Citrix ADC

Configurar el nombre de usuario de relleno previo del certificado en la autenticación nFactor de Citrix ADC

En la siguiente sección se describe el caso de uso de la autenticación de dos factores. El primer factor es la autenticación de certificados seguida de LDAP.

Caso de uso: Autenticación de certificados y LDAP

Supongamos un caso de uso donde los administradores configuran la autenticación de dos factores. Autenticación de certificado de primer nivel y seguida de autenticación LDAP. Como parte del primer factor, el cliente solicita un certificado de usuario. El nombre de usuario se extrae del certificado y se rellena previamente en el campo de nombre de usuario del formulario de inicio de sesión devuelto para el siguiente factor.

  1. El explorador cliente accede al servidor virtual de administración del tráfico y se le redirige a una página de inicio de sesión para su autenticación.

  2. El primer factor se evalúa en función de una acción de certificado que extrae el nombre de usuario. La evaluación es correcta y pasa al siguiente factor, la directiva “label1” en este caso.

  3. La etiqueta de directiva especifica que el segundo factor es el esquema de inicio de sesión “login1” con directiva LDAP.

  4. Se devuelve el formulario de inicio de sesión con el nombre de usuario rellenado previamente para obtener la contraseña del usuario para la autenticación LDAP.

  5. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración del tráfico, donde se encuentra el contenido solicitado. Por otro lado, si el inicio de sesión falla, el explorador del cliente recibe la página de inicio de sesión original para que el cliente pueda volver a intentarlo.

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posteriores.

Visualizador nFactor SAML y LDAP

Realice lo siguiente mediante la CLI

  1. Configure el servidor virtual de administración del tráfico y el servidor de autenticación.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      O bien:

    • set ssl parameter –denysslrenegotiation NO
  2. Configure un primer factor como acción de certificado.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Configura un segundo factor.

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. Configure la acción LDAP.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Enlazar las directivas.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Configuración mediante nFactor Visualizer

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo de factores y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Haga clic para agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.

    Agregar un nombre para el flujo

  4. No se necesita ningún esquema para la autenticación del certificado.

  5. Haga clic en Agregar directiva para crear una directiva para la autenticación de certificados.

    Directiva de prellenado

  6. Agregar directiva para la autenticación de certificados.

    Agregar directiva de certificado

    Nota

    Para obtener más información sobre la autenticación de certificados, consulte Configuración y vinculación de una directiva de autenticación de certificados de cliente.

  7. Haga clic en verde + junto a la directiva de certificado para agregar el siguiente factor.

    Agregar siguiente factor de directiva

  8. Seleccione Crear factor para crear un factor para la autenticación LDAP.

    Crear factor LDAP

  9. Haga clic en Agregar esquema para agregar un esquema PrefilUserFormExpr.xml para el segundo factor que tiene el nombre de usuario rellenado previamente.

    Nombre de usuario rellenado previamente

  10. Seleccione Agregar directiva para agregar directivas para la autenticación LDAP.

    Directiva para LDAP

    Nota

    Para obtener más información sobre la creación de autenticación LDAP, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.

  11. Haga clic en Listo para guardar la configuración.

  12. Para enlazar el nFactor Flow creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.

    Enlazar servidor de autenticación

    Nota

    Enlazar y desvincular el flujo nFactor a través de la opción dada en nFactor Flow en Mostrar enlaces solamente.

Desvincular el flujo nFactor

  1. Seleccione el flujo de nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desvincular.

    Desenlazar servidor de autenticación

Configurar el nombre de usuario de relleno previo del certificado en la autenticación nFactor de Citrix ADC