Citrix ADC

Configurar la exploración de Endpoint Analysis previa a la autenticación como un factor en la autenticación nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso de recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo del usuario o decide omitir el análisis, el usuario no podrá iniciar sesión con el plug-in de Citrix Gateway. Opcionalmente, el usuario se puede poner en un grupo de cuarentena donde el usuario obtiene acceso limitado a los recursos de red internos.

Escaneo EPA en autenticación nFactor o multifactor

En este tema, el escaneo EPA se utiliza como comprobación inicial en una autenticación NFactor o multifactor.

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia un escaneo EPA. Si el análisis EPA se realiza correctamente, el usuario se procesa con la página de inicio de sesión con campos de nombre de usuario y contraseña para la autenticación basada en RADIUS o OTP. De lo contrario, el usuario se representa con una página de inicio de sesión, pero esta vez el usuario se autentica mediante la autenticación basada en LDAP o AD (Active Directory). En función del éxito o el fracaso de las credenciales proporcionadas por el usuario, se proporciona acceso al usuario.

Implementación de esta lógica después de la EPA:

  1. Si el análisis EPA se realiza correctamente, el usuario se coloca o etiqueta en un grupo de usuarios predeterminado.

  2. Si el análisis EPA es un error, el usuario se coloca o etiqueta en un grupo de cuarentena.

  3. El siguiente método de autenticación (RADIUS o LDAP) se elige en función de la pertenencia al grupo de usuarios según se determina en los dos primeros pasos.

Requisitos previos

Asegúrese de que la siguiente configuración esté en su lugar.

  • Servidor virtual VPN o Gateway y configuraciones de servidor virtual de autenticación
  • Autenticación, autorización y auditoría de grupos de usuarios (para grupos de usuarios predeterminados y puestos en cuarentena) y directivas asociadas
  • Configuraciones de servidores LDAP y RADIUS y directivas asociadas

En la siguiente figura se muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y etiqueta de directiva en este ejemplo

Nota: La configuración también se puede crear a través del visualizador de nFactor disponible en Citrix ADC versión 13.0 y posterior.

Representación de esta configuración en el visualizador

Realice lo siguiente mediante la CLI

  1. Configure una directiva LDAP Auth para comprobar la pertenencia al grupo quarantined_group y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.

    add authentication Policy ldap-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  2. Configure la directiva RADIUS-Auth para comprobar la pertenencia a default_group y asociarla a una directiva RADIUS configurada para autenticarse con un servidor RADIUS determinado.

    add authentication Policy radius-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    
    radius_server1 is Radius Policy and radius-auth is policy name
    
  3. Configure la etiqueta de directiva post-epa-usergroup-check con un esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    

    Nota: Si no quiere utilizar el esquema incorporado lschema_single_factor_deviceid, puede reemplazar con el esquema según su requisito.

  4. Asocie las directivas configuradas en los pasos 1 y 2 con la etiqueta de directiva configurada en el paso 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    

    Nota: END indica el final del mecanismo de autenticación para ese tramo.

  5. Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    

    default_group y quarantined_group son grupos de usuarios preconfigurados. La expresión del paso 5 analiza si los usuarios de macOS tienen una versión del explorador inferior a 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  6. Asocie una directiva de análisis EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva post-epa-usergroup-check. Esto es para realizar el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    

Configuración mediante el visualizador de nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujo de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

    Haga clic para agregar un factor

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el factor

    Nota: No se requiere esquema para el primer factor.

    No se requiere esquema para el primer factor

  4. Haga clic en Agregar directiva y, a continuación, en Agregar para crear una directiva de autenticación para la comprobación EPA.

    Haga clic aquí para agregar una directiva

  5. En el campo Acción, haga clic en Agregar para agregar la acción EPA.

    Haga clic para agregar una acción

    Para obtener más información sobre la EPA, consulte Configuración de análisis avanzado de Endpoint Analysis.

  6. Haga clic en el signo + verde en el bloque EPA_nFactor para agregar el siguiente factor para la comprobación del grupo de usuarios posterior a la EPA.

    Haga clic para agregar el siguiente factor para la comprobación del grupo de usuarios después de la EPA

  7. Haga clic en Agregar esquema para agregar el esquema para el segundo factor. Seleccione el esquema lschema_single_factor_deviceid.

    Haga clic para agregar esquema para el segundo factor

    Seleccionar esquema para el segundo factor

  8. Haga clic en Agregar directiva para seleccionar la directiva para la autenticación LDAP.

    Haga clic aquí para agregar una directiva para la autenticación LDAP

    La directiva de LDAP comprueba si el usuario forma parte del grupo en cuarentena. Para obtener más información sobre cómo crear autenticación LDAP, consulte Configurar la autenticación LDAP.

    Seleccione la directiva para la autenticación LDAP

  9. Haga clic en el signo + azul del bloque EPA_nFactor para agregar la segunda autenticación.

    Haga clic para agregar una segunda autenticación

  10. Haga clic en Agregar para seleccionar la directiva para la autenticación RADIUS. Para obtener más información sobre la creación de autenticación RADIUS, consulte Configurar la autenticación RADIUS.

    Haga clic en Agregar para seleccionar una directiva para la autenticación RADIUS

    La directiva de LDAP comprueba si el usuario forma parte del grupo predeterminado.

    Seleccione la directiva para LDAP

  11. Haga clic en Listo.

  12. Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y luego en Crear.

    Haga clic para enlazar el flujo al servidor virtual de autenticación

Desvincular el flujo de nFactor

  1. Seleccione el flujo de nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desvincular.

    Desvincular el flujo de nFactor

Configurar la exploración de Endpoint Analysis previa a la autenticación como un factor en la autenticación nFactor