Citrix ADC

Configurar la exploración de Endpoint Analysis previa a la autenticación como factor en la autenticación nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple determinados requisitos de seguridad y, en consecuencia, permitir el acceso de los recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo del usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el complemento Endpoint Analysis en el dispositivo del usuario u opta por omitir el análisis, el usuario no puede iniciar sesión con el complemento de Citrix Gateway. De manera opcional, el usuario se puede poner en un grupo de cuarentena en el que el usuario obtiene acceso limitado a los recursos de la red interna.

Escaneo EPA en autenticación nFactor o multifactor

En este tema, se utiliza una exploración de la EPA como verificación inicial en una autenticación nFactor o multifactor.

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia una exploración de la EPA. Si un escaneo EPA se realiza correctamente, el usuario se representa con la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en RADIUS u OTP. De lo contrario, el usuario se representa con una página de inicio de sesión, pero esta vez el usuario se autentica mediante la autenticación basada en LDAP o AD (Active Directory). En función del éxito o el fracaso de las credenciales proporcionadas por el usuario, se le proporciona acceso.

La implementación de esta lógica publica la EPA:

  1. Si la exploración de la EPA tiene éxito, el usuario se coloca o etiqueta en un grupo de usuarios predeterminado.

  2. Si la exploración de la EPA falla, el usuario se coloca o etiqueta en un grupo de cuarentena.

  3. El siguiente método de autenticación (RADIUS o LDAP) se elige en función de la pertenencia al grupo de usuarios, tal como se determina en los dos primeros pasos.

Requisitos previos

Asegúrese de que la siguiente configuración esté en su lugar.

  • Configuraciones de servidor virtual o puerta de enlace VPN y servidor virtual de autenticación
  • Grupos de usuarios de autenticación, autorización y auditoría (para grupos de usuarios predeterminados y en cuarentena) y directivas asociadas
  • Configuraciones de servidores LDAP y RADIUS y directivas asociadas

En la siguiente ilustración se muestra la asignación de directivas y etiquetas de directivas. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y rótulos de directivas en este ejemplo

Nota: La configuración también se puede crear mediante nFactor Visualizer disponible en Citrix ADC versión 13.0 y posteriores.

Representación de esta configuración en el visualizador

Realice lo siguiente mediante la CLI

  1. Configure una directiva LDAP Auth para comprobar la pertenencia al grupo quarantined_group y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado. En el siguiente comando de ejemplo, ldap-auth es el nombre de la directiva de autenticación y ldap_server1 es el nombre de la acción LDAP creada.

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    <!--NeedCopy-->
    
  2. Configure la directiva RADIUS-Auth para comprobar la pertenencia a default_group y asociarla a una directiva RADIUS configurada para autenticarse con un servidor RADIUS determinado. En el siguiente comando de ejemplo, radius-auth es el nombre de la directiva de autenticación y radius_server1 es el nombre de la acción RADIUS creada.

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    <!--NeedCopy-->
    
  3. Configure la etiqueta de directiva post-epa-usergroup-check con un esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    <!--NeedCopy-->
    

    Nota: Si no quiere utilizar el esquema incorporado lschema_single_factor_deviceid, puede reemplazarlo con el esquema según sus requisitos.

  4. Asocie las directivas configuradas en los pasos 1 y 2 con la etiqueta de directiva configurada en el paso 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    Nota: END indica el fin del mecanismo de autenticación para ese tramo.

  5. Cree una acción para realizar el análisis de la EPA y asociarlo a una directiva de análisis de la EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    <!--NeedCopy-->
    

    Default_group y quarantined_group son grupos de usuarios preconfigurados. La expresión del paso 5 analiza si los usuarios de macOS tienen una versión de explorador inferior a la 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  6. Asocie una directiva de escaneo de la EPA al servidor virtual de autenticación, autorización y auditoría; el siguiente paso apunta a la etiqueta de la directiva posterior a la verificación de grupo de usuarios de la epa. Esto es para llevar a cabo el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 -nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Configuración mediante el visualizador nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Haga clic para agregar un factor

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el factor

    Nota: No se requiere ningún esquema para el primer factor.

    No se requiere esquema para el primer factor

  4. Haga clic en Agregar directiva y, a continuación, en Agregar para crear una directiva de autenticación para la comprobación de la EPA.

    Haga clic aquí para agregar una directiva

  5. En el campo Acción, haga clic en Agregar para agregar la acción de la EPA.

    Haga clic para agregar una acción

    Para obtener más información sobre la EPA, consulte Configuración del análisis avanzado de puntos finales.

  6. Haga clic en el signo + verde en el bloque EPA_nFactor para agregar el siguiente factor para la verificación del grupo de usuarios posterior a la EPA.

    Haga clic para agregar el siguiente factor para la comprobación del grupo de usuarios posterior a la EPA

  7. Haga clic en Agregar esquema para agregar el esquema del segundo factor. Seleccione el esquema lschema_single_factor_deviceid.

    Haga clic para agregar esquema para el segundo factor

    Seleccionar esquema para segundo factor

  8. Haga clic en Agregar directiva para seleccionar la directiva de autenticación LDAP.

    Haga clic para agregar una directiva de autenticación LDAP

    La directiva de LDAP comprueba si el usuario forma parte del grupo en cuarentena. Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.

    Seleccione la directiva para la autenticación LDAP

  9. Haga clic en el signo + azul del bloque EPA_nFactor para agregar la segunda autenticación.

    Haga clic para agregar una segunda autenticación

  10. Haga clic en Agregar para seleccionar la directiva para la autenticación RADIUS. Para obtener más información sobre la creación de autenticación RADIUS, consulte Configuración de la autenticación RADIUS.

    Haga clic en Agregar para seleccionar una directiva para la autenticación RADIUS

    La directiva del LDAP comprueba si el usuario forma parte del grupo predeterminado.

    Seleccione la directiva de LDAP

  11. Haga clic en Done.

  12. Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.

    Haga clic para enlazar el flujo al servidor virtual de autenticación

Desenlazar el flujo de nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desvincular.

    Desenlazar el flujo de nFactor

Configurar la exploración de Endpoint Analysis previa a la autenticación como factor en la autenticación nFactor