Citrix ADC

Configuración de la autenticación nFactor

Puede configurar varios factores de autenticación mediante la configuración de nFactor en lugar de solo dos factores. La configuración de nFactor solo se admite en las ediciones de Citrix ADC Advanced y Premium.

Métodos para configurar nFactor

Puede configurar la autenticación nFactor mediante uno de los métodos siguientes:

Importante: Este tema contiene detalles sobre la configuración de nFactor mediante la GUI de Citrix ADC.

Elementos de configuración involucrados en la configuración de nFactor

Los siguientes elementos están involucrados en la configuración de nFactor. Para obtener pasos detallados, consulte las secciones correspondientes de este tema.

Elemento de configuración Tareas a realizar
Servidor virtual AAA Crear un servidor virtual AAA
  Enlazar el tema del portal al servidor virtual AAA
  Habilitar la autenticación de certificados
Esquema de inicio de sesión Configurar un perfil de esquema de inicio de sesión
  Crear y enlazar una directiva de esquema de inicio de sesión
Directivas de autenticación avanzadas Crear directivas avanzadas de autenticación
  Enlazar la directiva de autenticación avanzada de primer factor al servidor virtual AAA de Citrix ADC
  Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación
Etiqueta de directiva de autenticación Crear etiqueta de directiva de autenticación
  Etiqueta de directiva de autenticación de enlace
nFactor para Citrix Gateway Crear perfil de autenticación para vincular un servidor virtual AAA de Citrix ADC con el servidor virtual de Citrix Gateway
  Configurar los parámetros SSL y el certificado de CA para Citrix Gateway
  Configurar la directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Cómo funciona nFactor

Cuando un usuario se conecta al servidor virtual Citrix ADC AAA o Citrix Gateway, la secuencia de eventos que se producen es la siguiente:

  1. Si se utiliza la autenticación basada en formularios, se muestra el esquema de inicio de sesión enlazado al servidor virtual AAA de Citrix ADC.

  2. Se evalúan las directivas de autenticación avanzadas vinculadas al servidor virtual AAA de Citrix ADC.
    • Si la directiva de autenticación avanzada tiene éxito y si el factor siguiente (etiqueta de directiva de autenticación) está configurado, se evalúa el factor siguiente. Si Next Factor no está configurado, la autenticación se completa y se realiza correctamente.
    • Si se produce un error en la directiva de autenticación avanzada y si Goto Expression se establece en Siguiente, se evalúa la directiva de autenticación avanzada vinculada siguiente. Si ninguna de las directivas de autenticación avanzada tiene éxito, se produce un error en la autenticación.
  3. Si la etiqueta de directiva de autenticación de factor siguiente tiene un esquema de inicio de sesión enlazado a ella, se muestra al usuario.
  4. Se evalúan las directivas de autenticación avanzadas vinculadas a la siguiente etiqueta de directiva de autenticación de factor.
    • Si la directiva de autenticación avanzada tiene éxito y si el factor siguiente (etiqueta de directiva de autenticación) está configurado, se evalúa el factor siguiente.
    • Si Next Factor no está configurado, la autenticación se completa y se realiza correctamente.
  5. Si se produce un error en la directiva de autenticación avanzada y Goto Expression es Siguiente, se evalúa la siguiente directiva de autenticación avanzada vinculada.

  6. Si ninguna de las directivas de autenticación avanzada se realiza correctamente, se produce un error en la autenticación.

Servidor virtual AAA

Para usar nFactor con Citrix Gateway, primero debe configurarlo en un servidor virtual AAA. A continuación, vincule el servidor virtual AAA al servidor virtual de Citrix Gateway.

Crear servidor virtual AAA

  1. Si la función AAA no está habilitada, vaya a Seguridad > AAA: Tráfico de aplicaciones y haga clic con el botón derecho para habilitar la función.

    Imagen localizada

  2. Vaya a Configuración > Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales.

    Imagen localizada

  3. Haga clic en Agregar para crear un servidor virtual de autenticación.

    Imagen localizada

  4. Introduzca la siguiente información y haga clic en Aceptar.

    Nombre del parámetro Descripción del parámetro
    Name Nombre del servidor virtual AAA.
    Tipo de dirección IP Cambie el tipo de dirección IP a No direccionable si este servidor virtual solo se utiliza para Citrix Gateway.

    Imagen localizada

  5. En Certificado, seleccione Sin certificado de servidor.

    Imagen localizada

  6. Haga clic en el texto, Haga clic para seleccionar el certificado del servidor.

    Imagen localizada

  7. Haga clic en el botón de opción situado junto a un certificado para el servidor virtual AAA y haga clic en Seleccionar. El certificado elegido no importa porque no se puede acceder directamente a este servidor.

    Imagen localizada

  8. Haga clic en Vincular.

    Imagen localizada

  9. Haga clic en Continuar para cerrar la sección Certificado.

    Imagen localizada

  10. Haga clic en Continuar.

    Imagen localizada

Enlazar el tema del portal al servidor virtual AAA

  1. Vaya a Citrix Gateway > Temas del portal y agregue un tema. Cree el tema en Citrix Gateway y luego lo vincule al servidor virtual AAA.

    Imagen localizada

  2. Cree un tema basado en el tema de plantilla RFWebUI.

    Imagen localizada

  3. Después de ajustar el tema como quiera, en la parte superior de la página de edición del tema del portal, haga clic en Hacer clic para enlazar y ver tema configurado.

    Imagen localizada

  4. Cambie la selección a Autenticación. En el menú desplegable Nombre del servidor virtual de autenticación, seleccione el servidor virtual AAA, haga clic en Vincular y vista previa y cierre la ventana de vista previa.

    Imagen localizada

Habilitar la autenticación de certificados

Si uno de sus factores de autenticación es certificado de cliente, debe realizar alguna configuración SSL en el servidor virtual AAA:

  1. Vaya a Traffic Management > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados raíz no tienen un archivo de clave.

    Imagen localizada

    Imagen localizada

  2. Vaya a Traffic Management > SSL > Cambiar la configuración avanzada de SSL.

    Imagen localizada

    a. Desplácese hacia abajo para comprobar si el perfil predeterminado está habilitado. Si es así, debe utilizar un perfil SSL para habilitar la autenticación de certificados de cliente. De lo contrario, puede habilitar la autenticación de certificados de cliente directamente en el servidor virtual AAA en la sección Parámetros SSL.

  3. Si los perfiles SSL predeterminados no están habilitados:

    a. Vaya a Seguridad > AAA: Aplicación > Servidores virtuales y modifique un servidor virtual AAA existente.

    Imagen localizada

    b. A la izquierda, en la sección Parámetros SSL, haga clic en el icono del lápiz.

    Imagen localizada

    c. Marque la casilla junto a Autenticación de cliente.

    d. Asegúrese de que Opcional está seleccionado en el menú desplegable Certificado de cliente y haga clic en Aceptar.

    Imagen localizada

  4. Si los perfiles SSL predeterminados están habilitados, cree un nuevo perfil SSL con autenticación de cliente habilitada:

    a. En el menú de la izquierda, expanda Sistema y haga clic en Perfiles.

    b. En la parte superior derecha, cambie a la ficha Perfil SSL.

    c. Haga clic con el botón derecho en el perfil ns_default_ssl_profile_frontend y haga clic en Agregar. Esto copia la configuración del perfil predeterminado.

    d. Dar un nombre al Perfil. El propósito de este perfil es habilitar los certificados de cliente.

    e. Desplácese hacia abajo y busque la casilla Autenticación de cliente. Marque la casilla.

    f. Cambie el menú desplegable Certificado de cliente a OPCIONAL.

    g. Copiar el perfil SSL predeterminado no copia los cifrados SSL, por lo que tendrá que rehacerlos.

    h. Haga clic en Listo cuando termine de crear el perfil SSL.

    i. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales y modifique un servidor virtual AAA.

    j. Desplácese hacia abajo hasta la sección Perfil SSL y haga clic en el lápiz.

    k. Cambie el menú desplegable Perfil SSL al perfil que tiene certificados de cliente habilitados. Haga clic en Aceptar.

    l. Desplácese hacia abajo en este artículo hasta que llegue a las instrucciones para vincular el certificado de CA.

  5. A la izquierda, en la sección Certificados, haga clic donde dice Sin certificado de CA.

    Imagen localizada

  6. Haga clic en el texto, Haga clic para seleccionar.

    Imagen localizada

  7. Haga clic en el botón de opción situado junto al certificado raíz del emisor de los certificados de cliente y haga clic en Seleccionar.

    Imagen localizada

  8. Haga clic en Vincular.

    Imagen localizada

Archivo XML de esquema de inicio de sesión

El esquema de inicio de sesión es un archivo XML que proporciona la estructura de las páginas de inicio de sesión de autenticación basadas en formularios.

nFactor implica múltiples factores de autenticación que están encadenados entre sí. Cada Factor puede tener diferentes páginas/archivos de esquema de inicio de sesión. En algunos casos de autenticación, se podría presentar a los usuarios varias pantallas de inicio de sesión.

Configurar un perfil de esquema de inicio de sesión

Para configurar un perfil de esquema de inicio de sesión:

  1. Cree o modifique un archivo.XML de esquema de inicio de sesión basado en su diseño nFactor.
  2. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Imagen localizada

  3. A la derecha, cambie a la ficha Perfiles y haga clic en Agregar.

    Imagen localizada

  4. En el campo Esquema de autenticación, haga clic en el icono de lápiz.

    Imagen localizada

  5. Haga clic en la carpeta LoginSchema para ver los archivos que contiene.

    Imagen localizada

  6. Seleccione uno de los archivos. Puede ver una vista previa a la derecha. Las etiquetas se pueden cambiar haciendo clic en el botón Modificar en la parte superior derecha.

    Imagen localizada

  7. Al guardar los cambios, se crea un nuevo archivo en /nsconfig/loginSchema.

    Imagen localizada

  8. En la parte superior derecha, haga clic en Seleccionar.

    Imagen localizada

  9. Asigne un nombre al esquema de inicio de sesión y haga clic en Más.

    Imagen localizada

  10. Normalmente, debe utilizar las credenciales introducidas en otro lugar. Por ejemplo, es posible que deba usar el nombre de usuario y una de las contraseñas para el inicio de sesión único posterior en StoreFront. Haga clic en Más en la parte inferior de la página Crear esquema de inicio de sesión de autenticación e introduzca valores únicos para los índices. Estos valores pueden estar entre 1 y 16.

    Imagen localizada

    a. Más tarde se hace referencia a estos valores de índice en una directiva de tráfico o perfil mediante la expresión HTTP.REQ.USER.ATTRIBUTE (#).

  11. Haga clic en Aceptar para crear el perfil de esquema de inicio de sesión.

    Nota: si posteriormente modifica el archivo.xml del esquema de inicio de sesión, es posible que los cambios no se reflejen hasta que modifique el perfil del esquema de inicio de sesión y vuelva a seleccionar el archivo.xml.

Crear y enlazar una directiva de esquema de inicio de sesión

Para vincular un perfil de esquema de inicio de sesión a un servidor virtual AAA, primero debe crear una directiva de esquema de inicio de sesión. Las directivas de esquema de inicio de sesión no son necesarias al vincular el perfil de esquema de inicio de sesión a una etiqueta de directiva de autenticación, como se detalla más adelante.

Para crear y enlazar una directiva de esquema de inicio de sesión:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Imagen localizada

  2. En la ficha Policies, haga clic en Add.

    Imagen localizada

  3. Utilice el menú desplegable Perfil para seleccionar el perfil de esquema de inicio de sesión que ya ha creado.

  4. Introduzca una expresión de sintaxis predeterminada (por ejemplo, true) en el cuadro Regla y haga clic en Crear.

    Imagen localizada

  5. En la parte izquierda, vaya a Seguridad > AAA: Application Traffic > Virtual Servers y modifique un AAA Virtual Server existente.

    Imagen localizada

  6. En la columna Configuración avanzada, haga clic en Esquemas de iniciode sesión.

    Imagen localizada

  7. En la sección Esquemas de inicio de sesión, haga clic en el texto Sin esquema de iniciode sesión.

    Imagen localizada

  8. Haga clic en el texto, Haga clic para seleccionar.

    Imagen localizada

  9. Haga clic en el botón de opción situado junto a la directiva Esquema de inicio de sesión y haga clic en Seleccionar. Solo aparecen en esta lista las directivas de esquema de inicio de sesión. Los perfiles de esquema de inicio de sesión (sin una directiva) no aparecen.

    Imagen localizada

  10. Haga clic en Vincular.

Directivas de autenticación avanzadas

Las directivas de autenticación son una combinación de expresión de directiva y acción de directiva. Si la expresión es verdadera, evalúe la acción de autenticación.

Crear directivas avanzadas de autenticación

Las directivas de autenticación son una combinación de expresión de directiva y acción de directiva. Si la expresión es verdadera, evalúe la acción de autenticación.

Necesitará Acciones/Servidores de autenticación (por ejemplo, LDAP, RADIUS, CERT, SAML, etc.) Al crear una directiva de autenticación avanzada, hay un icono más (Agregar) que le permite crear acciones/servidores de autenticación.

También puede crear Acciones de autenticación (Servidores) antes de crear la Directiva de autenticación avanzada. Los Servidores de autenticación se encuentran en Autenticación > Panel. A la derecha, haga clic en Agregar y selecciona un tipo de servidor. Las instrucciones para crear estos servidores de autenticación no se detallan aquí. Consulte los procedimientos de Autenticación: NetScaler 12/Citrix ADC 12.1.

Para crear una directiva de autenticación avanzada:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva

    Imagen localizada

  2. En el panel de detalles, realice una de las acciones siguientes:
    • Para crear una directiva, haga clic en Agregar.
    • Para modificar una directiva existente, selecciónela y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione valores para los parámetros.

    Imagen localizada

    • Nombre: El nombre de la directiva. No se puede cambiar para una directiva configurada previamente.
    • Tipo de acción: El tipo de directiva: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS o WEBAUTH.
    • Acción: Acción de autenticación (perfil) que se asociará a la directiva. Puede elegir una acción de autenticación existente o hacer clic en el signo más y crear una acción del tipo adecuado.
    • Acción de registro: Acción de auditoría que se asociará a la directiva. Puede elegir una acción de auditoría existente o hacer clic en el signo más y crear una acción. No tiene ninguna acción configurada o, para crear una acción, haga clic en Agregar y complete los pasos.
    • Expresión: Regla que selecciona las conexiones a las que quiere aplicar la acción especificada. La regla puede ser simple (“true” selecciona todo el tráfico) o compleja. Para especificar expresiones, elija primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escriba la expresión directamente en el área de texto de expresión, o bien haga clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilice las listas desplegables que contiene para crear su expresión.)
    • Comentario: Puede escribir un comentario que describa el tipo de tráfico al que se aplica esta directiva de autenticación. Opcional.
  4. Haga clic en Create y, luego, en Close. Si ha creado una directiva, dicha directiva aparecerá en la página Directivas de autenticación y servidores.

Debe crear directivas de autenticación avanzadas adicionales según sea necesario en función del diseño de nFactor.

Enlazar la directiva de autenticación avanzada de primer factor a Citrix ADC AAA

Puede enlazar directamente directivas de autenticación avanzada para el primer factor del servidor virtual AAA de Citrix ADC. Para los siguientes factores, debe vincular las directivas de autenticación avanzada a las etiquetas de directiva de autenticación.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales. Modifique un servidor virtual existente.

Imagen localizada

  1. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en Sin directiva de autenticación.

    Imagen localizada

  2. En Seleccionar directiva, haga clic en el texto y haga clic para seleccionar.

    Imagen localizada

  3. Haga clic en el botón de opción situado junto a la Directiva de autenticación avanzada y haga clic en Seleccionar.

    Imagen localizada

  4. En la sección Detalles de enlace, Goto Expression determina qué sucede a continuación si se produce un error en esta directiva de autenticación avanzada.
    • Si Goto Expression se establece en NEXT, se evalúa la siguiente directiva de autenticación avanzada vinculada a este servidor virtual AAA de Citrix ADC.
    • Si Goto Expression está establecido en ENDo si no hay directivas de autenticación avanzadas vinculadas a este servidor virtual AAA de Citrix ADC, la autenticación se completa y se marca como fallida.

    Imagen localizada

  5. En Seleccionar factor siguiente, puede seleccionar puede apuntar a una etiqueta de directiva de autenticación. El siguiente factor solo se evalúa si la directiva de autenticación avanzada tiene éxito. Por último, haga clic en Vincular.

    Imagen localizada

Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación

Puede utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación sin realmente autenticación con LDAP.

  1. Al crear o modificar un servidor LDAP o una acción LDAP, desactive la casilla Autenticación.
  2. En Otros ajustes, seleccione los valores apropiados en Atributo de grupo y Nombre de subatributo.

Autenticar la etiqueta de directiva

Cuando vincula una directiva de autenticación avanzada a Citrix ADC AAA Virtual Server y ha seleccionado un siguiente factor, el siguiente factor se evalúa solo si la directiva de autenticación avanzada. El siguiente factor que se evalúa es una etiqueta de directiva de autenticación.

La etiqueta de directiva de autenticación especifica una colección de directivas de autenticación para un factor determinado. Cada etiqueta de directiva corresponde a un único factor. También especifica el formulario de inicio de sesión que se debe presentar al usuario. La etiqueta de directiva de autenticación debe estar enlazada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación.

Nota: Todos los factores no necesitan un esquema de inicio de sesión. El perfil de esquema de inicio de sesión solo es necesario si está vinculando un esquema de inicio de sesión a una etiqueta de directiva de autenticación.

Crear etiqueta de directiva de autenticación

Una etiqueta de directiva especifica las directivas de autenticación para un factor determinado. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que se debe presentar al usuario. La etiqueta de directiva debe estar enlazada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para diferentes mecanismos de autenticación.

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva.

    Imagen localizada

  2. Haga clic en el botón Add.

    Imagen localizada

  3. Complete los siguientes campos para Crear etiqueta de directiva de autenticación:

    a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    b) Seleccione la etiqueta Esquema de inicio de sesión asociada a la directiva de autenticación. SI no quiere mostrar nada al usuario, puede seleccionar un perfil de esquema de inicio de sesión establecido en noschema (LSCHEMA_INT).

    c) Haga clic en Continuar.

    Imagen localizada

  4. En la sección Enlace de directivas, haga clic donde dice Haga clic para seleccionar.

  5. Seleccione la directiva de autenticación que evalúa este factor.

    Imagen localizada

  6. Complete los siguientes campos:

    a) Introduzca la prioridad del enlace de la directiva.

    b) En Goto Expression, seleccione SIGUIENTE si quiere vincular directivas de autenticación más avanzadas a este factor o seleccione FIN.

    Imagen localizada

  7. En Seleccionar factor siguiente, si quiere agregar otro factor, haga clic para seleccionar y vincular la siguiente etiqueta de directiva de autenticación (factor siguiente). Si no selecciona el siguiente factor y si esta directiva de autenticación avanzada tiene éxito, la autenticación se realiza correctamente y se completa.
  8. Haga clic en Vincular.

  9. Puede hacer clic en Agregar enlace para agregar directivas de autenticación más avanzadas a esta etiqueta de directiva (factor). Haga clic en Listo al finalizar.

    Imagen localizada

Etiqueta de directiva de autenticación de enlace

Después de crear la etiqueta de directiva, la vincula a una directiva de autenticación avanzada existente para encadenar factores juntos.

Puede seleccionar el siguiente factor cuando modifique un servidor virtual AAA de Citrix ADC existente que tenga una directiva de autenticación avanzada vinculada o cuando modifique una etiqueta de directiva diferente para incluir el siguiente factor.

Para modificar un servidor virtual AAA de Citrix ADC existente que tenga una directiva de autenticación avanzada ya vinculada a él

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Servidores virtuales. Seleccione el servidor virtual y haga clic en Modificar.

    Imagen localizada

  2. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en un enlace de directiva de autenticación existente.

    Imagen localizada

  3. En Seleccionar acción, haga clic en Modificar enlace.

    Imagen localizada

  4. En Seleccionar factor siguiente, haga clic en y seleccione una etiqueta de directiva de autenticación existente (factor siguiente).

    Imagen localizada

  5. Haga clic en Vincular. Puede ver el siguiente factor en el extremo derecho.

    Imagen localizada

Para agregar una etiqueta de directiva siguiente factor a una etiqueta de directiva diferente

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > PolicyLabel. Seleccione una etiqueta de directiva diferente y haga clic en Modificar.

    Imagen localizada

  2. En Seleccionar acción, haga clic en Modificar enlace.

    Imagen localizada

  3. En Detalles de enlace > Seleccionar factor siguiente, haga clic para seleccionar el siguiente factor.
  4. Elija la etiqueta de directiva para el siguiente factor y haga clic en el botón Seleccionar.

    Imagen localizada

  5. Haga clic en Vincular. Puede ver el siguiente factor a la derecha.

    Imagen localizada

nFactor para Citrix Gateway

Para habilitar nFactor en Citrix Gateway, se debe vincular un perfil de autenticación a un servidor virtual AAA de Citrix ADC.

Crear perfil de autenticación para vincular un servidor virtual AAA de Citrix ADC con el servidor virtual de Citrix Gateway

  1. Vaya a Citrix Gateway > Virtual Servers y seleccione el servidor virtual de Gateway existente para modificarlo.

    Imagen localizada

  2. En Configuración avanzada, haga clic en Perfil de autenticación.

  3. Haga clic en Agregar en Perfil de autenticación

    Imagen localizada

  4. Introduzca el nombre del perfil de autenticación y haga clic donde dice Haga clic para seleccionar.

    Imagen localizada

  5. En Servidor virtual de autenticación, seleccione un servidor existente que tenga el esquema de inicio de sesión, la directiva de autenticación avanzada y las etiquetas de directiva de autenticación configuradas. También puede crear un servidor virtual de autenticación. El servidor virtual AAA de Citrix ADC no necesita una dirección IP. Haga clic en Seleccionar.

    Imagen localizada

  6. Haga clic en Crear.

    Imagen localizada

  7. Haga clic en Aceptar para cerrar la sección Perfil de autenticación.

    Imagen localizada

Nota: Si ha configurado uno de los factores como certificados de cliente, debe configurar los parámetros SSL y el certificado de CA.

Una vez que haya completado la vinculación del perfil de autenticación a un servidor virtual AAA y cuando navegue hasta Citrix Gateway, puede ver las pantallas de autenticación de nFactor.

Configurar los parámetros SSL y el certificado de CA

Si uno de los factores de autenticación es un certificado, debe realizar alguna configuración SSL en el servidor virtual de Citrix Gateway.

  1. Vaya a Traffic Management > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados de entidad emisora de certificados no necesitan archivos clave.

    Si los perfiles SSL predeterminados están habilitados, entonces ya debería haber creado un perfil SSL que tenga habilitada la autenticación de cliente.

  2. Vaya a Citrix Gateway > Virtual Servers y modifique un servidor virtual Citrix Gateway existente habilitado para nFactor.

    • Si los perfiles SSL predeterminados están habilitados, haga clic en el icono de edición.
    • En la lista Perfil SSL, seleccione el perfil SSL que tenga habilitada la autenticación de cliente y establezca el valor OPCIONAL.

    • Si los perfiles SSL predeterminados no están habilitados, haga clic en el icono de edición.
    • Active la casilla de verificación Autenticación de cliente.
    • Asegúrese de que el certificado de cliente esté establecido en Opcional
  3. Haga clic en Aceptar.

  4. En la sección Certificados, haga clic en Sin certificado de CA.

  5. En Seleccionar certificado de CA, haga clic para seleccionar y seleccionar el certificado raíz para el emisor de los certificados de cliente.

  6. Haga clic en Vincular.

Nota: Es posible que tenga que vincular también los certificados de CA intermedios que hayan emitido los certificados de cliente.

Configurar la directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Para el inicio de sesión único en StoreFront, nFactor utiliza de forma predeterminada la última contraseña introducida. Si LDAP no es la última contraseña introducida, debe crear una directiva/perfil de tráfico para anular el comportamiento nFactor predeterminado.

  1. Vaya a Citrix Gateway > Directivas > Tráfico.

    Imagen localizada

  2. En la ficha Perfiles de tráfico, haga clic en Agregar.

    Imagen localizada

  3. Introduzca un nombre para el perfil de tráfico. Seleccione el protocolo HTTP. En Single Sign-on, seleccione Activado.

    Imagen localizada

  4. En la expresión SSO, escriba una expresiónHTTP.REQ.USER.ATTRIBUTE (#) que coincida con los índices especificados en el esquema de inicio de sesión y haga clic en Crear.

    Imagen localizada

  5. Haga clic en la ficha Directivas de tráfico y haga clic en Agregar.

    Introduzca un nombre para la directiva. Seleccione el perfil de tráfico creado en el paso anterior. En Expresión, escriba una expresión avanzada, por ejemplo true. Haga clic en Crear.

    Imagen localizada

  6. Vaya a Citrix Gateway > Citrix Gateway Virtual Server.

    • Seleccione y existente servidor virtual y haga clic en Modificar.
    • En la sección Directivas, haga clic en el signo +.
    • En Elegir directiva, seleccione Tráfico.
    • En Elegir tipo, seleccione Solicitud.
    • Seleccione la directiva de tráfico que ha creado y, a continuación, haga clic en Vincular.

    Imagen localizada

Fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC

Para entender las configuraciones paso a paso para la autenticación nFactor, consideremos una implementación de autenticación de dos factores donde el primer factor es la autenticación LDAP y el segundo factor es la autenticación RADIUS.

Esta implementación de ejemplo requiere que el usuario inicie sesión en ambos factores mediante un único formulario de inicio de sesión. Por lo tanto, definimos un único formulario de inicio de sesión que acepta dos contraseñas. La primera contraseña se utiliza para la autenticación LDAP y la otra para la autenticación RADIUS. Estas son las configuraciones que se realizan:

  1. Configurar el servidor virtual de equilibrio de carga para la autenticación

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Autenticación ON`

  2. Configure el servidor virtual de autenticación.

    agregar autenticación vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Configure el esquema de inicio de sesión para el formulario de inicio de sesión y vincularlo a una directiva de esquema de inicio de sesión.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. Configurar un esquema de inicio de sesión para el paso a través y vincularlo a una etiqueta de directiva

    add authentication loginSchema login2 -authenticationSchema noschema

    add authentication policylabel label1 -loginSchema login2

  5. Configure las directivas LDAP y RADIUS.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    add authentication Policy ldap -rule true -action ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Policy radius -rule true -action radius

  6. Vincular la directiva de esquema de inicio de sesión al servidor virtual de autenticación

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. Enlazar la directiva LDAP (primer factor) al servidor virtual de autenticación.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. Enlazar la directiva RADIUS (segundo factor) a la etiqueta de directiva de autenticación.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end