Configurar nombre de usuario y dos contraseñas con extracción de grupo en tercer factor mediante autenticación nFactor

La siguiente sección describe el caso de uso del nombre de usuario y dos contraseñas con extracción de grupo en un tercer factor mediante autenticación nFactor.

Nombre de usuario y dos contraseñas con extracción de grupo en tercer factor

Supongamos un caso de uso donde, los administradores configuran el primer factor de autenticación para tener un nombre de usuario y dos campos de contraseña. El segundo factor es un paso a través (no hay página de inicio de sesión para este factor), que utiliza el nombre de usuario y la segunda contraseña del primer factor. El tercer factor de autenticación se pasa y se configura para la extracción de grupos mediante el nombre de usuario desde el primer factor.

  1. Una vez que accede al servidor virtual de administración de tráfico, se le redirige a la página de inicio de sesión.

  2. El cliente envía un nombre de usuario y dos contraseñas. Por ejemplo, user1, pass1 y pass2.

  3. El primer factor se evalúa en comparación con una directiva local para usuario1 y paso1. La evaluación es correcta y se pasa el siguiente factor, la directiva “label1” en este caso.

  4. La etiqueta de directiva especifica que el segundo factor se pasa a través de una directiva RADIUS. Un esquema de paso a través significa que el dispositivo Citrix ADC no vuelve al cliente para obtener más información. El dispositivo Citrix ADC simplemente utiliza la información que ya tiene. En este caso, es user1 y pass2. El segundo factor se evalúa implícitamente. Después de una evaluación correcta, se pasa el siguiente factor (directiva “label2” en este caso).

  5. La etiqueta de directiva especifica que el tercer factor se pasa a través de una directiva LDAP configurada para la extracción de grupos. El dispositivo Citrix ADC utiliza implícitamente el nombre de usuario desde el primer factor.

  6. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración de tráfico, donde se encuentra el contenido solicitado. Si falla el inicio de sesión, el explorador del cliente se presenta con la página de inicio de sesión original para que el cliente pueda volver a intentarlo.

    Formulario de inicio de sesión

Realice lo siguiente mediante la CLI

  1. Configurar la administración del tráfico y el servidor virtual de autenticación.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain dep.sqltest.net
  2. Configure un primer factor.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml
    • add authentication loginSchemaPolicy login1 -rule true -action login1
  3. Configure un segundo factor.

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication policylabel label1 -loginSchema login2
  4. Configure un tercer factor.

    • add authentication loginSchema login_pass -authenticationSchema noschema
    • add authentication policylabel label2 -loginSchema login_pass
  5. Configure el factor LOCAL, RADIUS y LDAP.

    • add authentication Policy localpolicy -rule true -action LOCAL
    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
    • add authentication radiusAction radius -serverIP 10.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radiuspolicy -rule true -action radius
  6. Vincular las directivas.

    • bind authentication vserver avn -policy login1 -priority 10 -gotoPriorityExpression END
    • bind authentication vserver avn -policy localpolicy -priority 2 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName radiuspolicy -priority 1 -gotoPriorityExpression NEXT -nextFactor label2
    • bind authentication policylabel label2 -policyName ldappolicy -priority 10 -gotoPriorityExpression NEXT

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posterior.

NFactor visualizador RADIUS y extracción de grupo

Configuración mediante el visualizador nFactor

  1. Desplácese a Seguridad > Tráfico de aplicaciones AAA> Visualizador de factores > Flujos de factores y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión para el primer factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente en la lista. Haga clic en Aceptar.

    Agregar un esquema

  5. Haga clic en Agregar directiva para agregar la directiva de autenticación del primer factor. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente en la lista.

    Agregar directiva local

  6. Crear directiva local, como se indica a continuación.

    Crear directiva local

  7. Haga clic en verde + para agregar el segundo factor.

    Agregar factor siguiente

  8. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión para el segundo factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente en la lista. Haga clic en Aceptar.

    Agregar segundo factor

  9. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

    Agregar directiva

    Nota

    En caso de que no se creen las acciones RADIUS, consultePara configurar la autenticación RADIUS

  10. Haga clic en verde + para agregar el tercer factor y haga clic en Crear.

    Agregar tercer factor

  11. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión para el segundo factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente en la lista. Haga clic en Aceptar.

  12. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

  13. En caso de que se agregue la acción LDAP, seleccione la misma. Si no es así, siga el artículo de KB para crear uno, también dado que solo está haciendo la extracción, asegúrese de tener la autenticación inhabilitada en la acción LDAP. Para obtener más información, consulte Cómo utilizar LDAP para la extracción de grupos a través de NetScaler sin autenticación

    Agregar autenticación ldap

  14. En Configurar directiva de autenticación, agregue la directiva LDAP y haga clic en Aceptar.

    Agregar directiva de autenticación ldap

  15. Haga clic en Done. Seleccione flujo nFactor y haga clic en la opción Vincular al servidor de autenticación y seleccione el servidor virtual de autenticación, autorización y auditoría de la lista.

    Factor LDAP