Configurar la autenticación de certificados como primer factor y LDAP como segundo factor en la autenticación de Citrix ADC nFactor

La siguiente sección describe el caso de uso de la autenticación de certificados en el primer factor seguido por LDAP en el segundo factor. De lo contrario, LDAP y OTP, si un certificado de usuario no está presente en el primer factor.

Caso de uso: Autenticación de certificado en el primer factor seguido de LDAP en el siguiente factor

Supongamos un caso de uso donde, los administradores configuran la autenticación de certificados en el primer factor. Y si el certificado está presente, configure la autenticación LDAP en el siguiente factor. Si el certificado de usuario no está presente, configure LDAP y OTP.

  1. Una vez que accede al servidor virtual de administración de tráfico, se le redirige a la página de inicio de sesión.

  2. Si el certificado de usuario está presente en el dispositivo cliente, se mostrará con la siguiente pantalla.

    Certificado de usuario

  3. Después de enviar el certificado de usuario, la autenticación pasa al siguiente factor. Este factor se configura como LDAP.

    Certificado de usuario

  4. Si un certificado de usuario no está presente en el primer factor, proceda a LDAP y OTP. Tienes dos opciones que lograr.

    • LDAP y OTP como páginas de inicio de sesión independientes con el nombre de usuario prerellenado a partir del factor LDAP.

      Certificado de usuario

      El valor del nombre de usuario se rellena previamente con la expresión ${http.req.user.name}, que extrae el nombre de usuario del primer factor. También se pueden personalizar otros campos, como etiquetas para el nombre de usuario y la contraseña.

    • Página de autenticación dual que contiene dos campos de contraseña. Se muestra el ejemplo utilizado para esta representación específica.

      Certificado de usuario

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posterior.

NFactor visualizador LDAP y OTP

Realice lo siguiente mediante la CLI

  1. Configurar el servidor virtual de autenticación.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • bind ssl vserver auth_vserver -certkeyName gateway.angiras.lab
  2. Enlace el certificado raíz al servidor virtual y habilite la autenticación de cliente.

    • bind ssl vserver auth_vserver -certkeyName Root_Cert -CA -ocspCheck Optional
    • set ssl vserver auth_vserver -clientAuth ENABLED -clientCert Optional
  3. Configurar la acción y las directivas de autenticación.

    • Autenticación LDAP
      • add authentication ldapAction LDAP_Action -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 97526a31c6e2e380f7b3a7e5aa53dc498c5b25e9b84e856b438b1c61624b5aad -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn
      • add authentication Policy LDAP_Pol -rule true -action LDAP_Action
    • Administrar dispositivos
      • add authentication ldapAction OTP_manage_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 3e10c1df11a9cab239cff2c9305743da76068600a0c4359603abde04f28676ae -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy manage_OTP -rule TRUE -action OTP_manage_Act
    • Validación OTP
      • add authentication ldapAction LDAP_OTP_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword e79a8ebf93fdb7e7438f44c076350c6ec9ad1269ef0528d55640c7c86d3490dc -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -searchFilter "userParameters>=#@" -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy OTP_Pol -rule true -action LDAP_OTP_Act
    • Autenticación con certificados
      • add authentication certAction Certificate_Profile -twoFactor ON -userNameField SubjectAltName:PrincipalName
    • Directiva sin autenticación para la autenticación dual cuando falla una autenticación de certificado o no existe un certificado.
      • add authentication Policy Cert_Pol_NOAUTH_ -rule true -action NO_AUTHN
  4. Configure la etiqueta de directiva y el esquema para el segundo factor.

    • Administrar dispositivos
      • add authentication policylabel manage_otp_label -loginSchema LSCHEMA_INT
      • bind authentication policylabel manage_otp_label -policyName manage_OTP -priority 100 -gotoPriorityExpression END
    • Autenticación LDAP después de la autenticación correcta del certificado
      • add authentication loginSchema lschema_LDAP_Only -authenticationSchema "/nsconfig/loginschema/LoginSchema/PrefilUserFromExpr.xml"
      • add authentication policylabel LDAP_Only -loginSchema lschema_LDAP_Only
      • bind authentication policylabel LDAP_Only -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
    • Autenticación dual cuando la certificación no está presente o se produce un error en la autenticación de certificados
      • add authentication loginSchema lschema_dual_auth -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
      • add authentication policylabel Dual_Auth_Label -loginSchema lschema_dual_auth
      • bind authentication policylabel Dual_Auth_Label -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
      • bind authentication policylabel Dual_Auth_Label -policyName OTP_Pol -priority 110 -gotoPriorityExpression END
  5. Enlazar las directivas creadas en los pasos anteriores.

    • bind authentication vserver auth_vserver -policy Manage_OTP_Pol -priority 100 -nextFactor manage_otp_label -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol -priority 110 -nextFactor LDAP_Only -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol_NOAUTH_ -priority 120 -nextFactor Dual_Auth_Label -gotoPriorityExpression NEXT

Configuración mediante el visualizador nFactor

  1. Desplácese a Seguridad > Tráfico de aplicaciones AAA> Visualizador de factores > Flujos de factores y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Esquema es necesario en el primer factor a medida que se vinculan directivas que no necesitan un esquema.

  5. Haga clic en Agregar directiva para agregar la directiva de autenticación del primer factor. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente en la lista.

    Agregar directiva local

  6. Agregue una directiva para la comprobación de registro. La acción en este caso sería NO_AUTHN.

  7. En el campo de expresión, escriba HTTP.REQ.COOKIE.VALUE (“NSC_TASS”).EQ (“manageotp”) y haga clic en Crear.

    Campo Expresión

  8. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

    Directiva de registro

  9. Haga clic en verde + para agregar el siguiente factor para la autenticación LDAP antes de administrar los dispositivos.

  10. Seleccione Crear factor y escriba un nombre para este factor y haga clic en Crear.

    Directiva de registro

  11. Haga clic en Agregar esquema y, a continuación, agregue para crear un esquema para administrar dispositivos.

    Registrar esquema

  12. Elija el esquema que se crea en el anterior y haga clic en Agregar para crearlo.

    Agregar directiva de autenticación LDAP

  13. Haga clic en Agregar directiva y seleccione Directiva de autenticación LDAP para la autenticación LDAP inicial.

    Nota

    Para obtener más información, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.

  14. Siga los pasos 9 y 10 para crear otro factor para registrar el dispositivo.

  15. No se necesita ningún esquema en este factor. Haga clic en Agregar directiva para agregar la directiva para el registro del dispositivo. (Directiva creada en la configuración de CLI, paso 4, punto b).

  16. Cree otro factor siguiendo los pasos 9 y 10 para probar los dispositivos registrados.

  17. Haga clic en Agregar directiva para agregar directiva de autenticación (directiva creada en la configuración de CLI, paso 4, punto c).

    Agregar directiva de autenticación LDAP

  18. Haga clic en verde + en la directiva de registro para agregar una directiva para la autenticación de certificados.

    Agregar directiva de autenticación LDAP

  19. Haga clic en Agregar para agregar la directiva de certificado.

    Agregar directiva de autenticación LDAP

    Nota

    Para obtener más información sobre la autenticación de certificados de cliente, consulte ¿Cómo puedo habilitar la autenticación de certificados de cliente SSL en NetScaler?.

  20. Haga clic en el signo verde junto a la directiva de certificado para crear el siguiente factor para la autenticación LDAP.

    Agregar factor LDAP

  21. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión para el nombre de usuario rellenado previamente, autenticación única.

    Agregar directiva de autenticación LDAP

  22. Elija el esquema creado y haga clic en Aceptar.

    Elegir esquema LDAP

  23. Haga clic en Agregar directiva y agregue autenticación LDAP.

    Directiva LDAP

  24. Haga clic en rojo + junto a Directiva de certificados para agregar el siguiente factor para el caso de error. El caso de error es para cuando la autenticación del certificado falla o si no hay ningún certificado en el dispositivo.

  25. Seleccione Crear factor y escriba un nombre de factor.

    Factor OTP LDAP

  26. Haga clic en Agregar esquema para agregar un esquema de autenticación dual.

    esquema de autenticación doble

  27. Elija el esquema creado y haga clic en Aceptar.

    autenticación doble de esquema

  28. Haga clic en Agregar directiva y agregue autenticación LDAP.

    Directiva LDAP

  29. Seleccione la directiva de autenticación para validar OTP y haga clic en Aceptar

    Directiva LDAP

  30. Haga clic en Listo para guardar la configuración.

  31. Seleccione el flujo nFactor creado y vincularlo a un servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    Directiva LDAP

    Nota

    Puede enlazar y desenlazar el factor nmediante la página Flujos de factor mediante la opción Mostrar enlaces solamente.

Desenlazar el flujo nFactor

  1. En la página Flujos de nFactor, haga clic en Mostrar enlaces en el icono de hamburguesa.

  2. En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiere desenlazar y haga clic en Desenlazar. Haga clic en Cerrar.

    Directiva LDAP