Documentación de productos
Citrix ADC
Current Release 13.0 12.1
Ver PDF

Configurar la exploración de Endpoint Analysis previa a la autenticación como un factor en la autenticación nFactor

October 4, 2021
Contribución de: 
C

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso de recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo del usuario o decide omitir el análisis, el usuario no podrá iniciar sesión con el plug-in de Citrix Gateway. Opcionalmente, el usuario se puede poner en un grupo de cuarentena donde el usuario obtiene acceso limitado a los recursos de red internos.

Escaneo EPA en autenticación nFactor o multifactor

En este tema, el escaneo EPA se utiliza como comprobación inicial en una autenticación NFactor o multifactor.

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia un escaneo EPA. Si el análisis EPA se realiza correctamente, el usuario se procesa con la página de inicio de sesión con campos de nombre de usuario y contraseña para la autenticación basada en RADIUS o OTP. De lo contrario, el usuario se representa con una página de inicio de sesión, pero esta vez el usuario se autentica mediante la autenticación basada en LDAP o AD (Active Directory). En función del éxito o el fracaso de las credenciales proporcionadas por el usuario, se proporciona acceso al usuario.

Implementación de esta lógica después de la EPA:

  1. Si el análisis EPA se realiza correctamente, el usuario se coloca o etiqueta en un grupo de usuarios predeterminado.

  2. Si el análisis EPA es un error, el usuario se coloca o etiqueta en un grupo de cuarentena.

  3. El siguiente método de autenticación (RADIUS o LDAP) se elige en función de la pertenencia al grupo de usuarios según se determina en los dos primeros pasos.

Requisitos previos

Asegúrese de que la siguiente configuración esté en su lugar.

  • Servidor virtual VPN o Gateway y configuraciones de servidor virtual de autenticación
  • Autenticación, autorización y auditoría de grupos de usuarios (para grupos de usuarios predeterminados y puestos en cuarentena) y directivas asociadas
  • Configuraciones de servidores LDAP y RADIUS y directivas asociadas

En la siguiente ilustración se muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y etiqueta de directiva en este ejemplo

Nota: La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posterior.

Representación de esta configuración en el visualizador

Realice lo siguiente mediante la CLI

  1. Configure una directiva LDAP Auth para comprobar la pertenencia al grupo quarantined_group y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado. En el siguiente comando de ejemplo, ldap-auth es el nombre de la directiva de autenticación y ldap_server1 es el nombre de la acción LDAP creada.

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
<!--NeedCopy-->

  2. Configure la directiva RADIUS-Auth para comprobar la pertenencia a default_group y asociarla a una directiva RADIUS configurada para autenticarse con un servidor RADIUS determinado. En el siguiente comando de ejemplo, radius-auth es el nombre de la directiva de autenticación y radius_server1 es el nombre de la acción RADIUS creada.

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
<!--NeedCopy-->

  3. Configure la etiqueta de directiva post-epa-usergroup-check con un esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
<!--NeedCopy-->

    Nota: Si no quiere utilizar el esquema incorporado lschema_single_factor_deviceid, puede reemplazar con el esquema según su requisito.

  4. Asocie las directivas configuradas en los pasos 1 y 2 con la etiqueta de directiva configurada en el paso 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END

bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
<!--NeedCopy-->

    Nota: END indica el final del mecanismo de autenticación para ese tramo.

  5. Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
<!--NeedCopy-->

    default_group y quarantined_group son grupos de usuarios preconfigurados. La expresión del paso 5 analiza si los usuarios de macOS tienen una versión del explorador inferior a 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
<!--NeedCopy-->

  6. Asocie una directiva de análisis EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva post-epa-usergroup-check. Esto es para realizar el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
<!--NeedCopy-->

Configuración mediante el visualizador nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

    Haga clic para agregar un factor

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el factor

    Nota: No se requiere esquema para el primer factor.

    No se requiere esquema para el primer factor

  4. Haga clic en Agregar directiva y, a continuación, en Agregar para crear una directiva de autenticación para la comprobación EPA.

    Haga clic aquí para agregar una directiva

  5. En el campo Acción, haga clic en Agregar para agregar la acción EPA.

    Haga clic para agregar una acción

    Para obtener más información sobre la EPA, consulte Configuración del análisis avanzado de endpoint Analysis.

  6. Haga clic en el signo + verde en el bloque EPA_nFactor para agregar el siguiente factor para la comprobación del grupo de usuarios posterior a la EPA.

    Haga clic para agregar el siguiente factor para la comprobación del grupo de usuarios después de la EPA

  7. Haga clic en Agregar esquema para agregar el esquema para el segundo factor. Seleccione el esquema lschema_single_factor_deviceid.

    Haga clic para agregar esquema para el segundo factor

    Seleccionar esquema para el segundo factor

  8. Haga clic en Agregar directiva para seleccionar la directiva para la autenticación LDAP.

    Haga clic aquí para agregar una directiva para la autenticación LDAP

    La directiva de LDAP comprueba si el usuario forma parte del grupo en cuarentena. Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.

    Seleccione la directiva para la autenticación LDAP

  9. Haga clic en el signo + azul del bloque EPA_nFactor para agregar la segunda autenticación.

    Haga clic para agregar una segunda autenticación

  10. Haga clic en Agregar para seleccionar la directiva para la autenticación RADIUS. Para obtener más información sobre la creación de autenticación RADIUS, consulte Configuración de la autenticación RADIUS.

    Haga clic en Agregar para seleccionar una directiva para la autenticación RADIUS

    La directiva de LDAP comprueba si el usuario forma parte del grupo predeterminado.

    Seleccione la directiva para LDAP

  11. Haga clic en Done.

  12. Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y luego en Crear.

    Haga clic para enlazar el flujo al servidor virtual de autenticación

Desenlazar el flujo de nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

    Desenlazar el flujo de nFactor

Configurar la exploración de Endpoint Analysis previa a la autenticación como un factor en la autenticación nFactor
October 4, 2021
Contribución de: 
C
October 4, 2021
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.