Citrix ADC

Configuración re-Captcha para autenticación nFactor

Citrix Gateway admite una nueva acción de primera clase captchaAction que simplifica la configuración de Re-Captcha. Como re-Captcha es una acción de primera clase, puede ser un factor en sí mismo. Puede inyectar re-Captcha en cualquier parte del flujo de nFactor.

Anteriormente, tenías que escribir directivas WebAuth personalizadas con cambios en la RfWebUI también. Con la introducción de captchaAction, no tiene que modificar el JavaScript.

Importante:

Si se usa re-Captcha junto con los campos de nombre de usuario o contraseña en el esquema, el botón Enviar se inhabilita hasta que se cumpla con re-Captcha.

Configuración de re-Captcha

La configuración de re-Captcha consta de dos partes.

  1. Configuración en Google para registrar re-Captcha.
  2. Configuración en el dispositivo Citrix ADC para usar re-Captcha como parte del flujo de inicio de sesión.

Configuración de re-Captcha en Google

Registre un dominio para re-Captcha en https://www.google.com/recaptcha/admin#llist.

  1. Al navegar a esta página, aparece la siguiente pantalla.

    Registrar un sitio

    Nota

    Utilice solo reCaptcha v2. Re-Captcha invisible aún está en Tech Preview.

  2. Después de registrar un dominio, se muestran “SiteKey” y “SecretKey”.

    Clave del sitio y clave secreta

    Nota

    Las teclas “SiteKey” y “SecretKey” aparecen atenuadas por motivos de seguridad. “SecretKey” debe mantenerse a salvo.

Configuración de re-Captcha en un dispositivo Citrix ADC

La configuración de re-Captcha en el dispositivo Citrix ADC se puede dividir en tres partes:

  • Mostrar pantalla de re-Captcha
  • Publicar la respuesta de re-Captcha en el servidor de Google
  • La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

Mostrar pantalla de re-Captcha

La personalización del formulario de inicio de sesión se realiza mediante el esquema de inicio de sesión SingleAuthCaptcha.xml. Esta personalización se especifica en el servidor virtual de autenticación y se envía a la interfaz de usuario para representar el formulario de inicio de sesión. El esquema de inicio de sesión integrado, SingleAuthCaptcha.xml, se encuentra en el directorio /nsconfig/loginSchema/LoginSchema del dispositivo Citrix ADC.

Importante

  • El esquema de inicio de sesión de SingleAuthCaptcha.xml se puede usar cuando se configura LDAP como primer factor.
  • En función de su caso de uso y de los diferentes esquemas, puede modificar el esquema existente. Por ejemplo, si solo necesita el factor re-Captcha (sin nombre de usuario ni contraseña) o autenticación dual con re-Captcha.
  • Si se realizan modificaciones personalizadas o se cambia el nombre del archivo, Citrix recomienda copiar todos los loginSchemas del directorio /nsconfig/loginschema/LoginSchema al directorio principal, /nsconfig/loginschema.

Para configurar la visualización de re-Captcha mediante CLI

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml

add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

add authentication vserver auth SSL <IP> <Port>

add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>

bind ssl vserver auth -certkey vserver-cert

bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->

Publicar la respuesta de re-Captcha en el servidor de Google

Después de configurar el re-Captcha que debe mostrarse a los usuarios, los administradores agregan la configuración al servidor de Google para verificar la respuesta de re-Captcha del explorador.

Para verificar la respuesta de re-Captcha desde el explorador
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>

add authentication policy myrecaptcha -rule true -action myrecaptcha

bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->

Los siguientes comandos son necesarios para configurar si se quiere la autenticación de AD. De lo contrario, puede ignorar este paso.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup

add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->

La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

La autenticación LDAP ocurre después de volver a captcha, la agrega al segundo factor.

add authentication policylabel second-factor

bind authentication policylabel second-factor -policy ldap-new -priority 10

bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->

El administrador debe agregar los servidores virtuales adecuados en función de si se utiliza el servidor virtual de equilibrio de carga o el dispositivo Citrix Gateway para el acceso. El administrador debe configurar el siguiente comando si se necesita un servidor virtual de equilibrio de carga:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com
<!--NeedCopy-->

**nssp.aaatm.com**: Se resuelve en un servidor virtual de autenticación.

Validación de usuarios de re-Captcha

Una vez que haya configurado todos los pasos mencionados en las secciones anteriores, debe ver la siguiente interfaz de usuario.

  1. Una vez que el servidor virtual de autenticación carga la página de inicio de sesión, aparece la pantalla de inicio de sesión. El inicio de sesión está inhabilitado hasta que se complete Re-Captcha.

    Introducir credenciales

  2. Selecciona la opción No soy un robot. Se muestra el widget re-Captcha.

    Opción robot

  3. Se le lleva a través de una serie de imágenes re-Captcha antes de que se muestre la página de finalización.
  4. Introduzca las credenciales de AD, active la casilla de verificación No soy un robot y haga clic en Iniciar sesión. Si la autenticación se realiza correctamente, se le redirigirá al recurso deseado.

    Serie de imágenes

    Notas:

    • Si se usa re-Captcha con la autenticación de AD, el botón Enviar para las credenciales se inhabilita hasta que se complete re-Captcha.
    • El re-Captcha ocurre en un factor propio. Por lo tanto, cualquier validación posterior como AD debe realizarse en re-Captcha. nextfactor
Configuración re-Captcha para autenticación nFactor

En este artículo