Citrix ADC

Configurar nombre de usuario y dos contraseñas con extracción de grupo en tercer factor mediante autenticación nFactor

En la siguiente sección se describe el caso de uso del nombre de usuario y dos contraseñas con extracción grupal en un tercer factor mediante la autenticación nFactor.

Nombre de usuario y dos contraseñas con extracción grupal en tercer factor

Supongamos un caso de uso donde los administradores configuran el primer factor de autenticación para tener un nombre de usuario y dos campos de contraseña. El segundo factor es un pase (no hay página de inicio de sesión para este factor), que utiliza el nombre de usuario y la segunda contraseña del primer factor. El tercer factor de autenticación se transfiere y se configura para la extracción de grupos mediante el nombre de usuario del primer factor.

  1. Una vez que acceda al servidor virtual de administración del tráfico, se le redirigirá a la página de inicio de sesión.

  2. El cliente envía un nombre de usuario y dos contraseñas. Por ejemplo, user1, pass1 y pass2.

  3. El primer factor se evalúa con respecto a una directiva local para usuario1 y pass1. La evaluación es correcta y se aprueba el siguiente factor, la directiva “label1” en este caso.

  4. La etiqueta de directiva especifica que el segundo factor se transfiere con una directiva RADIUS. Un esquema de acceso directo significa que el dispositivo Citrix ADC no regresa al cliente para recibir más información. El dispositivo Citrix ADC simplemente utiliza la información que ya tiene. En este caso, es user1 y pass2. El segundo factor se evalúa implícitamente. Después de una evaluación satisfactoria, se pasa el siguiente factor (directiva “label2” en este caso).

  5. La etiqueta de directiva especifica que el tercer factor se transfiere con una directiva LDAP configurada para la extracción de grupos. El dispositivo Citrix ADC utiliza implícitamente el nombre de usuario del primer factor.

  6. El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración del tráfico, donde se encuentra el contenido solicitado. Si falla el inicio de sesión, el explorador del cliente se presenta con la página de inicio de sesión original para que el cliente pueda volver a intentarlo.

    <?xml version="1.0" encoding="UTF-8"?>
     <AuthenticateResponse xmlns="http://citrix.com/authentication/response/1"› <Status>success</Status>
     <Result>more-info</Result>
     <StateContext></StateContext>
     <AuthenticationRequirements>
     <PostBack>/nf/auth/doAuthentication.do</PostBack>
     <CancelPostBack>/Citrix/Authentication/ExplicitForms/CancelAuthenticate</CancelPost8ack>
     <CancelButtonText>Cancel</CancelButtonText>
     <Requirements> <Requirement><Credentia1><ID>logingID><SaveID>ExplicitForms-UsernamegSaveID><Type>username</Type></Credential><Label><Text>User name</Text><Type>p lain</Type></Label><Input><AssistiveText>Please supply either domain\username or user@fully. qualified.d main</AssistiveText><Text><Secret>false</Secret><ReadOnly>false</ReadOnly><InitialValue>S{http.req.user.name}</InitialValue><Constrain t>.+</Constraint></Text></Input></Requirenent> <Requirement><Credentia1><ID>passwd</ID><SaveID>ExplicitForms-Password</SaveID><Type>password</Type></Credential><Label><Text>Password:</Text><Type> plaingType></Label><Input><Text><Secret>true</Secret><ReadOnly>falsegReadOnly><InitialVa lue></InitialValue><Constraint>.+</Constraint></Text></Input></Requirement> <Requirement><Credentia1><Type>none</Type></Credential><Label><Text>Second factor</Text><Type>confirmation</Type></Label><Input /></Requirement> <Requirement><Credentia1><ID>login8tn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>Log On</Button></Input></Requ irement>
     </Requirements>
     </AuthenticationRequirements>
     </AuthenticateResponse>
    

Realice lo siguiente mediante la CLI

  1. Configure el servidor virtual de autenticación y administración del tráfico.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain dep.sqltest.net
  2. Configura un primer factor.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml
    • add authentication loginSchemaPolicy login1 -rule true -action login1
  3. Configura un segundo factor.

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication policylabel label1 -loginSchema login2
  4. Configura un tercer factor.

    • add authentication loginSchema login_pass -authenticationSchema noschema
    • add authentication policylabel label2 -loginSchema login_pass
  5. Configure el factor LOCAL, RADIUS y LDAP.

    • add authentication Policy localpolicy -rule true -action LOCAL
    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
    • add authentication radiusAction radius -serverIP 10.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radiuspolicy -rule true -action radius
  6. Enlazar las directivas.

    • bind authentication vserver avn -policy login1 -priority 10 -gotoPriorityExpression END
    • bind authentication vserver avn -policy localpolicy -priority 2 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName radiuspolicy -priority 1 -gotoPriorityExpression NEXT -nextFactor label2
    • bind authentication policylabel label2 -policyName ldappolicy -priority 10 -gotoPriorityExpression NEXT

Nota

La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posteriores.

Visualizador nFactor RADIUS y extracción de grupos

Configuración mediante nFactor Visualizer

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.

  2. Haga clic en + para agregar el flujo nFactor.

    Agregar un flujo

  3. Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor. Haga clic en Crear.

    Agregar un nombre para el flujo

  4. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión del primer factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente de la lista. Haga clic en OK.

    Agregar un esquema

  5. Haga clic en Agregar directiva para agregar la directiva de autenticación del primer factor. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente de la lista.

    Agregar directiva local

  6. Cree una directiva local, según se indica a continuación.

    Crear directiva local

  7. Haga clic en verde + para agregar el segundo factor.

    Agregar siguiente factor

  8. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión del segundo factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente de la lista. Haga clic en OK.

    Agregar segundo factor

  9. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

    Agregar directiva

    Nota

    En caso de que no se hayan creado las acciones RADIUS, consulte Para configurar la autenticación RADIUS.

  10. Haga clic en verde + para agregar el tercer factor y haga clic en Crear.

    Agregar tercer factor

  11. Haga clic en Agregar esquema para agregar el esquema de inicio de sesión del segundo factor. Puede crear un esquema de inicio de sesión de autenticación o seleccionar un esquema de inicio de sesión de autenticación existente de la lista. Haga clic en OK.

  12. Haga clic en Agregar directiva para crear una directiva. Haga clic en Crear y haga clic en Agregar.

  13. En caso de que se agregue la acción LDAP, seleccione la misma. Si no es así, siga el artículo de KB para crear uno, también dado que solo está haciendo la extracción, asegúrese de tener la autenticación inhabilitada en la acción LDAP. Para obtener más información, consulte Cómo utilizar LDAP para la extracción de grupos a través de NetScaler sin autenticación

    Agregar autenticación ldap

  14. En Configurar directiva de autenticación, agregue la directiva LDAP y haga clic en Aceptar.

    Agregar directiva de autenticación ldap

  15. Haga clic en Done. Seleccione nFactor flow y haga clic en la opción Vincular al servidor de autenticación y seleccione el servidor virtual de autenticación, autorización y auditoría de la lista.

    Factor LDAP

Configurar nombre de usuario y dos contraseñas con extracción de grupo en tercer factor mediante autenticación nFactor