Compatibilidad con OTP nativa para la autenticación

El dispositivo Citrix ADC admite contraseñas de uso único (OTP) sin tener que utilizar un servidor de terceros. La contraseña de una sola vez es una opción altamente segura para autenticar servidores seguros ya que el número o el código de acceso generado es aleatorio. Anteriormente, las OTP son ofrecidas por empresas especializadas, como RSA con dispositivos específicos que generan números aleatorios. Este sistema debe estar en constante comunicación con el cliente para generar un número esperado por el servidor.

Además de reducir los gastos de capital y operativos, esta función mejora el control del administrador al mantener toda la configuración en el dispositivo Citrix ADC.

Nota

Dado que ya no se necesitan servidores de terceros, el administrador de Citrix ADC tiene que configurar una interfaz para administrar y validar los dispositivos de usuario.

El usuario debe estar registrado en un servidor virtual del dispositivo Citrix ADC para utilizar la solución OTP. El registro solo se requiere una vez por dispositivo único y puede restringirse a ciertos entornos. La configuración y validación de un usuario registrado es similar a la configuración de una directiva de autenticación adicional.

Ventajas de contar con soporte OTP nativo

  • Reduce el coste operativo al eliminar la necesidad de tener una infraestructura adicional en un servidor de autenticación además de Active Directory.
  • Consolida la configuración solo en el dispositivo Citrix ADC, lo que ofrece un gran control a los administradores.
  • Elimina la dependencia del cliente de un servidor de autenticación adicional para generar un número esperado por los clientes.

Flujo de trabajo OTP nativo

La solución OTP nativa es un proceso doble y el flujo de trabajo se clasifica de la siguiente manera:

  • Registro de dispositivos
  • Inicio de sesión del usuario final

Importante

Puede omitir el proceso de registro si está utilizando soluciones de terceros o administrando otros dispositivos aparte del dispositivo Citrix ADC. La cadena final que agregue debe estar en el formato especificado por Citrix ADC.

La siguiente figura muestra el flujo de registro del dispositivo para registrar un nuevo dispositivo para recibir OTP.

Imagen localizada

Nota

El registro del dispositivo se puede hacer mediante cualquier número de factores. El factor único (como se especifica en la figura anterior) se utiliza como ejemplo para explicar el proceso de registro del dispositivo.

La siguiente figura muestra la verificación de OTP a través del dispositivo registrado.

Imagen localizada

Requisitos previos

Para utilizar la función OTP nativa, asegúrese de que se cumplen los siguientes requisitos previos.

  • La versión de la función Citrix ADC es 12.0 build 53.13 y posterior.
  • La licencia de edición avanzada o Premium está instalada en Citrix Gateway.
  • El dispositivo Citrix ADC está configurado con IP de administración y se puede acceder a la consola de administración mediante un explorador y una línea de comandos.
  • Citrix ADC está configurado con un servidor virtual de autenticación, autorización y auditoría para autenticar a los usuarios.
  • El dispositivo Citrix ADC se configura con Unified Gateway y el perfil de autenticación, autorización y auditoría se asigna al servidor virtual Gateway.
  • La solución OTP nativa está restringida al flujo de autenticación nFactor. Se requieren directivas avanzadas para configurar la solución. Para más detalles, consulte el artículoCTX222713.

Asegúrese también de lo siguiente para Active Directory:

  • Una longitud mínima de atributo de 256 caracteres.
  • El tipo de atributo debe ser ‘DirectoryString’, como UserParameters. Estos atributos pueden contener valores de cadena.
  • El tipo de cadena de atributo debe ser Unicode, si el nombre del dispositivo está en caracteres no ingleses.
  • El administrador de Citrix ADC LDAP debe tener acceso de escritura al atributo AD seleccionado.
  • El dispositivo Citrix ADC y el equipo cliente deben sincronizarse con un servidor de hora de red común.

Configurar OTP nativo mediante la GUI

El registro OTP nativo no es solo una autenticación de factor único. Las siguientes secciones le ayudan a configurar la autenticación de factor único y segundo.

Crear esquema de inicio de sesión para el primer factor

  1. Vaya a Seguridad AAA > Tráfico de aplicaciones > Esquema de inicio de sesión.
  2. Vaya a Perfiles y haga clic en Agregar.
  3. En la página Crear esquema de inicio de sesión de autenticación, escriba lschema_first_factor en el campo Nombre y haga clic en Modificar junto a noschema.
  4. Haga clic en la carpeta LoginSchema.
  5. Desplácese hacia abajo para seleccionar SingleAuth.xml y haga clic en Seleccionar.
  6. Haga clic en Crear.
  7. Haga clic en Directivas y haga clic en Agregar.
  8. En la pantalla Crear directiva de esquema de inicio de sesión de autenticación, introduzca los siguientes valores.

    Nombre: lschema_first_factor Perfil: seleccione lschema_first_factor de la lista. Regla: HTTP.REQ.COOKIE.VALUE (“NSC_TASS”).EQ (“manageotp”)

Configurar el servidor virtual de autenticación, autorización y auditoría

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales de autenticación. Haga clic aquí para modificar el servidor virtual existente.
  2. Haga clic en el icono + situado junto a Esquemas de inicio de sesión en Configuración avanzada en el panel derecho.
  3. Seleccione Sin esquema de inicio de sesión.
  4. Haga clic en la flecha y seleccione la directiva lschema_first_factor.
  5. Seleccione la directiva lschema_first_factor y haga clic en Seleccionar.
  6. Haga clic en Bind.
  7. Desplácese hacia arriba y seleccione 1 Directiva de autenticación en Directiva de autenticación avanzada.
  8. Haga clic con el botón derecho en la directiva nFactor y seleccione Modificar enlace.
  9. Haga clic en el icono + presente en Seleccionar factor siguiente, cree un factor siguiente y haga clic en Vincular.
  10. En la pantalla Crear etiqueta de directiva de autenticación, escriba lo siguiente y haga clic en Continuar:

    Nombre: OTP_Manage_Factor

    Esquema de iniciode sesión: Lschema_Int

  11. En la pantalla Etiqueta de directiva de autenticación, haga clic en el icono + para crear una directiva.

  12. En la pantalla Crear directiva de autenticación, escriba lo siguiente:

    Nombre. otp_manage_ldap

  13. Seleccione el tipo de acción mediante la lista Tipo de acción.
  14. En el campo Acción, haga clic en el icono + para crear una Acción.
  15. En la página Crear servidor LDAP de autenticación, seleccione el botón de opción IP del servidor, anule la selección de la casilla de verificación situada junto a Autenticación, introduzca los siguientes valores y seleccione Probar conexión.

    Nombre: LDAP_NO_Auth

    Dirección IP: 192.168.10.11

    DN base: DC = formación, DC = laboratorio

    Administrador: Administrator@training.lab

    Contraseña: xxxxx

  16. Desplácese hacia abajo hasta la sección Otros ajustes. Utilice la lista para seleccionar las siguientes opciones.

    Atributo de nombre de inicio de sesión del servidor como Nuevo y escriba userprincipalname.

  17. Utilice la lista para seleccionar Atributo de nombre de SSO como Nuevo y escriba userprincipalname.
  18. Introduzca “UserParameters” en el campo OTP Secret y haga clic en Más.
  19. Introduzca los siguientes atributos.

    Atributo 1 = mail Atributo 2 = ObjectGUID Atributo 3 = ImmutableID

  20. Haga clic en Aceptar.
  21. En la página Crear directiva de autenticación, establezca la expresión en true y haga clic en Crear.
  22. En la página Crear etiqueta de directiva de autenticación, haga clic en Vincular y haga clic en Listo.
  23. En la página Enlace de directivas, haga clic en Vincular.
  24. En la página Directiva de autenticación, haga clic en Cerrar y haga clic en Listo.

Nota

El servidor virtual de autenticación debe estar enlazado al tema del portal RFWebUI. Enlazar un certificado de servidor al servidor. La IP del servidor ‘1.2.3.5’ debe tener un FQDN correspondiente, es decir, otpauth.server.com, para su uso posterior.

Crear esquema de inicio de sesión para el segundo factor OTP

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales. Seleccione el servidor virtual que quiere modificar.
  2. Desplácese hacia abajo y seleccione 1 Esquema de inicio de sesión.
  3. Haga clic en Agregar enlace.
  4. En la sección Enlace de directivas, haga clic en el icono + para agregar una directiva.
  5. En la página Crear directiva de esquema de inicio de sesión de autenticación, escriba Nombre como OTP y haga clic en el icono + para crear un perfil.
  6. En la página Crear esquema de inicio de sesión de autenticación, escriba Nombre como OTP y haga clic en el icono situado junto a noschema.
  7. Haga clic en la carpeta LoginSchema, seleccione DualAuth.xml y, a continuación, haga clic en Seleccionar.
  8. Haga clic en Crear.
  9. En la sección Regla, escriba True. Haga clic en Crear.
  10. Haga clic en Bind.
  11. Observe los dos factores de autenticación. Haga clic en Cerrar y haga clic en Listo.

Configurar la directiva de conmutación de contenido para administrar OTP

Las siguientes configuraciones son necesarias si utiliza Unified Gateway.

  1. Vaya a Administración del tráfico > Cambio de contenido > Directivas. Seleccione la directiva de cambio de contenido, haga clic con el botón derecho y seleccione Modificar.

  2. Modifique la expresión para evaluar la siguiente instrucción OR y haga clic en Aceptar:

is_vpn_url   HTTP.REQ.URL.CONTIENES (“manageotp”)

Configurar OTP nativo mediante la CLI

Debe tener la siguiente información para configurar la página de administración de dispositivos OTP:

  • IP asignada al servidor virtual de autenticación
  • FQDN correspondiente a la IP asignada
  • Certificado de servidor para servidor virtual de autenticación

Nota

OTP nativo es una solución basada en web solamente.

Para configurar la página de registro y administración de dispositivos OTP

Crear servidor virtual de autenticación

  • add authentication vserver authvs SSL 1.2.3.5 443
  • bind authentication vserver authvs -portaltheme RFWebUI
  • bind ssl vserver authvs -certkeyname otpauthcert

Nota

El servidor virtual de autenticación debe estar enlazado al tema del portal RFWebUI. Debe vincular un certificado de servidor al servidor. La IP del servidor ‘1.2.3.5’ debe tener un FQDN correspondiente, es decir, otpauth.server.com, para su uso posterior.

Para crear una acción de inicio de sesión LDAP

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> - serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

Ejemplo:

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

Para agregar directiva de autenticación para el inicio de sesión LDAP

agregar autenticación directiva auth_pol_ldap_logon -rule true -action ldap_logon_action

Para presentar la interfaz de usuario a través de LoginSchema

Mostrar campos de nombre de usuario y contraseña a los usuarios al iniciar sesión

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

Mostrar la página de registro y administración de dispositivos

Citrix recomienda dos formas de mostrar la pantalla de administración y registro del dispositivo: URL o nombre de host.

  • Uso de URL

    Cuando la URL contiene ‘/manageotp’

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • Usar nombre de host

    Cuando el nombre de host es ‘alt.server.com’.

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

Para configurar la página de inicio de sesión de usuario mediante la CLI

Debe tener la siguiente información para configurar la página Inicio de sesión de usuario:

  • IP para un servidor virtual de equilibrio de carga
  • FQDN correspondiente para el servidor virtual de equilibrio de carga
  • Certificado de servidor para el servidor virtual de equilibrio de carga

Nota

Reutilice el servidor virtual de autenticación existente (authvs) para la autenticación de dos factores.

Para crear un servidor virtual de equilibrio de carga

add lb vserver lbvs_https SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -  AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs
bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

El servicio back-end en el equilibrio de carga se representa de la siguiente manera:

add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com

Para crear una acción de validación de código de acceso OTP

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`

Ejemplo:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort
636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.
com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication
DISABLED -OTPSecret userParameters

Importante

La diferencia entre el inicio de sesión LDAP y la acción OTP es la necesidad de inhabilitar la autenticación e introducir un nuevo parámetro “OTPSecret”. No se debe utilizar el valor del atributo AD.

Para agregar directiva de autenticación para la validación de código de acceso OTP

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action

Para presentar la autenticación de dos factores a través de LoginSchema

Agregue la interfaz de usuario para la autenticación de dos factores.

  • add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
  • add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor

Para crear un factor de validación de código de acceso mediante la etiqueta de directiva

Crear una etiqueta de directiva de flujo OTP para el siguiente factor (el primer factor es el inicio de sesión LDAP)

  • add authentication loginSchema lschema_noschema -authenticationSchema noschema
  • add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

Para enlazar la directiva OTP a la etiqueta de directiva

bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

Para enlazar el flujo de la interfaz de usuario

Enlazar el inicio de sesión LDAP seguido de la validación OTP con el servidor virtual de autenticación.

  • bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT
  • bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Registre su dispositivo con Citrix ADC

  1. Desplácese hasta su Citrix ADC FQDN (primera IP pública), con un sufijo /manageotp. Por ejemplo,https://otpauth.server.com/manageotp Iniciar sesión con credenciales de usuario.
  2. Haga clic en el icono + para agregar un dispositivo.

    Imagen localizada

  3. Introduzca un nombre de dispositivo y pulse Ir. Aparece un código de barras en la pantalla.
  4. Haga clic en Iniciar configuración y, a continuación, haga clic en Escanear código de
  5. Coloque el cursor sobre la cámara del dispositivo sobre el código QR. Opcionalmente, puede introducir el código de 16 dígitos.

    localizar imagen

    Nota

    El código QR mostrado es válido durante 3 minutos.

  6. Cuando el escaneo se realiza correctamente, se le presenta un código sensible al tiempo de 6 dígitos que se puede utilizar para iniciar sesión.

    Imagen localizada

  7. Para probar, haga clic en Listo en la pantalla QR y, a continuación, haga clic en la marca de verificación verde a la derecha.
  8. Selecciona tu dispositivo de la lista e introduce el código de Google Authenticator (debe ser azul, no rojo) y haz clic en Ir.
  9. Asegúrese de cerrar sesión mediante la lista situada en la esquina superior derecha de la página.

Inicie sesión en Citrix ADC mediante el OTP

  1. Navegue a la primera URL pública e introduzca su OTP desde Google Authenticator para iniciar sesión.
  2. Autenticar en la página de presentación de Citrix ADC.

    Imagen localizada

Integración de OTP con soluciones de terceros mediante tokens de hardware

Importante

  • No es necesario registrar el dispositivo Citrix ADC para usarlo como soporte de token de hardware.
  • Esta función es compatible con Citrix ADC versión 12.1 compilación 51.16 y versiones posteriores.

El sistema Citrix ADC OTP ahora cumple con el TOTP RFC 6238. Esto significa que Citrix ADC utiliza la hora actual en segundos junto con un secreto compartido para calcular el código TOTP. Citrix ADC utiliza un segmento de tiempo de 30 segundos y el algoritmo HMAC-SHA1.

A partir de Citrix ADC versión 12.1 compilación 51.16, ADC admite soluciones de terceros que utilizan el tamaño de clave extendido o el algoritmo SHA2. Los usuarios ahora pueden configurar el objeto de Active Directory con un valor de semilla mayor y un algoritmo diferente.

Citrix ADC almacena la información sobre el objeto de usuario en Active Directory en el siguiente formato:

#@mobile1=QB2ZJAOSNCMTRTQFYTEA&,

El texto en mayúsculas es la semilla de TOTP. Se supone que el algoritmo es HMAC-SHA1 y el segmento de tiempo se supone que es de 30 segundos.

Para la interoperabilidad con Citrix ADC mediante tokens de hardware o soluciones de terceros, puede personalizar la cadena de la siguiente manera:

#@mobile1=<variable length seed>&alg=sha2&,

Nota

La semilla ‘sha2’ debe ser un secreto codificado en base32.

Puede proporcionar un valor de semilla de longitud variable. Además, puede especificar “alg=sha2&,” hacia el final, antes de la coma. Es decir, “alg=sha2” debe agregarse después de “&” pero antes de “,.” El delimitador final siempre debe ser “&,.”

Nota

Cualquier error de configuración aparte de lo que se describe podría dar lugar a resultados inesperados.

Seguridad de la administración de OTP

Hay diferentes formas de presentar la página de administración de OTP a los usuarios finales. La forma más común es presentar la página de administración de OTP independiente. Sin embargo, se debe tener cuidado para garantizar que la página de administración de OTP se sirve después de cumplir los requisitos de seguridad. Se debe validar un mínimo de dos factores antes de presentar al usuario con la página de administración de OTP externamente. En esta sección se describen las prácticas recomendadas para presentar la página de administración de OTP.

Marcar atributos de Active Directory como confidenciales

La solución OTP utiliza de forma nativa el objeto de directorio activo del usuario para almacenar cierta información utilizada en el cálculo de códigos OTP. Aunque la solución OTP es altamente flexible y ahorra ahorros significativos para los clientes, el atributo OTP contiene información confidencial que es crítica para OTP. Los clientes deben asegurarse de que solo los usuarios con derechos explícitos puedan ver el contenido de este atributo.

  • Citrix ADC versión 13.0 build 41.20 y versiones posteriores ofrece cifrado OTP nativo de los datos almacenados en el directorio activo y, por lo tanto, proporciona una seguridad mejorada.
  • Para los clientes que están en versiones anteriores de Citrix ADC, se recomienda marcar ciertos atributos como confidenciales para proteger el atributo OTP en el directorio activo. Cuando los atributos se marcan como confidenciales, solo los usuarios con permisos explícitos pueden ver esos atributos.

Para obtener más información sobre cómo marcar los atributos como confidenciales, véase;

Registro de un solo factor internamente

A menudo, los clientes no utilizan ningún proveedor de terceros para la autenticación de dos factores. Si dichos clientes desean pasar al OTP de Citrix ADC, es posible que los usuarios solo tengan credenciales de AD disponibles. En estos casos, se puede alojar un sitio interno que utilice solo AD o Kerberos para el registro de dispositivos OTP.El esquema de inicio de sesión SingleAuthManangeotp.xml se puede utilizar para presentar esta página basándose en el origen.

Registro de doble factor externamente

Cuando los usuarios acceden a la página de administración de OTP externamente, se debe pedir a los usuarios que presenten un segundo factor para incluso registrar sus dispositivos. Si los clientes tienen otras soluciones OTP (token RSA u otros), se les debe pedir que lo validen antes de acceder al portal de autoservicio. Si los clientes no usan tokens de terceros, entonces el primer dispositivo puede registrarse solo desde dentro de las instalaciones. Los dispositivos posteriores utilizan uno de los dispositivos registrados anteriormente. DualAuthManageOtp.xml se puede utilizar para mostrar dos campos de contraseña a los usuarios finales.

Desafíos con el registro de doble factor externamente

El reto al que se enfrentan los clientes a menudo es averiguar cuándo los usuarios son externos. Los usuarios pueden modificar partes de encabezados HTTP como encabezados “Host”. Por lo tanto, parte integral de la comprobación de gestión de OTP es identificar la fuente. Normalmente, las implementaciones tienen un dispositivo NAT frente a Internet junto con firewall. Todos los accesos externos generalmente ocurren a través de la IP de origen de ese dispositivo NAT (cuando se ve desde la Gateway). Los accesos internos suelen ocurrir directamente. Los clientes pueden aplicar este hecho para identificar la fuente.

Flujo de gestión de OTP

El siguiente diagrama de flujo ilustra un flujo de gestión OTP típico para el registro de doble factor.

Imagen localizada

Ejemplo de configuración

Como se mencionó anteriormente, el reto con el diagrama de flujo es identificar si el usuario es externo o no. Las diferentes organizaciones tienen diferentes configuraciones de red para identificarlo. En este ejemplo, suponga que el usuario proviene de la red 10.x.x.x y, por lo tanto, el usuario se considera interno. Sin embargo, esto debe corregirse según la red del cliente.

Pasos para configurar externamente el registro de doble factor:

  • Configurar la vista de formulario de inicio de sesión
add expression is_external_user “CLIENT.IP.SRC.IN_SUBNET(10.0.0.0/8).NOT && http.req.cookie.value("NSC_TASS").eq("manageotp")”

add authentication loginSchema dualauth_registerotp -authenticationSchema DualAuthManageOTP.xml

add authentication loginSchemaPolicy dualauth_registerotp –rule “is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")” –action dualauth_registerotp

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "LoginSchema/SingleAuthManageOTP.xml"

add authentication loginSchemaPolicy lschema_single_auth_manage_otp -rule "!is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")" -action lschema_single_auth_manage_otp

add authentication vserver nfactor_gateway_auth SSL x.x.x.x 443

Vincular certificados apropiados

bind authentication vserver nfactor_gateway_auth -policy lschema_single_auth_manage_otp -priority 85 -gotoPriorityExpression END

bind authentication vserver nfactor_gateway_auth -policy dualauth_registerotp -priority 80 -gotoPriorityExpression END

Nota: Los clientes también pueden tener otras directivas de esquema de inicio de sesión en este punto para el inicio de sesión real. Estos se omiten por brevedad.

  • Configurar factores de inicio de sesión

Para configurar los factores de inicio de sesión, agregue acciones de AD.

Acción de AD para el inicio de sesión:

    add authentication ldapAction ldap_action_login -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

Acción AD para la validación y el registro de OTP:

    add authentication ldapAction ldap_action_otp -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT> -authentication disabled –OTPSecret UserParameters
  • Agregar directivas
add authentication policy ldap_login_policy_internal –rule ‘!is_external_user’ –action ldap_action_login

add authentication policy ldap_login_otp_validation –rule ‘is_external_user -action ldap_action_otp

add authentication policy ldap_login_policy_external –rule ‘true’ –action ldap_action_login

add authentication policy ldap_login_otp_management –rule ‘true’ -action ldap_action_otp
  • Agregue primero el factor OTP
add authentication policylabel otp_management_factor

bind authentication policylabel otp_management_factor –policy ldap_login_otp_management –pri 100
  • Agregar el factor de validación de AD para usuarios externos
add authentication policylabel ldap_login_external_factor

bind authentication policylabel ldap_login_external_factor –policy ldap_login_policy_external –pri 100 –nextFactor otp_management_factor
  • Vincular directivas al servidor virtual
bind authentication vserver nfactor_gateway_auth –policy ldap_login_policy_internal –pri 100 –nextFactor otp_management_factor

bind authentication vserver nfactor_gateway_auth –policy ldap_login_otp_validation –pri 110 –nextFactor ldap_login_external_factor