Citrix ADC

Configure pre-auth and post-auth EPA scan as a factor in nFactor authentication

En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple determinados requisitos de seguridad y, en consecuencia, permitir el acceso de los recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo del usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo de usuario, el usuario no puede iniciar sesión con el plug-in de Citrix Gateway.

Para conocer la EPA en los conceptos de nFactor, consulte Conceptos y entidades utilizadas para EPA en la autenticación de nFactor a través de NetScaler.

En este tema, el escaneo EPA se utiliza como comprobación inicial en una autenticación NFactor o multifactor, seguido por el inicio de sesión y el escaneo EPA como comprobación final.

Representación del escaneo EPA utilizado como verificación inicial en la autenticación nFactor o multifactor

El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia una exploración EPA. Si la exploración EPA se realiza correctamente, el usuario muestra la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en LDAP o AD (Active Directory). En función del éxito de las credenciales de usuario, se redirige al usuario al siguiente factor EPA.

Pasos de alto nivel implicados en esta configuración

  1. Si el análisis se realiza correctamente, el usuario se coloca o se etiqueta en un grupo de usuarios predeterminado.

  2. Se elige el siguiente método de autenticación (LDAP).

  3. Según el resultado de la autenticación, se presenta al usuario el siguiente conjunto de análisis.

Requisitos previos

Se supone que la siguiente configuración está en su lugar.

  • Configuraciones de servidor/puerta de enlace virtual VPN y servidor virtual de autenticación
  • Grupos de usuarios de autenticación, autorización y auditoría (para grupos de usuarios predeterminados y en cuarentena) y directivas asociadas
  • Configuraciones del servidor LDAP y directivas asociadas

Configuración mediante la CLI

  1. Cree una acción para realizar un análisis de la EPA y asociarlo a una directiva de análisis de la EPA.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    <!--NeedCopy-->
    

    La expresión anterior analiza si el proceso de Firefox se está ejecutando en el equipo cliente.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    <!--NeedCopy-->
    
  2. Configure la etiqueta de directiva post-epa-scan que aloja la directiva para la exploración EPA.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    Nota: LSCHEMA_INT es un esquema integrado sin esquema (sin esquema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.

  3. Asocia la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    END indica el fin del mecanismo de autenticación.

  4. Configure la directiva ldap-auth y asóciala a una directiva LDAP configurada para autenticarse con un servidor LDAP concreto.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    <!--NeedCopy-->
    
  5. Configure ldap-factor de etiqueta de directiva, con esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    <!--NeedCopy-->
    

    Nota: Sustitúyalo por el esquema que necesites, en caso de que no quieras usar en el esquema integrado LoginSchema/SingleAuth.xml

  6. Asocie la directiva configurada en el paso 4 con la etiqueta de directiva configurada en el paso 5.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    <!--NeedCopy-->
    

    END indica el final del mecanismo de autenticación para ese tramo y nextFactor indica el siguiente factor después de la autenticación.

  7. Cree una acción para realizar un análisis de la EPA y asociarlo a una directiva de análisis de la EPA.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    <!--NeedCopy-->
    

    Aquí default_group es un grupo de usuarios preconfigurado.

    La expresión anterior analiza si los usuarios de Windows 7 tienen instalado el Service Pack 1.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    <!--NeedCopy-->
    
  8. Asocie una directiva de exploración EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte al factor ldap de etiqueta de directiva para realizar el siguiente paso en la autenticación.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Configuración mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > EPA.

    Primer análisis de la EPA para buscar actualizaciones automáticas de Windows y un grupo predeterminado

    Cree el primer escaneo de la EPA

    Segundo escaneo de la EPA para buscar el explorador Firefox

    Crear un segundo escaneo de la EPA

  2. Cree una directiva de la EPA. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva y vincule la acción creada en el paso 1.

    Directiva para el primer escaneo de la EPA

    Crear directiva para el primer análisis de la EPA

    Directiva para el segundo escaneo de la EPA

    Crear directiva para la segunda exploración EPA

    Para obtener más información sobre la EPA avanzada, consulte Análisis avanzados de endpoint Analysis.

  3. Cree un flujo de nFactor. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.

    Haga clic para agregar nFactor

    Nota: nFactor Visualizer está disponible en el firmware 13.0 y versiones posteriores.

  4. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar nombre de factor

    No se requiere ningún esquema para la exploración de la EPA.

  5. Haga clic en Agregar directiva para agregar una directiva para el primer factor.

    Haga clic aquí para agregar una directiva

  6. Seleccione la primera directiva de EPA creada en el paso 2.

    Haga clic para seleccionar la primera directiva de la EPA

  7. Haga clic en el signo + verde y agregue el siguiente factor, es decir, la autenticación LDAP.

    Haga clic para agregar el siguiente factor

  8. Haga clic en Agregar esquema y, a continuación, haga clic en Agregar para agregar un esquema para el segundo factor.

    Haga clic para agregar un esquema

  9. Cree un esquema, en este ejemplo Single_Auth y elija este esquema.

    Crear un esquema de autenticación único

    Seleccione un esquema de autenticación único

  10. Haga clic en Agregar directiva para agregar una directiva LDAP para la autenticación.

    Agregar una directiva LDAP para la autenticación

    Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.

  11. Crear factor siguiente para la exploración EPA posterior a la autenticación.

    Crear el siguiente factor para el escaneo EPA posterior a la autenticación

  12. Haga clic en Agregar directiva, seleccione la directiva Secondepa_check creada en el paso 2 y haga clic en Agregar.

    Haga clic aquí para agregar una directiva

  13. Haga clic en Done.

  14. Haga clic en Vincular al servidor de autenticación, seleccione el flujo nFactor y, a continuación, haga clic en Crear.

    Enlazar el flujo a un servidor virtual de autenticación

Desenlazar el flujo de nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desenlazar.

    Desvincular el flujo del servidor virtual de autenticación

Configure pre-auth and post-auth EPA scan as a factor in nFactor authentication