Citrix ADC

Configure la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso en la autenticación Citrix ADC nFactor

En la siguiente sección se describe el caso de uso de la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso a través.

Autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso

Supongamos un caso de uso donde, los administradores configuran la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso a través. El cliente envía un nombre de usuario y dos contraseñas. El primer conjunto de nombre de usuario y contraseña se evalúa mediante una directiva LDAP como primer factor, y la segunda contraseña se evalúa mediante una directiva RADIUS como segundo factor.

  1. Una vez que accede al servidor virtual de administración de tráfico, se le redirige a la página de inicio de sesión para la autenticación.

  2. El cliente envía un nombre de usuario y dos contraseñas, por ejemplo, user1, pass1 y pass2.

  3. El primer factor se evalúa en comparación con una acción LDAP para usuario1 y pass1. La evaluación es correcta y pasa al siguiente factor, la directiva “label1”; en este caso.

  4. La etiqueta de directiva especifica que el segundo factor es el paso a través con una directiva RADIUS. Un esquema de paso a través significa que el dispositivo Citrix ADC no vuelve al cliente para obtener más información. Citrix ADC simplemente utiliza la información que ya tiene. En este caso, es user1 y pass2. El segundo factor se evalúa implícitamente.

  5. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración de tráfico, donde el contenido solicitado está disponible. Si falla el inicio de sesión, el explorador del cliente se presenta con la página de inicio de sesión original para que el cliente pueda volver a intentarlo.

    Página de inicio de sesión

Realice lo siguiente mediante la CLI

  1. Configurar la administración del tráfico y el servidor virtual de autenticación.

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. Configure un segundo factor.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. Configure LDAP y el factor RADIUS.

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. Vincular las directivas.

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

Nota

La configuración también se puede crear a través del visualizador de nFactor disponible en Citrix ADC versión 13.0 y posterior.

nFactor visualizador dos factores

Configuración mediante el visualizador de nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo de nFactor.

    Agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Para agregar el esquema de dos contraseñas para el primer factor, haga clic en Agregar esquema.

    Agregar un esquema

  5. Haga clic en Agregar directiva para agregar la directiva LDAP. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente en la lista.

    Agregar directiva LDAP

  6. En la ficha Acción, seleccione Servidor LDAP.

    Agregar directiva LDAP

    Nota

    Si no se agrega el servidor LDAP, para obtener más información sobre cómo agregar un servidor LDAP, consulte Directivas de autenticación LDAP

  7. Haga clic en verde + para agregar el factor RADIUS y haga clic en Crear.

    Agregar factor siguiente

  8. No agregue un esquema para este factor, ya que de forma predeterminada no toma ningún esquema. Para agregar una directiva de autenticación RADIUS, haga clic en Agregar directiva.

    Directiva de autenticación de Radius

    Nota

    Si no se agrega el servidor RADIUS, para obtener más información sobre cómo agregar un servidor RADIUS, consulte Para configurar la autenticación RADIUS

  9. Haga clic en Listo para guardar la configuración.

  10. Para enlazar el flujo de nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    Enlazar servidor de autenticación

Configure la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso en la autenticación Citrix ADC nFactor