Citrix ADC

Configurar la autenticación de certificados como primer factor y LDAP como segundo factor en la autenticación nFactor de Citrix ADC

En la siguiente sección se describe el caso de uso de la autenticación de certificados en el primer factor seguido de LDAP en el segundo factor. De lo contrario, el LDAP y el OTP, si un certificado de usuario no está presente en el primer factor.

Caso de uso: Autenticación de certificados en primer factor seguida de LDAP en el siguiente factor

Supongamos un caso de uso donde los administradores configuran la autenticación de certificados en el primer factor. Y si el certificado está presente, configure la autenticación LDAP en el siguiente factor. Si el certificado de usuario no está presente, configure LDAP y OTP.

  1. Una vez que acceda al servidor virtual de administración del tráfico, se le redirigirá a la página de inicio de sesión.

  2. Si el certificado de usuario está presente en el dispositivo cliente, aparecerá en la siguiente pantalla.

    Certificado de usuario

  3. Una vez enviado el certificado de usuario, la autenticación pasa al siguiente factor. Este factor se configura como LDAP.

    Certificado de usuario

  4. Si un certificado de usuario no está presente en el primer factor, vaya a LDAP y OTP. Tienes dos opciones que conseguir.

    • LDAP y OTP como páginas de inicio de sesión independientes con nombre de usuario rellenado previamente a partir del factor LDAP.

      Certificado de usuario

      El valor del nombre de usuario se rellena previamente con la expresión $ {http.req.user.name}, que extrae el nombre de usuario del primer factor. También se pueden personalizar otros campos, como etiquetas de nombre de usuario y contraseña.

    • Página de autenticación dual que contiene dos campos de contraseña. Se muestra el ejemplo utilizado para esta representación específica.

      Certificado de usuario

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posteriores.

Visualizador nFactor LDAP y OTP

Realice lo siguiente mediante la CLI

  1. Configure el servidor virtual de autenticación.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • bind ssl vserver auth_vserver -certkeyName gateway.angiras.lab
  2. Enlazar el certificado raíz al servidor virtual y habilitar la autenticación del cliente.

    • bind ssl vserver auth_vserver -certkeyName Root_Cert -CA -ocspCheck Optional
    • set ssl vserver auth_vserver -clientAuth ENABLED -clientCert Optional
  3. Configurar acciones y directivas de autenticación.

    • Autenticación LDAP
      • add authentication ldapAction LDAP_Action -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 97526a31c6e2e380f7b3a7e5aa53dc498c5b25e9b84e856b438b1c61624b5aad -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn
      • add authentication Policy LDAP_Pol -rule true -action LDAP_Action
    • Administración de dispositivos
      • add authentication ldapAction OTP_manage_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 3e10c1df11a9cab239cff2c9305743da76068600a0c4359603abde04f28676ae -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy manage_OTP -rule TRUE -action OTP_manage_Act
    • Validación OTP
      • add authentication ldapAction LDAP_OTP_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword e79a8ebf93fdb7e7438f44c076350c6ec9ad1269ef0528d55640c7c86d3490dc -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -searchFilter "userParameters>=#@" -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy OTP_Pol -rule true -action LDAP_OTP_Act
    • Autenticación con certificados
      • add authentication certAction Certificate_Profile -twoFactor ON -userNameField SubjectAltName:PrincipalName
      • add authentication policy Cert_Pol -rule true -action Certificate_Profile
    • Directiva sin autenticación para autenticación dual cuando se produce un error en la autenticación de un certificado o no existe un certificado.
      • add authentication Policy Cert_Pol_NOAUTH_ -rule true -action NO_AUTHN
  4. Configure la etiqueta y el esquema de directivas para el segundo factor.

    • Administración de dispositivos
      • add authentication policylabel manage_otp_label -loginSchema LSCHEMA_INT
      • bind authentication policylabel manage_otp_label -policyName manage_OTP -priority 100 -gotoPriorityExpression END
    • Autenticación LDAP tras la correcta autenticación de certificados
      • add authentication loginSchema lschema_LDAP_Only -authenticationSchema "/nsconfig/loginschema/LoginSchema/PrefilUserFromExpr.xml"
      • add authentication policylabel LDAP_Only -loginSchema lschema_LDAP_Only
      • bind authentication policylabel LDAP_Only -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
    • Autenticación dual cuando la certificación no está presente o la autenticación de certificados falla
      • add authentication loginSchema lschema_dual_auth -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
      • add authentication policylabel Dual_Auth_Label -loginSchema lschema_dual_auth
      • bind authentication policylabel Dual_Auth_Label -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
      • bind authentication policylabel Dual_Auth_Label -policyName OTP_Pol -priority 110 -gotoPriorityExpression END
  5. Enlazar las directivas creadas en los pasos anteriores.

    • bind authentication vserver auth_vserver -policy Manage_OTP -priority 100 -nextFactor manage_otp_label -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol -priority 110 -nextFactor LDAP_Only -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol_NOAUTH_ -priority 120 -nextFactor Dual_Auth_Label -gotoPriorityExpression NEXT

Configuración mediante nFactor Visualizer

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Haga clic en Agregar directiva para agregar la directiva de autenticación del primer factor. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente de la lista.

    Agregar directiva local

  5. Agregue una directiva para la comprobación de registro. La acción en este caso sería NO_AUTHN.

  6. En el campo Expresión, escriba HTTP.REQ.COOKIE.VALUE (“NSC_TASS”) .EQ (“manageotp”) y haga clic en Crear.

    Campo Expresión

  7. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

    Directiva de registro

  8. Haga clic en verde + para agregar el siguiente factor de autenticación LDAP antes de administrar los dispositivos.

  9. Seleccione Crear factor, escriba un nombre para este factor y haga clic en Crear.

    Directiva de registro

  10. Haga clic en Agregar esquema y, a continuación, en agregar para crear un esquema para administrar dispositivos.

    Esquema de registro

  11. Elija el esquema que se ha creado en el anterior y haga clic en Agregar para crearlo.

    Agregar directiva de autenticación LDAP

  12. Haga clic en Agregar directiva y seleccione Directiva de autenticación LDAP para la autenticación LDAP inicial.

    Nota

    Para obtener más información, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.

  13. Siga los pasos 9 y 10 para crear otro factor para registrar el dispositivo.

  14. No se necesita ningún esquema en este factor. Haga clic en Agregar directiva para agregar la directiva de registro de dispositivos. (Directiva creada en la configuración de CLI, paso 4, punto b).

  15. Cree otro factor siguiendo los pasos 9 y 10 para probar los dispositivos registrados.

  16. Haga clic en Agregar directiva para agregar la directiva de autenticación (directiva creada en la configuración de CLI, paso 4, punto c).

    Agregar directiva de autenticación LDAP

  17. Haga clic en verde + debajo de la Directiva de registro para agregar una directiva de autenticación de certificados.

    Agregar directiva de autenticación LDAP

  18. Haga clic en Agregar para agregar la directiva de certificados.

    Agregar directiva de autenticación LDAP

    Nota

    Para obtener más información sobre la autenticación de certificados de cliente, consulte Cómo habilito la autenticación de certificados de cliente SSL en NetScaler.

  19. Haga clic en el signo verde junto a la directiva de certificado para crear el siguiente factor para la autenticación LDAP.

    Agregar factor LDAP

  20. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión para el nombre de usuario rellenado previamente, la autenticación única.

    Agregar directiva de autenticación LDAP

  21. Elija el esquema creado y haga clic en Aceptar.

    Elegir esquema LDAP

  22. Haga clic en Agregar directiva y agregue autenticación LDAP.

    Directiva LDAP

  23. Haga clic en rojo + junto a Directiva de certificados para agregar el siguiente factor para el caso de error. El caso de error es cuando se produce un error en la autenticación del certificado o si no hay ningún certificado en el dispositivo.

  24. Seleccione Crear factor y escriba un nombre de factor.

    Factor LDAP OTP

  25. Haga clic en Agregar esquema para agregar un esquema de autenticación dual.

    esquema de autenticación dual

  26. Elija el esquema creado y haga clic en Aceptar.

    esquema de autenticación dual

  27. Haga clic en Agregar directiva y agregue autenticación LDAP.

    Directiva LDAP

  28. Seleccione la directiva de autenticación para validar OTP y haga clic en Aceptar

    Directiva LDAP

  29. Haga clic en Listo para guardar la configuración.

  30. Seleccione el nFactor Flow creado y enlácelo a un servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y haga clic en Crear.

    Directiva LDAP

    Nota

    Puede enlazar y desenlazar el nFactor mediante la página Flujos de nFactor a través de la opción Mostrar enlaces únicamente.

Desenlazar el flujo de nFactor

  1. En la página Flujo de nFactor, haga clic en Mostrar enlaces en el icono de hamburguesa.

  2. En la página Enlaces del servidor de autenticación, seleccione el servidor de autenticación que quiere desvincular y haga clic en Desvincular. Haga clic en Cerrar.

    Directiva LDAP

Configurar la autenticación de certificados como primer factor y LDAP como segundo factor en la autenticación nFactor de Citrix ADC