Citrix ADC

Configuración de la autenticación nFactor

Puede configurar varios factores de autenticación mediante la configuración de nFactor en lugar de solo dos factores. La configuración de nFactor solo se admite en las ediciones Citrix ADC Advanced y Premium.

Métodos para configurar nFactor

Puede configurar la autenticación nFactor mediante uno de los métodos siguientes:

  • nFactor Visualizer: el visualizador nFactor le permite vincular fácilmente factores o etiquetas de directivas en un solo panel y también cambiar la vinculación de los factores en el mismo panel. Puede crear un flujo de nFactor mediante el visualizador y enlazar ese flujo a un servidor virtual AAA de Citrix ADC. Para obtener más información sobre nFactor Visualizer y un ejemplo de configuración nFactor mediante visualizador, consulte nFactor Visualizer para obtener una configuración simplificada.

  • Citrix ADC GUI: Para obtener más información, consulte la sección Elementos de configuración involucrados en la configuración de nFactor.

  • CLI de Citrix ADC: Para obtener un fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC, consulte Fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC.

Importante: Este tema contiene detalles sobre la configuración de nFactor mediante la GUI de Citrix ADC.

Elementos de configuración implicados en la configuración nFactor

Los siguientes elementos participan en la configuración de nFactor. Para ver los pasos detallados, consulte las secciones correspondientes de este tema.

Elemento de configuración Tareas que deben realizarse
Servidor virtual AAA Creación de un servidor virtual AAA
  Enlazar el tema del portal al servidor virtual AAA
  Activar autenticación de certificados de cliente
Esquema de inicio de sesión Configurar un perfil de esquema de inicio de sesión
  Crear y enlazar una directiva de esquema de inicio de sesión
Directivas de autenticación avanzada Creación de directivas de autenticación avanzadas
  Vincular la directiva de autenticación avanzada de primer factor al servidor virtual AAA de Citrix ADC
  Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación
Etiqueta de directiva de autenticación Crear etiqueta de directiva de autenticación
  Etiqueta de directiva de autenticación de enlace
nFactor para Citrix Gateway Crear perfil de autenticación para vincular un servidor virtual Citrix ADC AAA con el servidor virtual Citrix Gateway
  Configuración de parámetros SSL y certificado de CA para Citrix Gateway
  Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Cómo funciona nFactor

Cuando un usuario se conecta al servidor virtual Citrix ADC AAA o Citrix Gateway, la secuencia de eventos que se producen es la siguiente:

  1. Si se utiliza la autenticación basada en formularios, se muestra el esquema de inicio de sesión vinculado al servidor virtual Citrix ADC AAA.

  2. Se evalúan las directivas de autenticación avanzada vinculadas al servidor virtual AAA de Citrix ADC.
    • Si la directiva de autenticación avanzada tiene éxito y si el siguiente factor (etiqueta de directiva de autenticación) está configurado, se evalúa el siguiente factor. Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.
    • Si se produce un error en la directiva de autenticación avanzada y Goto Expression se establece en Siguiente, se evalúa la siguiente directiva de autenticación avanzada vinculada. Si ninguna de las directivas de autenticación avanzada tiene éxito, se produce un error en la autenticación.
  3. Si la etiqueta de directiva de autenticación de siguiente factor tiene un esquema de inicio de sesión enlazado, se muestra al usuario.
  4. Se evalúan las directivas de autenticación avanzada vinculadas a la etiqueta de directiva de autenticación de siguiente factor.
    • Si la directiva de autenticación avanzada tiene éxito y si se configura el siguiente factor (etiqueta de directiva de autenticación), se evalúa el siguiente factor.
    • Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.
  5. Si se produce un error en la directiva de autenticación avanzada y si Goto Expression es Siguiente, se evalúa la siguiente directiva de autenticación avanzada vinculada.

  6. Si ninguna de las directivas de autenticación avanzada tiene éxito, se produce un error en la autenticación.

Servidor virtual AAA

Para utilizar nFactor con Citrix Gateway, primero debe configurarlo en un servidor virtual AAA. Posteriormente, vinculará el servidor virtual AAA al servidor virtual de Citrix Gateway.

Crear servidor virtual AAA

  1. Si la función AAA no está activada, vaya a Seguridad > AAA — Tráfico de aplicacionesy haga clic con el botón derecho para habilitar la función.

    Imagen localizada

  2. Vaya a Configuración > Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

    Imagen localizada

  3. Haga clic en Agregar para crear un servidor virtual de autenticación.

    Imagen localizada

  4. Introduzca la siguiente información y haga clic en Aceptar.

    Nombre del parámetro Descripción del parámetro
    Nombre Nombre del servidor virtual AAA.
    Tipo de dirección IP Cambie el tipo de dirección IP a No direccionable si este servidor virtual se utiliza solo para Citrix Gateway.

    Imagen localizada

  5. En Certificado, seleccione Sin certificado de servidor.

    Imagen localizada

  6. Haga clic en el texto, haga clic para seleccionar para seleccionar el certificado del servidor.

    Imagen localizada

  7. Haga clic en el botón de opción situado junto al certificado del servidor virtual AAA y haga clic en Seleccionar. El certificado elegido no importa porque no se puede acceder directamente a este servidor.

    Imagen localizada

  8. Haga clic en Bind.

    Imagen localizada

  9. Haga clic en Continuar para cerrar la sección Certificado .

    Imagen localizada

  10. Haga clic en Continue.

    Imagen localizada

Enlazar el tema del portal al servidor virtual AAA

  1. Vaya a Citrix Gateway > Temas del portaly agregue un tema. Cree el tema en Citrix Gateway y, a continuación, lo enlaza al servidor virtual AAA.

    Imagen localizada

  2. Crea un tema basado en el tema de plantilla RFWebUI.

    Imagen localizada

  3. Después de ajustar el tema según lo quiera, en la parte superior de la página de edición del tema del portal, haga clic en Hacer clic para enlazar y ver el tema configurado.

    Imagen localizada

  4. Cambie la selección a Autenticación. En el menú desplegable Nombre del servidor virtual de autenticación, seleccione el servidor virtual AAA y haga clic en Vincular y vista previa y cierre la ventana de vista previa.

    Imagen localizada

Activar autenticación de certificados de cliente

Si uno de sus factores de autenticación es el certificado de cliente, debe realizar alguna configuración SSL en el servidor virtual AAA:

  1. Vaya a Administración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados raíz no tienen archivo de claves.

    Imagen localizada

    Imagen localizada

  2. Vaya a Administración del tráfico > SSL > Cambiar la configuración avanzada de SSL.

    Imagen localizada

    a. Vaya hacia abajo para comprobar si el perfil predeterminado está ACTIVADO. En caso afirmativo, debe utilizar un perfil SSL para habilitar la autenticación de certificados de cliente. De lo contrario, puede habilitar la autenticación de certificados de cliente directamente en el servidor virtual AAA en la sección Parámetros SSL.

  3. Si los perfiles SSL predeterminados no están habilitados:

    a. Vaya a Seguridad > AAA - Aplicación > Servidores virtuales y modifique un servidor virtual AAA existente.

    Imagen localizada

    b. A la izquierda, en la sección Parámetros SSL, haga clic en el icono del lápiz.

    Imagen localizada

    c. Marque la casilla junto a Autenticación de cliente.

    d. Asegúrese de que Opcional esté seleccionado en el menú desplegable Certificado de cliente y haga clic en Aceptar.

    Imagen localizada

  4. Si los perfiles SSL predeterminados están habilitados, cree un nuevo perfil SSL con la autenticación de cliente habilitada:

    a. En el menú de la izquierda, expanda Sistema y haga clic en Perfiles.

    b. En la parte superior derecha, cambia a la ficha Perfil SSL.

    c. Haga clic con el botón derecho en el perfil ns_default_ssl_profile_frontend y haga clic en Agregar. Esto copia la configuración del perfil predeterminado.

    d. Asigne un nombre al perfil. El propósito de este perfil es habilitar los certificados de cliente.

    e. Vaya hacia abajo y busque la casilla Autenticación de cliente. Marca la casilla.

    f. Cambie el menú desplegable Certificado de cliente a OPCIONAL.

    g. Al copiar el perfil SSL predeterminado no se copian los cifrados SSL, por lo que tendrás que rehacerlos.

    h. Haga clic en Listo cuando haya terminado de crear el perfil SSL.

    i. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales y modifique un servidor virtual AAA.

    j. Vaya hacia abajo hasta la sección Perfil SSL y haga clic en el lápiz.

    k. Cambie el menú desplegable Perfil SSL por el perfil que tiene habilitados los certificados de cliente. Haga clic en OK.

    l. Desplácese hacia abajo en este artículo hasta que llegue a las instrucciones para vincular el certificado de CA.

  5. A la izquierda, en la sección Certificados, haga clic en donde dice Sin certificado de CA.

    Imagen localizada

  6. Haga clic en el texto, haga clic para seleccionarlo.

    Imagen localizada

  7. Haga clic en el botón de opción situado junto al certificado raíz del emisor de los certificados de cliente y haga clic en Seleccionar.

    Imagen localizada

  8. Haga clic en Bind.

    Imagen localizada

Archivo XML de esquema de inicio de sesión

El esquema de inicio de sesión es un archivo XML que proporciona la estructura de las páginas de inicio de sesión de autenticación basadas en formularios.

nFactor implica varios factores de autenticación que están encadenados entre sí. Cada factor puede tener páginas o archivos de esquema de inicio de sesión diferentes. En algunos casos de autenticación, a los usuarios se les pueden presentar varias pantallas de inicio de sesión.

Configurar un perfil de esquema de inicio de sesión

Para configurar un perfil de esquema de inicio de sesión:

  1. Cree o modifique un archivo.XML de esquema de inicio de sesión basado en el diseño de nFactor.
  2. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Imagen localizada

  3. A la derecha, cambia a la ficha Perfiles y haga clic en Agregar.

    Imagen localizada

  4. En el campo Esquema de autenticación, haga clic en el icono del lápiz.

    Imagen localizada

  5. Haga clic en la carpeta LoginSchema para ver los archivos que contiene.

    Imagen localizada

  6. Seleccione uno de los archivos. Puede ver una vista previa a la derecha. Las etiquetas se pueden cambiar haciendo clic en el botón Modificar de la parte superior derecha.

    Imagen localizada

  7. Al guardar los cambios, se crea un nuevo archivo en /NSConfig/loginSchema.

    Imagen localizada

  8. En la parte superior derecha, haga clic en Seleccionar.

    Imagen localizada

  9. Asigne un nombre al esquema de inicio de sesión y haga clic en Más.

    Imagen localizada

  10. Es posible que tenga que utilizar el nombre de usuario y la contraseña introducidos en el esquema de inicio de sesión de inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront.

    Puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante cualquiera de los métodos siguientes.

    • Haga clic en Más en la parte inferior de la página Crear esquema de inicio de sesión de autenticación y seleccione Activar credenciales de inicio de sesión único.

    • Haga clic en Más en la parte inferior de la página Crear esquema de inicio de sesión de autenticación e introduzca valores únicos para el índice de credenciales de usuario y el índice de credenciales de contraseña. Estos valores pueden estar entre 1 y 16. Más adelante, haga referencia a estos valores de índice en una directiva/perfil de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#).

    Imagen localizada

  11. Haga clic en Aceptar para crear el perfil de esquema de inicio de sesión.

    Nota: Si modifica el archivo de esquema de inicio de sesión (.xml) más adelante, para que los cambios se reflejen, debe modificar el perfil del esquema de inicio de sesión y volver a seleccionar el archivo de esquema de inicio de sesión (.xml).

Crear y enlazar una directiva de esquema de inicio de sesión

Para vincular un perfil de esquema de inicio de sesión a un servidor virtual AAA, primero debe crear una directiva de esquema de inicio de sesión. Las directivas de esquema de inicio de sesión no son necesarias al vincular el perfil del esquema de inicio de sesión a una etiqueta de directiva de autenticación, como se detalla más adelante.

Para crear y vincular una directiva de esquema de inicio de sesión:

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

    Imagen localizada

  2. En la ficha Policies, haga clic en Add.

    Imagen localizada

  3. Utilice el menú desplegable Perfil para seleccionar el perfil de esquema de inicio de sesión que ya ha creado.

  4. Introduzca una expresión de directiva avanzada (por ejemplo, true) en el cuadro Regla y haga clic en Crear.

    Imagen localizada

  5. A la izquierda, vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales y modifique un servidor virtual AAA existente.

    Imagen localizada

  6. En la columna Configuración avanzada, haga clic en Esquemas de iniciode sesión.

    Imagen localizada

  7. En la sección Esquemas de inicio de sesión, haga clic en el texto Sin esquema de iniciode sesión.

    Imagen localizada

  8. Haga clic en el texto, haga clic para seleccionarlo.

    Imagen localizada

  9. Haga clic en el botón de opción situado junto a la directiva de esquema de inicio de sesión y haga clic en Seleccionar. En esta lista solo aparecen las directivas de esquema de inicio de sesión. Los perfiles de esquema de inicio de sesión (sin directiva) no aparecen.

    Imagen localizada

  10. Haga clic en Bind.

Directivas de autenticación avanzada

Las directivas de autenticación son una combinación de expresión de directiva y acción de directiva. Si la expresión es verdadera, evalúe la acción de autenticación.

Creación de directivas de autenticación avanzadas

Las directivas de autenticación son una combinación de expresión de directivas y acción de directivas. Si la expresión es verdadera, evalúe la acción de autenticación.

Necesitará acciones/servidores de autenticación (por ejemplo, LDAP, RADIUS, CERT, SAML, etc.) Al crear una directiva de autenticación avanzada, aparece un icono más (Agregar) que le permite crear acciones o servidores de autenticación.

O bien, puede crear acciones de autenticación (servidores) antes de crear la directiva de autenticación avanzada. Los servidores de autenticación se encuentran en Autenticación > Panel de control. A la derecha, haga clic en Agregar y seleccione un tipo de servidor. Las instrucciones para crear estos servidores de autenticación no se detallan aquí. Consulte los procedimientos Autenticación: NetScaler 12/Citrix ADC 12.1.

Para crear una directiva de autenticación avanzada:

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva

    Imagen localizada

  2. En el panel de detalles, realice una de las siguientes acciones:
    • Para crear una directiva, haga clic en Agregar.
    • Para modificar una directiva existente, selecciónela y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Crear directiva de autenticación o Configurar directiva de autenticación, escriba o seleccione valores para los parámetros.

    Imagen localizada

    • Nombre: nombre de la directiva. No se puede cambiar para una directiva configurada previamente.
    • Tipo de acción : tipo de directiva: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS o WEBAUTH.
    • Acción: acción de autenticación (perfil) que se va a asociar a la directiva. Puede elegir una acción de autenticación existente o hacer clic en el signo más y crear una acción del tipo adecuado.
    • Acción de registro: acción de auditoría que se va a asociar a la directiva. Puede elegir una acción de auditoría existente o hacer clic en el signo más y crear una acción. No tienes ninguna acción configurada o, para crear una acción, haga clic en Agregar y completa los pasos.
    • Expresión: Regla que selecciona las conexiones a las que quiere aplicar la acción especificada. La regla puede ser simple (“true” selecciona todo el tráfico) o compleja. Las expresiones se introducen seleccionando primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escribiendo la expresión directamente en el área de texto de la expresión o haciendo clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilizando las listas desplegables que contiene para crear el expresión.)
    • Comentario : puede escribir un comentario que describa el tipo de tráfico al que se aplica esta directiva de autenticación. Opcional.
  4. Haga clic en Create y, luego, en Close. Si ha creado una directiva, esa directiva aparece en la página Directivas y servidores de autenticación.

Debe crear directivas de autenticación avanzada adicionales según sea necesario en función del diseño de nFactor.

Vincular la directiva de autenticación avanzada de primer factor a Citrix ADC AAA

Puede vincular directamente directivas de autenticación avanzada para el primer factor del servidor virtual Citrix ADC AAA. Para los siguientes factores, debe vincular las directivas de autenticación avanzada a las etiquetas de la directiva de autenticación.

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales. Modificar un servidor virtual existente.

Imagen localizada

  1. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en Sin directiva de autenticación.

    Imagen localizada

  2. En Seleccionar directiva, haga clic en el texto, haga clic para seleccionar.

    Imagen localizada

  3. Haga clic en el botón de opción situado junto a la Directiva de autenticación avanzaday, a continuación, haga clic en Seleccionar.

    Imagen localizada

  4. En la sección Detalles de enlace, la expresión Goto determina qué sucede a continuación si se produce un error en esta directiva de autenticación avanzada.
    • Si Goto Expression se establece en NEXT, se evalúa la siguiente directiva de autenticación avanzada vinculada a este servidor virtual Citrix ADC AAA.
    • Si Goto Expression se establece en ENDo si no hay más directivas de autenticación avanzadas vinculadas a este servidor virtual Citrix ADC AAA, la autenticación se completa y se marca como fallida.

    Imagen localizada

  5. En Seleccionar factor siguiente, puede seleccionar puede apuntar a una etiqueta de directiva de autenticación. El siguiente factor se evalúa solo si la directiva de autenticación avanzada tiene éxito. Por último, haga clic en Enlazar.

    Imagen localizada

Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación

Puede utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación sin autenticación real con LDAP.

  1. Al crear o modificar un servidor LDAP o una acción LDAP, desactive la casilla Autenticación .
  2. En Otros ajustes, seleccione los valores apropiados en Atributo de grupo y Nombre de subatributo.

Autenticar la etiqueta de directiva

Cuando vincula una directiva de autenticación avanzada al servidor virtual AAA de Citrix ADC y ha seleccionado un factor siguiente, el siguiente factor se evalúa solo si la directiva de autenticación avanzada. El siguiente factor que se evalúa es una etiqueta de directiva de autenticación.

La etiqueta de directiva de autenticación especifica un conjunto de directivas de autenticación para un factor concreto. Cada etiqueta de directiva corresponde a un único factor. También especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva de autenticación debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación.

Nota: No todos los factores necesitan un esquema de inicio de sesión. El perfil de esquema de inicio de sesión solo es necesario si vincula un esquema de inicio de sesión a una etiqueta de directiva de autenticación.

Crear etiqueta de directiva de autenticación

Una etiqueta de directiva especifica las directivas de autenticación de un factor concreto. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para distintos mecanismos de autenticación.

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva.

    Imagen localizada

  2. Haga clic en el botón Add.

    Imagen localizada

  3. Complete los campos siguientes para crear etiqueta de directiva de autenticación:

    a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    b) Seleccione el esquema de inicio de sesión asociado a la etiqueta de directiva de autenticación. SI no quiere mostrar nada al usuario, puede seleccionar un perfil de esquema de inicio de sesión establecido en noschema (LSCHEMA_INT).

    c) Haga clic en Continuar.

    Imagen localizada

  4. En la sección Vinculación de directivas, haga clic donde dice Haga clic para seleccionar.

  5. Seleccione la directiva de autenticación que evalúa este factor.

    Imagen localizada

  6. Rellene los campos siguientes:

    a) Introduzca la prioridad de la vinculación de la directiva.

    b) En Goto Expression, seleccione SIGUIENTE si quiere enlazar directivas de autenticación más avanzadas a este factor o seleccione END.

    Imagen localizada

  7. En Seleccionar siguiente factor, si quiere agregar otro factor, haga clic para seleccionar y enlazar la siguiente etiqueta de directiva de autenticación (factor siguiente). Si no selecciona el siguiente factor y esta directiva de autenticación avanzada tiene éxito, la autenticación se realiza correctamente y se ha completado.
  8. Haga clic en Bind.

  9. Puede hacer clic en Agregar enlace para agregar directivas de autenticación más avanzadas a esta etiqueta de directiva (factor). Haga clic en Listo al finalizar.

    Imagen localizada

Etiqueta de directiva de autenticación de enlace

Después de crear la etiqueta de directiva, la vincula a una directiva de autenticación avanzada existente vinculada a factores de cadena.

Puede seleccionar el siguiente factor al modificar un servidor virtual Citrix ADC AAA existente que tiene una directiva de autenticación avanzada vinculada o al modificar una etiqueta de directiva diferente para incluir el siguiente factor.

Para modificar un servidor virtual Citrix ADC AAA existente que ya tiene vinculada una directiva de autenticación avanzada

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales. Seleccione el servidor virtual y haga clic en Modificar.

    Imagen localizada

  2. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic en un enlace de directiva de autenticación existente.

    Imagen localizada

  3. En Seleccionar acción, haga clic en Modificar enlace.

    Imagen localizada

  4. En Seleccionar factor siguiente, haga clic en y seleccione una etiqueta de directiva de autenticación existente (factor siguiente).

    Imagen localizada

  5. Haga clic en Bind. Puede ver el siguiente factor en el extremo derecho.

    Imagen localizada

Para agregar un factor siguiente de etiqueta de directiva a otro rótulo de directiva

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva. Seleccione una etiqueta de directiva diferente y haga clic en Modificar.

    Imagen localizada

  2. En Seleccionar acción, haga clic en Modificar enlace.

    Imagen localizada

  3. En Detalles de enlace > Seleccionar factor siguiente, haga clic para seleccionar el siguiente factor.
  4. Elija la etiqueta de directiva para el siguiente factor y haga clic en el botón Seleccionar .

    Imagen localizada

  5. Haga clic en Enlazar. Puede ver el siguiente factor a la derecha.

    Imagen localizada

nFactor para Citrix Gateway

Para habilitar nFactor en Citrix Gateway, un perfil de autenticación debe estar vinculado a un servidor virtual Citrix ADC AAA.

Crear perfil de autenticación para vincular un servidor virtual Citrix ADC AAA con el servidor virtual Citrix Gateway

  1. Vaya a Citrix Gateway > Servidores virtuales y seleccione un servidor virtual de puerta de enlace existente para modificarlo.

    Imagen localizada

  2. En Configuración avanzada, haga clic en Perfil de autenticación.

  3. Haga clic en Agregar en Perfil de autenticación

    Imagen localizada

  4. Introduzca el nombre del perfil de autenticación y haga clic donde dice Haga clic para seleccionar.

    Imagen localizada

  5. En Servidor virtual de autenticación, seleccione un servidor existente que tenga configurado el esquema de inicio de sesión, la directiva de autenticación avanzada y las etiquetas de directiva de autenticación. También puede crear un servidor virtual de autenticación. El servidor virtual Citrix ADC AAA no necesita una dirección IP. Haga clic en Seleccionar.

    Imagen localizada

  6. Haga clic en Crear.

    Imagen localizada

  7. Haga clic en Aceptar para cerrar la sección Perfil de autenticación.

    Imagen localizada

Nota: Si ha configurado uno de los factores como certificados de cliente, debe configurar los parámetros SSL y el certificado de CA.

Una vez que haya terminado de vincular el perfil de autenticación a un servidor virtual AAA y cuando vaya a Citrix Gateway, podrá ver las pantallas de autenticación de nFactor.

Configurar los parámetros SSL y el certificado de CA

Si uno de los factores de autenticación es un certificado, debe realizar alguna configuración SSL en el servidor virtual de Citrix Gateway.

  1. Vaya a Administración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados de la entidad emisora de certificados no necesitan archivos de claves.

    Si los perfiles SSL predeterminados están habilitados, debería haber creado un perfil SSL que tenga habilitada la autenticación de cliente.

  2. Vaya a Citrix Gateway > Servidores virtuales y modifique un servidor virtual Citrix Gateway existente habilitado para nFactor.

    • Si los perfiles SSL predeterminados están habilitados, haga clic en el icono de edición.
    • En la lista Perfil SSL, seleccione el perfil SSL que tiene habilitada la autenticación de cliente y defina el valor OPCIONAL.

    • Si los perfiles SSL predeterminados no están habilitados, haga clic en el icono de edición.
    • Marque la casilla Autenticación de cliente.
    • Asegúrese de que el certificado de cliente esté establecido en Opcional
  3. Haga clic en OK.

  4. En la sección Certificados, haga clic en Sin certificado de CA.

  5. En Seleccionar certificado de CA, haga clic para seleccionar y seleccionar el certificado raíz del emisor de los certificados de cliente.

  6. Haga clic en Bind.

Nota: Es posible que deba enlazar también cualquier certificado de CA intermedia que haya emitido los certificados de cliente.

Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Para el inicio de sesión único en StoreFront, nFactor utiliza de forma predeterminada la última contraseña introducida. Si LDAP no es la última contraseña introducida, debe crear una directiva/perfil de tráfico para anular el comportamiento predeterminado de nFactor.

  1. Vaya a Citrix Gateway > Directivas > Tráfico.

    Imagen localizada

  2. En la ficha Perfiles de tráfico, haga clic en Agregar.

    Imagen localizada

  3. Introduzca un nombre para el perfil de tráfico. Seleccione el protocolo HTTP . En Inicio de sesión único, seleccione ACTIVADO.

    Imagen localizada

  4. En la expresión de SSO, introduzca una expresiónAAA.USER.ATTRIBUTE (#) que coincida con los índices especificados en el esquema de inicio de sesión y haga clic en Crear.

    Nota La expresión AAA.USER se ha implementado ahora para reemplazar las expresiones HTTP.REQ.USER obsoletas.

    Imagen localizada

  5. Haga clic en la ficha Directivas de tráfico y haga clic en Agregar.

    Introduzca un nombre para la directiva. Seleccione el perfil de tráfico creado en el paso anterior. En Expresión, introduzca una expresión avanzada, por ejemplo true. Haga clic en Crear.

    Imagen localizada

  6. Vaya a Citrix Gateway > Servidor virtual de Citrix Gateway.

    • Seleccione un servidor virtual existente y haga clic en Modificar.
    • En la sección Directivas, haga clic en el signo + .
    • En Elegir directiva, seleccione Tráfico.
    • En Elegir tipo, seleccione Solicitud.
    • Seleccione la directiva de tráfico que ha creado y, a continuación, haga clic en Vincular.

    Imagen localizada

Fragmento de ejemplo sobre la configuración de nFactor mediante la CLI de Citrix ADC

Para comprender las configuraciones paso a paso para la autenticación nFactor, consideremos una implementación de autenticación de dos factores en la que el primer factor es la autenticación LDAP y el segundo factor es la autenticación RADIUS.

Esta implementación de ejemplo requiere que el usuario inicie sesión en ambos factores mediante un único formulario de inicio de sesión. Por lo tanto, definimos un único formulario de inicio de sesión que acepta dos contraseñas. La primera contraseña se utiliza para la autenticación LDAP y la otra para la autenticación RADIUS. Estas son las configuraciones que se realizan:

  1. Configurar el servidor virtual de equilibrio de carga para la autenticación

    add lb vserver lbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Autenticación ACTIVADA

  2. Configure el servidor virtual de autenticación.

    agregar autenticación vserver auth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

  3. Configure el esquema de inicio de sesión para el formulario de inicio de sesión y enlácelo a una directiva de esquema de inicio de sesión.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

    Nota

    Es posible que deba utilizar el nombre de usuario y una de las contraseñas introducidas en el esquema de inicio de sesión de inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront. Puede hacer referencia a estos valores de índice en la acción de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#). Los valores pueden estar entre 1 y 16.

    Como alternativa, puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante el siguiente comando.

    add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES

    add authentication loginSchemaPolicy login1 -rule true -action login1

  4. Configurar un esquema de inicio de sesión para la transferencia y vincularlo a una etiqueta de directiva

    add authentication loginSchema login2 - AuthenticationSchema noschema

    agregar etiqueta de directiva de autenticación 1 - LoginSchema login2

  5. Configure las directivas LDAP y RADIUS.

    add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase “dc=aaatm, dc=com” -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN

    add authentication Policy ldap -rule true -action ldapAct1

    add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8

    add authentication Directiva radius -rule true -action radius

  6. Enlazar la directiva de esquema de inicio de sesión al servidor virtual de autenticación

    bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END

  7. Enlazar la directiva LDAP (primer factor) al servidor virtual de autenticación.

    bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next

  8. Enlazar la directiva RADIUS (segundo factor) a la etiqueta de la directiva de autenticación.

    bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end