Configurar el análisis de Endpoint Analysis posterior a la autenticación como un factor en la autenticación de Citrix ADC nFactor
En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso al usuario a los recursos internos. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo del usuario o decide omitir el análisis, el usuario no podrá iniciar sesión con el plug-in de Citrix Gateway. Opcionalmente, los usuarios se pueden colocar en un grupo de cuarentena donde el usuario obtiene acceso limitado a los recursos de red internos.
Anteriormente, después de la EPA se configuraba como parte de la directiva de sesión. Ahora se puede vincular a nFactor proporcionando más flexibilidad, en cuanto a cuándo se puede realizar.
En este tema, el escaneo EPA se utiliza como comprobación final en una autenticación NFactor o multifactor.
El usuario intenta conectarse a la dirección IP virtual de Citrix Gateway. Una página de inicio de sesión simple con nombre de usuario y campo de contraseña se representa al usuario para proporcionar credenciales de inicio de sesión. Con estas credenciales, la autenticación LDAP o basada en AD se realiza en el back-end. Si tiene éxito, el usuario recibe un mensaje emergente para autorizar el escaneo EPA. Una vez que el usuario lo autorice, se realiza la exploración EPA y, en función del éxito o el fracaso de la configuración del cliente de usuario, se proporciona acceso al usuario.
Requisitos previos
Se supone que la siguiente configuración están en su lugar.
- Configuraciones de servidor virtual y puerta de enlace VPN y servidor virtual de autenticación
- Configuraciones del servidor LDAP y directivas asociadas
Nota: La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posterior.
La imagen siguiente muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.
Realice lo siguiente mediante la CLI
-
Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")" <!--NeedCopy-->La expresión anterior analiza si los usuarios de macOS tienen una versión del explorador inferior a 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy--> -
Configure la etiqueta de directiva post-ldap-epa-scan que hospeda la directiva para el análisis EPA.
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->Nota: LSCHEMA_INT es un esquema incorporado sin esquema (noschema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.
-
Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100 -gotoPriorityExpression END <!--NeedCopy--> -
Configure la directiva ldap-auth y asociarla con una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva
-
Asocie la directiva ldap-auth al servidor virtual de autenticación, autorización y auditoría con el siguiente paso apuntando a la etiqueta de directiva post-ldap-epa-scan para realizar la exploración EPA.
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->Nota: La exploración EPA previa a la autenticación se realiza siempre como primer paso en la autenticación nFactor. La exploración EPA posterior a la autenticación siempre se realiza como el último paso en la autenticación nFactor. No se pueden realizar exploraciones EPA entre una autenticación nFactor.
Configuración mediante el visualizador nFactor
La configuración anterior también se puede realizar mediante Visualizador nFactor, que es una función disponible en el firmware 13.0 y versiones posteriores.
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de nFactor y haga clic en Agregar.
-
Haga clic en + para agregar el flujo de nFactor.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.
-
Haga clic en Agregar esquema para agregar un esquema para el primer factor y, a continuación, haga clic en Agregar.
-
Haga clic en Agregar directiva para agregar la directiva LDAP. Si la directiva LDAP ya está creada, puede seleccionar la misma.
Nota: Puede crear una directiva LDAP. Haga clic en Agregar y, en el campo Acción, seleccione LDAP. Para obtener más información sobre cómo agregar un servidor LDAP, consulte https://support.citrix.com/article/CTX123782)
-
Haga clic en + para agregar el factor EPA.
-
Deje la sección Agregar esquema en blanco, para que el esquema predeterminado no se aplique a este factor. Haga clic en Agregar directiva para agregar la directiva y acción de la EPA de autorización posterior.
Acción de la EPA:
Directiva de la EPA:
Haga clic en Crear.
-
Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría.
