Configurar el análisis de Endpoint Analysis posterior a la autenticación como un factor en la autenticación de Citrix ADC nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso al usuario a los recursos internos. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el complemento Endpoint Analysis en el dispositivo del usuario o decide omitir el análisis, el usuario no podrá iniciar sesión con el complemento Citrix Gateway. Opcionalmente, los usuarios se pueden colocar en un grupo de cuarentena donde el usuario obtiene acceso limitado a los recursos de red internos.

Anteriormente, después de la EPA se configuraba como parte de la directiva de sesión. Ahora se puede vincular a nFactor proporcionando más flexibilidad, en cuanto a cuándo se puede realizar.

En este tema, el escaneo EPA se utiliza como comprobación final en una autenticación NFactor o multifactor.

Escaneo EPA como autenticación de factor nFactor de facturación final o multifactor

El usuario intenta conectarse a la dirección IP virtual de Citrix Gateway. Una página de inicio de sesión simple con nombre de usuario y campo de contraseña se representa al usuario para proporcionar credenciales de inicio de sesión. Con estas credenciales, la autenticación LDAP o basada en AD se realiza en el back-end. Si tiene éxito, el usuario recibe un mensaje emergente para autorizar el escaneo EPA. Una vez que el usuario lo autorice, se realiza la exploración EPA y, en función del éxito o el fracaso de la configuración del cliente de usuario, se proporciona acceso al usuario.

Requisitos previos

Se supone que la siguiente configuración están en su lugar.

  • Configuraciones de servidor virtual y puerta de enlace VPN y servidor virtual de autenticación
  • Configuraciones del servidor LDAP y directivas asociadas

Nota: La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posterior.

La imagen siguiente muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y etiquetas de directiva utilizadas en este ejemplo

Realice lo siguiente mediante la CLI

  1. Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"
    

    La expresión anterior analiza si los usuarios de macOS tienen una versión del explorador inferior a 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. Configure la etiqueta de directiva post-ldap-epa-scan que hospeda la directiva para el análisis EPA.

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    Nota: LSCHEMA_INT es un esquema incorporado sin esquema (noschema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.

  3. Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100     -gotoPriorityExpression END
    
  4. Configure la directiva ldap-auth y asociarla con una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    donde ldap_server1 es la directiva LDAP y ldap-auth es el nombre de la directiva

  5. Asocie la directiva ldap-auth al servidor virtual de autenticación, autorización y auditoría con el siguiente paso apuntando a la etiqueta de directiva post-ldap-epa-scan para realizar la exploración EPA.

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

    Nota: La exploración EPA previa a la autenticación se realiza siempre como primer paso en la autenticación nFactor. La exploración EPA posterior a la autenticación siempre se realiza como el último paso en la autenticación nFactor. No se pueden realizar exploraciones EPA entre una autenticación nFactor.

Configuración mediante el visualizador nFactor

La configuración anterior también se puede realizar mediante nFactor Visualizer, que es una función disponible en el firmware 13.0 y versiones posteriores.

Representación de flujo de factor Nen el visualizador

  1. Desplácese a Seguridad > Tráfico de aplicaciones AAA> Visualizador de factores > Flujo de factores y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Haga clic para agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo nFactor.

    Agregar un nombre para el flujo

  4. Haga clic en Agregar esquema para agregar un esquema para el primer factor y, a continuación, haga clic en Agregar.

    Haga clic para agregar un esquema

  5. Haga clic en Agregar directiva para agregar la directiva LDAP. Si la directiva LDAP ya está creada, puede seleccionar la misma.

    Nota: Puede crear una directiva LDAP. Haga clic en Agregar y, en el campo Acción, seleccione LDAP. Para obtener más información sobre cómo agregar un servidor LDAP, consulte https://support.citrix.com/article/CTX123782)

    Elija una directiva para agregar

    Crear una directiva de autenticación

  6. Haga clic en + para agregar el factor EPA.

    Haga clic para agregar el factor EPA

  7. Deje la sección Agregar esquema en blanco, para que el esquema predeterminado no se aplique a este factor. Haga clic en Agregar directiva para agregar la directiva y acción de la EPA de autorización posterior.

    Acción de la EPA:

    Agregar acción de la EPA

    Directiva de la EPA:

    Agregar directiva de EPA

    Haga clic en Crear.

  8. Una vez completado el flujo nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría.

    Enlace el flujo nFactor al servidor virtual de autenticación

Configurar el análisis de Endpoint Analysis posterior a la autenticación como un factor en la autenticación de Citrix ADC nFactor