Citrix ADC

Configurar el nombre de usuario de relleno previo a partir del certificado en la autenticación de Citrix ADC nFactor

En la siguiente sección se describe el caso de uso de la autenticación de dos factores. El primer factor es la autenticación de certificados seguida por LDAP.

Caso de uso: Certificado y autenticación LDAP

Supongamos un caso de uso donde, los administradores configuran la autenticación de dos factores. Primer nivel como autenticación de certificados y seguido de autenticación LDAP. Como parte del primer factor, el cliente solicita un certificado de usuario. El nombre de usuario se extrae del certificado y se rellena previamente en el campo nombre de usuario del formulario de inicio de sesión devuelto para el siguiente factor.

  1. El explorador cliente accede al servidor virtual de administración de tráfico y se redirige a una página de inicio de sesión para la autenticación.

  2. El primer factor se evalúa con una acción de certificado que extrae el nombre de usuario. La evaluación es correcta y pasa al siguiente factor, la directiva “label1” en este caso.

  3. La etiqueta de directiva especifica que el segundo factor es el esquema de inicio de sesión “login1” con la directiva LDAP.

  4. Se devuelve el formulario de inicio de sesión con el nombre de usuario rellenado previamente para obtener la contraseña del usuario para la autenticación LDAP.

  5. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración de tráfico, donde se encuentra el contenido solicitado. Por otro lado, si falla el inicio de sesión, el explorador del cliente se presenta con la página de inicio de sesión original, para que el cliente pueda volver a intentarlo.

Nota

La configuración también se puede crear a través del visualizador de nFactor disponible en Citrix ADC versión 13.0 y posterior.

NFactor visualizador SAML y LDAP

Realice lo siguiente mediante la CLI

  1. Configure el servidor virtual de administración de tráfico y el servidor de autenticación.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      O bien:

    • set ssl parameter –denysslrenegotiation NO
  2. Configure un primer factor como acción de certificado.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Configure un segundo factor.

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. Configurar la acción LDAP.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Vincular las directivas.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Configuración mediante el visualizador de nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujo de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

    Haga clic para agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el flujo

  4. No se necesita ningún esquema para la autenticación del certificado.

  5. Haga clic en Agregar directiva para crear una directiva para la autenticación de certificados.

    Directiva de relleno previo

  6. Agregar directiva para la autenticación de certificados.

    Agregar directiva de certificado

    Nota

    Para obtener más información sobre la autenticación de certificados, consulte Configuring and Binding a Client Certificate Authentication Policy.

  7. Haga clic en verde + junto a la directiva de certificado para agregar el siguiente factor.

    Agregar factor siguiente de directiva

  8. Seleccione Crear factor para crear un factor para la autenticación LDAP.

    Crear factor LDAP

  9. Haga clic en Agregar esquema para agregar un esquema PrefilUserFormExpr.xml para el segundo factor que tiene un nombre de usuario rellenado previamente.

    Nombre de usuario rellenado previamente

  10. Seleccione Agregar directiva para agregar directiva para la autenticación LDAP.

    Directiva para LDAP

    Nota

    Para obtener más información sobre la creación de autenticación LDAP, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.

  11. Haga clic en Listo para guardar la configuración.

  12. Para enlazar el flujo de nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    Enlazar servidor de autenticación

    Nota

    Enlazar y desvincular el flujo de nFactor a través de la opción dada en NFactor Flow en Mostrar enlacessolamente.

Desvincular el flujo de nFactor

  1. Seleccione el flujo de nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desvincular.

    Desvincular servidor de autenticación

Configurar el nombre de usuario de relleno previo a partir del certificado en la autenticación de Citrix ADC nFactor