Citrix ADC

Sondeo durante la autenticación

A partir de la compilación 13.0.79.64 de la versión de Citrix ADC, se puede configurar un dispositivo Citrix ADC para el mecanismo de sondeo durante la autenticación multifactor.

Si el sondeo está configurado en un dispositivo Citrix ADC, los endpoints (como un explorador web o una aplicación) pueden sondear (sondear) el dispositivo durante la autenticación a intervalos configurados para obtener el estado de la solicitud de autenticación enviada.

El sondeo se puede configurar para gestionar las autenticaciones cuando un endpoint deja caer una conexión TCP mientras se autentica con un dispositivo Citrix ADC.

Puntos a tener en cuenta

  • La configuración de sondeo es compatible con los métodos de autenticación LDAP, RADIUS y TACACS.

  • El cliente puede sondear las solicitudes de autenticación desde el segundo factor en adelante.

¿Por qué configurar el sondeo?

A veces, al autenticarse, cambiar entre las aplicaciones (por ejemplo, una aplicación de inicio de sesión y una aplicación de autenticación) hace que los endpoints pierdan la conexión con el dispositivo Citrix ADC, lo que provoca una interrupción en el flujo de autenticación. Con el sondeo configurado, se puede evitar esta interrupción en la autenticación.

Descripción del mecanismo de votación

A continuación se muestra un ejemplo del flujo de eventos durante la autenticación sin necesidad de que se haya configurado el sondeo.

El mecanismo de sondeo permite que un dispositivo Citrix ADC reanude una autenticación continua con el endpoint sin tener que reiniciar el proceso de autenticación en un caso raro de restablecimiento de la conexión TCP en el extremo.

Corriente de sondeo

  1. Un endpoint (aplicación o explorador web) se autentica con credenciales.
  2. El nombre de usuario y la contraseña se verifican con un directorio de primer factor existente (LDAP/Active Directory).
  3. Si se proporcionan las credenciales correctas, la autenticación pasa al siguiente factor.
  4. En este punto, el dispositivo Citrix ADC envía una solicitud al servidor Push RADIUS.
  5. Mientras el dispositivo Citrix ADC espera una respuesta del servidor RADIUS, el punto final deja caer la conexión TCP.
  6. Citrix ADC recibe una respuesta del servidor Push RADIUS.
  7. Puesto que no se encuentra ninguna conexión TCP de cliente, el dispositivo Citrix ADC interrumpe la sesión y se produce un error en el inicio de sesión.

A continuación se muestra un ejemplo del flujo de eventos durante la autenticación con el sondeo configurado.

Poling-nuevo

  1. Un endpoint (aplicación o explorador web) se autentica con credenciales.
  2. El nombre de usuario y la contraseña se verifican con un directorio de primer factor existente (LDAP/Active Directory).
  3. Si se proporcionan las credenciales correctas, la autenticación pasa al siguiente factor.
  4. En este punto, el dispositivo Citrix ADC envía una solicitud al servidor Push RADIUS.
  5. Mientras el dispositivo Citrix ADC espera una respuesta del servidor RADIUS, el punto final deja caer la conexión TCP.
  6. Endpoint envía una encuesta (sondeo) al dispositivo Citrix ADC para comprobar el estado de autenticación.
  7. Dado que el dispositivo Citrix ADC no escucha información del servidor RADIUS, solicita al endpoint que continúe sondeando.
  8. El dispositivo Citrix ADC recibe respuesta del servidor Push RADIUS.
  9. Como no se encuentra ninguna conexión TCP de cliente, ADC guarda el estado de la sesión.
  10. Endpoint vuelve a sondeos para comprobar el estado de autenticación.
  11. El dispositivo Citrix ADC establece la sesión y el inicio de sesión se realiza correctamente.

Configurar sondeos mediante CLI

A continuación se muestra un ejemplo de configuración CLI.

Configurar primer factor

add authentication ldapAction ldap-new -serverIP 10.106.40.65 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword 2f63d3659103464a4fad0ade65e2ccfd4e8440e36ddff941d29796af03e01139 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -alternateEmailAttr userParameters

add authentication Policy ldap-new -rule true -action ldap-new

bind authentication vserver avs -policy ldap-new -priority 1 -nextFactor rad_factor
<!--NeedCopy-->

Configurar segundo factor

add authentication radiusAction rad1 -serverIP 10.102.229.120 -radKey 1b1613760143ce2371961e9a9eb5392c86a4954a62397f29a01b5d12b42ce232 -encrypted -encryptmethod ENCMTHD_3

add authentication Policy rad -rule true -action rad1
<!--NeedCopy-->

Configurar esquema de inicio de sesión Poll.xml

add authentication loginSchema polling_schema -authenticationSchema LoginSchema/Poll.xml

add authentication policylabel rad_factor -loginSchema polling_schema

bind authentication policylabel rad_factor -policyName rad -priority 1 -gotoPriorityExpression NEXT
<!--NeedCopy-->

Configurar sondeos mediante GUI

Para obtener pasos detallados sobre la configuración de la autenticación multifactor mediante la GUI, consulte Configuración de la autenticación nFactor.

A continuación se presentan los pasos de alto nivel de ejemplo necesarios para configurar Citrix ADC for Polling a partir del segundo factor.

  1. Cree un primer factor para la autenticación, por ejemplo, LDAP.
  2. Cree un segundo factor para la autenticación, por ejemplo RADIUS.
  3. Agregue Poll.xml presente en Citrix ADC (/nsConfig/loginSchema/LoginSchema/) como esquema de inicio de sesión para el segundo factor.
Sondeo durante la autenticación