Citrix ADC

Configurar la exploración de Endpoint Analysis previa a la autenticación como factor en la autenticación nFactor

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple determinados requisitos de seguridad y, en consecuencia, permitir el acceso de los recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo del usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el complemento Endpoint Analysis en el dispositivo del usuario u opta por omitir el análisis, el usuario no puede iniciar sesión con el complemento de Citrix Gateway. Opcionalmente, se puede poner al usuario en un grupo de cuarentena en el que el usuario tiene acceso limitado a los recursos de la red interna.

Escaneo EPA en autenticación nFactor o multifactor

En este tema, la exploración EPA se utiliza como comprobación inicial en una autenticación nFactor o multifactor.

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia una exploración EPA. Si la exploración EPA se realiza correctamente, el usuario se representa con la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en RADIUS u OTP. De lo contrario, el usuario se representa con una página de inicio de sesión, pero esta vez el usuario se autentica mediante autenticación basada en LDAP o AD (Active Directory). Según el éxito o el fracaso de las credenciales proporcionadas por el usuario, se proporciona acceso al usuario.

Implementación de esta lógica después de la EPA:

  1. Si la exploración de la EPA se realiza correctamente, el usuario se coloca o se etiqueta en un grupo de usuarios predeterminado.

  2. Si el escaneo de la EPA es un error, el usuario se coloca o se etiqueta en un grupo de cuarentena.

  3. El siguiente método de autenticación (RADIUS o LDAP) se elige en función de la pertenencia al grupo de usuarios, según se determina en los dos primeros pasos.

Requisitos previos

Asegúrese de que se ha establecido la siguiente configuración.

  • Configuraciones de servidor virtual o puerta de enlace VPN y servidor virtual de autenticación
  • Grupos de usuarios de autenticación, autorización y auditoría (para grupos de usuarios predeterminados y en cuarentena) y directivas asociadas
  • Configuraciones de servidores LDAP y RADIUS y directivas asociadas

En la siguiente ilustración se muestra la asignación de directivas y etiqueta de directiva. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.

Asignación de directivas y rótulos de directivas en este ejemplo

Nota: La configuración también se puede crear mediante nFactor Visualizer disponible en Citrix ADC versión 13.0 y posteriores.

Representación de esta configuración en el visualizador

Realice lo siguiente mediante la CLI

  1. Configure una directiva LDAP Auth para comprobar la pertenencia al grupo quarantined_group y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado. En el siguiente comando de ejemplo, ldap-auth es el nombre de la directiva de autenticación y ldap_server1 es el nombre de la acción LDAP creada.

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    <!--NeedCopy-->
    
  2. Configure la directiva RADIUS-Auth para comprobar la pertenencia a default_group y asociarla a una directiva RADIUS configurada para autenticarse con un servidor RADIUS determinado. En el siguiente comando de ejemplo, radius-auth es el nombre de la directiva de autenticación y radius_server1 es el nombre de la acción RADIUS creada.

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    <!--NeedCopy-->
    
  3. Configure la etiqueta de directiva post-epa-usergroup-check con un esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    <!--NeedCopy-->
    

    Nota: Si no quiere utilizar el esquema integrado lschema_single_factor_deviceid, puede reemplazarlo por el esquema según sus necesidades.

  4. Asocie las directivas configuradas en los pasos 1 y 2 con la etiqueta de directiva configurada en el paso 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    Nota: END indica el fin del mecanismo de autenticación para ese tramo.

  5. Cree una acción para realizar un análisis de la EPA y asociarlo a una directiva de análisis de la EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    <!--NeedCopy-->
    

    Default_group y quarantined_group son grupos de usuarios preconfigurados. La expresión del paso 5 analiza si los usuarios de macOS tienen una versión de explorador inferior a la 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  6. Asocie una directiva de exploración EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte a la etiqueta de directiva después de la comprobación de grupo de usuarios de la epa-epa-. Esto es para realizar el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Configuración mediante el visualizador nFactor

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > nFactor Flow y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Haga clic para agregar un factor

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el factor

    Nota: No se requiere ningún esquema para el primer factor.

    No se requiere esquema para el primer factor

  4. Haga clic en Agregar directiva y, a continuación, en Agregar para crear una directiva de autenticación para la comprobación de la EPA.

    Haga clic aquí para agregar una directiva

  5. En el campo Acción, haga clic en Agregar para agregar la acción de la EPA.

    Haga clic para agregar una acción

    Para obtener más información sobre la EPA, consulte Configuración del análisis avanzado de endpoint Analysis.

  6. Haga clic en el signo + verde en el bloque EPA_nFactor para agregar el siguiente factor para la comprobación del grupo de usuarios posterior a la EPA.

    Haga clic para agregar el siguiente factor para la comprobación del grupo de usuarios posterior a la EPA

  7. Haga clic en Agregar esquema para agregar el esquema del segundo factor. Seleccione el esquema lschema_single_factor_deviceid.

    Haga clic para agregar esquema para el segundo factor

    Seleccionar esquema para segundo factor

  8. Haga clic en Agregar directiva para seleccionar la directiva de autenticación LDAP.

    Haga clic para agregar una directiva de autenticación LDAP

    La directiva de LDAP comprueba si el usuario forma parte del grupo en cuarentena. Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.

    Seleccione la directiva para la autenticación LDAP

  9. Haga clic en el signo + azul del bloque EPA_nFactor para agregar la segunda autenticación.

    Haga clic para agregar una segunda autenticación

  10. Haga clic en Agregar para seleccionar la directiva para la autenticación RADIUS. Para obtener más información sobre la creación de autenticación RADIUS, consulte Configuración de la autenticación RADIUS.

    Haga clic en Agregar para seleccionar una directiva para la autenticación RADIUS

    La directiva del LDAP comprueba si el usuario forma parte del grupo predeterminado.

    Seleccione la directiva de LDAP

  11. Haga clic en Done.

  12. Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.

    Haga clic para enlazar el flujo al servidor virtual de autenticación

Desenlazar el flujo de nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

    Desenlazar el flujo de nFactor

Configurar la exploración de Endpoint Analysis previa a la autenticación como factor en la autenticación nFactor