Configurar la exploración EPA previa y posterior a la autenticación como factor en la autenticación nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple ciertos requisitos de seguridad y, en consecuencia, permitir el acceso de recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo de usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el complemento Endpoint Analysis en el dispositivo de usuario, el usuario no puede iniciar sesión con el complemento Citrix Gateway.

Para conocer la EPA en los conceptos nFactor, consulte Conceptos y entidades utilizados para EPA en la autenticación nFactor a través de NetScaler.

En este tema, el escaneo EPA se utiliza como comprobación inicial en una autenticación NFactor o multifactor, seguido por el inicio de sesión y el escaneo EPA como comprobación final.

Representación del escaneo EPA utilizado como verificación inicial en la autenticación de factor nFactor o multifactor

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia un escaneo EPA. Si el análisis EPA se realiza correctamente, el usuario se representa la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en LDAP o AD (Active Directory). En función del éxito de las credenciales de usuario, el usuario es redirigido al siguiente factor EPA.

Pasos de alto nivel involucrados en esta configuración

  1. Si el análisis se realiza correctamente, el usuario se coloca o etiqueta en un grupo de usuarios predeterminado.

  2. Se elige el siguiente método de autenticación (LDAP).

  3. En función del resultado de la autenticación, se presenta al usuario el siguiente conjunto de análisis.

Requisitos previos

Se supone que la siguiente configuración están en su lugar.

  • Configuraciones de servidor virtual y puerta de enlace VPN y servidor virtual de autenticación
  • Autenticación, autorización y auditoría de grupos de usuarios (para grupos de usuarios predeterminados y puestos en cuarentena) y directivas asociadas
  • Configuraciones del servidor LDAP y directivas asociadas

Configuración mediante la CLI

  1. Cree una acción para realizar un escaneo EPA y asociarlo a una directiva de exploración EPA.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    

    La expresión anterior analiza si el proceso de Firefox se está ejecutando en el equipo cliente.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    
  2. Configure la etiqueta de directiva post-epa-scan que hospeda la directiva para el análisis EPA.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    

    Nota: LSCHEMA_INT es un esquema incorporado sin esquema (noschema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.

  3. Asocie la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    

    END indica el final del mecanismo de autenticación.

  4. Configure la directiva ldap-auth y asociarla con una directiva LDAP configurada para autenticarse con un servidor LDAP determinado.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  5. Configure ldap-factor de etiqueta de directiva, con esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    

    Nota: Reemplace con el esquema que necesita, en caso de que no quiera usar en el esquema construido LoginSchema/SingleAuth.xml

  6. Asocie la directiva configurada en el paso 4 con la etiqueta de directiva configurada en el paso 5.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    

    END indica el final del mecanismo de autenticación para ese tramo y NextFactor indica el siguiente factor después de la autenticación.

  7. Cree una acción para realizar la exploración EPA y asociarla a una directiva de exploración EPA.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    

    Aquí default_group es un grupo de usuarios preconfigurado.

    La expresión anterior analiza si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    
  8. Asocie una directiva de análisis EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva ldap-factor para realizar el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    

Configuración mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA-> Directivas > Autenticación > Directivas avanzadas > Acciones > EPA.

    Primer análisis EPA para comprobar la actualización automática de Windows y un grupo predeterminado

    Crear el primer escaneo EPA

    Segundo escaneo EPA para verificar el explorador Firefox

    Crear un segundo escaneo EPA

  2. Crear una directiva de EPA. Vaya a Seguridad > Tráfico de aplicaciones AAA-> Directivas > Autenticación > Directivas avanzadas > Directiva y vincule la acción creada en el paso 1.

    Directiva para el primer escaneo EPA

    Crear directiva para el primer análisis EPA

    Directiva para la segunda exploración EPA

    Crear directiva para la segunda exploración EPA

    Para obtener más información sobre la EPA avanzada,Exploraciones de Advanced Endpoint Analysisconsulte

  3. Cree un flujo nFactor. Desplácese a Seguridad > Tráfico de aplicaciones AAA> Visualizador de factores > Flujo de factores y haga clic en Agregar.

    Haga clic para agregar nFactor

    Nota: nFactor Visualizer está disponible en el firmware 13.0 y versiones posteriores.

  4. Agregue un factor. El nombre que introduzca es el nombre del flujo nFactor.

    Agregar nombre de factor

    No se requiere ningún esquema para el escaneo EPA.

  5. Haga clic en Agregar directiva para agregar una directiva para el primer factor.

    Haga clic aquí para agregar una directiva

  6. Seleccione la primera directiva del EPA creada en el paso 2.

    Haga clic para seleccionar la primera directiva de la EPA

  7. Haga clic en el signo + verde y agregue el siguiente factor, es decir, la autenticación LDAP.

    Haga clic para agregar el siguiente factor

  8. Haga clic en Agregar esquema y, a continuación, haga clic en Agregar para agregar un esquema para el segundo factor.

    Haga clic para agregar un esquema

  9. Cree un esquema, en este ejemplo Single_Auth y elija este esquema.

    Crear un único esquema de autenticación

    Seleccionar un único esquema de autenticación

  10. Haga clic en Agregar directiva para agregar una directiva LDAP para la autenticación.

    Agregar una directiva LDAP para la autenticación

    Para obtener más información sobre cómo crear autenticación LDAP,Configurar la autenticación LDAPconsulte

  11. Crear factor siguiente para la exploración EPA posterior a la autenticación.

    Crear el siguiente factor para el escaneo EPA de postauth

  12. Haga clic en Agregar directiva, seleccione SecondePA_CHECK directiva creada en el paso 2 y haga clic en Agregar.

    Haga clic aquí para agregar una directiva

  13. Haga clic en Done.

  14. Haga clic en Vincular al servidor de autenticación, seleccione el flujo nFactor y, a continuación, haga clic en Crear.

    Vincular el flujo a un servidor virtual de autenticación

Desenlazar el flujo nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

    Desenlazar el flujo del servidor virtual de autenticación