas de autenticación de nFactor.

Configurar los parámetros SSL y el certificado de CA

Si uno de los factores de autenticación es un certificado, debe realizar alguna configuración SSL en el servidor virtual de Citrix Gateway.

  1. Vaya a Administración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados de la entidad emisora de certificados no necesitan archivos de claves.

    Si los perfiles SSL predeterminados están habilitados, significa que ya ha creado un perfil SSL que tiene habilitada la autenticación de clientes.

  2. Vaya a Citrix Gateway > Servidores virtuales y modifique un servidor virtual Citrix Gateway existente habilitado para nFactor.

    • Si los perfiles SSL predeterminados están habilitados, haga clic en el icono de edición.
    • En la lista Perfil SSL, seleccione el perfil SSL que tiene habilitada la autenticación de cliente y defina el valor OPCIONAL.

    • Si los perfiles SSL predeterminados no están habilitados, haga clic en el icono de edición.
    • Marque la casilla Autenticación de cliente.
    • Asegúrese de que el certificado de cliente esté configurado en Opcional
  3. Haga clic en OK.

  4. En la sección Certificados, haga clic en Sin certificado de CA.

  5. En Seleccionar certificado de CA, haga clic para seleccionar y seleccionar el certificado raíz del emisor de los certificados de cliente.

  6. Haga clic en Bind.

Nota: Es posible que deba enlazar también cualquier certificado de CA intermedia que haya emitido los certificados de cliente.

Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Para el inicio de sesión único en StoreFront, nFactor utiliza de forma predeterminada la última contraseña introducida. Si LDAP no es la última contraseña introducida, debe crear una directiva/perfil de tráfico para anular el comportamiento predeterminado de nFactor.

  1. Vaya a Citrix Gateway > Directivas > Tráfico.

    Directiva de tráfico

  2. En la ficha Perfiles de tráfico, haga clic en Agregar.

    Agregar directiva de tráfico

  3. Introduzca un nombre para el perfil de tráfico. Seleccione el protocolo HTTP. En Inicio de sesión único, seleccione ACTIVADO.

    Agregar directiva de tráfico2

  4. En la expresión de SSO, introduzca una expresiónAAA.USER.ATTRIBUTE (#) que coincida con los índices especificados en el esquema de inicio de sesión y haga clic en Crear.

    Nota La expresión AAA.USER se ha implementado ahora para reemplazar las expresiones HTTP.REQ.USER obsoletas.

    Agregar directiva de tráfico3

  5. Haga clic en la ficha Directivas de tráfico y haga clic en Agregar.

    Introduzca un nombre para la directiva. Seleccione el perfil de tráfico creado en el paso anterior. En Expresión, introduzca una expresión avanzada, por ejemplo true. Haga clic en Crear.

    Agregar directiva de tráfico4

  6. Vaya a Citrix Gateway > Servidor virtual de Citrix Gateway.

    • Seleccione un servidor virtual existente y haga clic en Modificar.
    • En la sección Directivas, haga clic en el signo +.
    • En Elegir directiva, seleccione Tráfico.
    • En Elegir tipo, seleccione Solicitud.
    • Seleccione la directiva de tráfico que ha creado y, a continuación, haga clic en Vincular.

    Agregar directiva de tráfico5

Fragmento de ejemplo sobre la configuración de nFactor mediante la CLI de Citrix ADC

Para comprender las configuraciones paso a paso para la autenticación nFactor, consideremos una implementación de autenticación de dos factores en la que el primer factor es la autenticación LDAP y el segundo factor es la autenticación RADIUS.

Esta implementación de ejemplo requiere que el usuario inicie sesión en ambos factores mediante un único formulario de inicio de sesión. Por lo tanto, definimos un único formulario de inicio de sesión que acepta dos contraseñas. La primera contraseña se utiliza para la autenticación LDAP y la otra para la autenticación RADIUS. Estas son las configuraciones que se realizan:

  1. Configurar el servidor virtual de equilibrio de carga para la autenticación

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Autenticación ACTIVADA

  2. Configure el servidor virtual de autenticación.

    agregar autenticación vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Configure el esquema de inicio de sesión para el formulario de inicio de sesión y enlácelo a una directiva de esquema de inicio de sesión.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    Nota:

    Use el nombre de usuario y una de las contraseñas introducidos en el esquema de inicio de sesión para el inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront. Puede hacer referencia a estos valores de índice en la acción de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#). Los valores pueden estar entre 1 y 16.

    Como alternativa, puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante el siguiente comando.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES
    
     add authentication loginSchemaPolicy login1 -rule true -action login1
    <!--NeedCopy-->
    
  4. Configurar un esquema de inicio de sesión para la transferencia y vincularlo a una etiqueta de directiva

    add authentication loginSchema login2 -authenticationSchema noschema
    
    add authentication policylabel label1 -loginSchema login2
    <!--NeedCopy-->
    
  5. Configure las directivas LDAP y RADIUS.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    
    add authentication Policy ldap -rule true -action ldapAct1
    
    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    
    add authentication Policy radius -rule true -action radius
    <!--NeedCopy-->
    
  6. Enlazar la directiva de esquema de inicio de sesión al servidor virtual de autenticación

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    <!--NeedCopy-->
    
  7. Enlazar la directiva LDAP (primer factor) al servidor virtual de autenticación.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    <!--NeedCopy-->
    
  8. Enlazar la directiva RADIUS (segundo factor) a la etiqueta de la directiva de autenticación.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end
    <!--NeedCopy-->