Citrix ADC

Restablecimiento personal de contraseñas

El restablecimiento de contraseñas de autoservicio es una solución de administración de contraseñas basada en la web. Está disponible tanto en la función de autenticación, autorización y auditoría del dispositivo Citrix ADC como en Citrix Gateway. Elimina la dependencia del usuario de la asistencia del administrador para cambiar la contraseña.

El restablecimiento de contraseña de autoservicio proporciona al usuario final la capacidad de restablecer o crear una contraseña de forma segura en los siguientes casos:

  • El usuario ha olvidado la contraseña.
  • El usuario no puede iniciar sesión.

Hasta ahora, si un usuario final olvida una contraseña de AD, el usuario final tenía que ponerse en contacto con el administrador de AD para restablecer la contraseña. Con la función de restablecimiento de contraseña de autoservicio, un usuario final puede restablecer la contraseña sin la intervención del administrador.

Los siguientes son algunos de los beneficios de usar el restablecimiento de contraseña de autoservicio:

  • Aumento de la productividad mediante el mecanismo de cambio automático de contraseña, que elimina el tiempo de espera para que los usuarios esperen a que se restablezcan las contraseñas.
  • Con el mecanismo de cambio automático de contraseña, los administradores pueden concentrarse en otras tareas críticas.

La siguiente ilustración ilustra el flujo de restablecimiento de contraseñas de autoservicio para restablecer la contraseña.

Flujo de trabajo de SSPR

Para usar el restablecimiento automático de contraseñas, un usuario debe estar registrado en la autenticación, autorización y auditoría de Citrix o en el servidor virtual de Citrix Gateway.

El restablecimiento de contraseñas de autoservicio proporciona las siguientes capacidades:

  • Autorregistro de nuevos usuarios. Puede registrarse como nuevo usuario.
  • Configure las preguntas basadas en el conocimiento. Como administrador, puede configurar un conjunto de preguntas para los usuarios.
  • Registro de ID de correo electrónico alternativo. Debe proporcionar una identificación de correo electrónico alternativa durante el registro. La OTP se envía a la ID de correo electrónico alternativa porque el usuario ha olvidado la contraseña de la ID de correo electrónico principal.

    Nota:

    A partir de la versión 12.1 build 51.xx, el registro de ID de correo electrónico alternativo se puede realizar de forma independiente. Se introduce un nuevo esquema de inicio de sesión, AltEmailRegister.xml, para realizar solo el registro alternativo de ID de correo electrónico. Anteriormente, el registro de ID de correo electrónico alternativo solo se podía realizar mientras se realizaba el registro de KBA.

  • Restablecer la contraseña olvidada. El usuario puede restablecer la contraseña respondiendo a las preguntas basadas en el conocimiento. Como administrador, puede configurar y almacenar las preguntas.

El restablecimiento de contraseña de autoservicio proporciona los dos mecanismos de autenticación nuevos siguientes:

  • Preguntas y respuestas basadas en el conocimiento. Debe registrarse en la autenticación, autorización y auditoría de Citrix o en Citrix Gateway antes de seleccionar el esquema de preguntas y respuestas basado en el conocimiento.

  • Autenticación OTP de correo Se envía una OTP al ID de correo electrónico alternativo, que el usuario registró durante el registro de restablecimiento de contraseña de autoservicio.

Nota

Estos mecanismos de autenticación se pueden usar para los casos de uso de restablecimiento de contraseña de autoservicio y para cualquier propósito de autenticación similar a cualquiera de los mecanismos de autenticación existentes.

Requisitos previos

Antes de configurar el restablecimiento de contraseña de autoservicio, revise los siguientes requisitos previos:

  • Versión 12.1 de la función Citrix ADC, compilación 50.28.
  • La versión admitida es el nivel de función de dominio de AD 2016, 2012 y 2008.
  • El nombre de usuario ldapBind enlazado a Citrix ADC debe tener acceso de escritura a la ruta de AD del usuario.

    Nota

    El restablecimiento de contraseña de autoservicio solo se admite en el flujo de autenticación nFactor. Para obtener más información, consulte Autenticación de nFactor mediante Citrix ADC.

Limitaciones

A continuación se presentan algunas de las limitaciones del restablecimiento de contraseñas de autoservicio:

  • El restablecimiento de contraseñas de autoservicio solo está disponible si el back-end de autenticación es LDAP.
  • El usuario no puede ver el ID de correo electrónico alternativo ya registrado.
  • Las preguntas y respuestas basadas en el conocimiento, y la autenticación y el registro de OTP por correo electrónico no pueden ser el primer factor en el flujo de autenticación.
  • Para el complemento nativo y Receiver, el registro solo se admite a través del explorador.
  • El tamaño mínimo de certificado utilizado para el restablecimiento de contraseñas de autoservicio es de 1024 bytes y debe seguir el estándar x.509.

Configuración de Active Directory

Las preguntas y respuestas basadas en el conocimiento de Citrix ADC y la OTP de correo electrónico utilizan un atributo de AD para almacenar los datos de los usuarios. Debe configurar un atributo de AD para almacenar las preguntas y respuestas junto con el ID de correo electrónico alternativo. El dispositivo Citrix ADC lo almacena en el atributo KB configurado en el objeto de usuario de AD. Al configurar un atributo de AD, tenga en cuenta lo siguiente:

  • La longitud del atributo debe tener al menos 128 caracteres.
  • El atributo de AD debe admitir una longitud máxima de 32 000 valores.
  • El tipo de atributo debe ser un “DirectoryString”.
  • Se puede utilizar un único atributo de AD para las preguntas y respuestas basadas en el conocimiento y el ID de correo electrónico alternativo.
  • No se puede usar un solo atributo de AD para el registro de preguntas y respuestas basadas en el conocimiento y OTP nativo ni en el registro de ID de correo electrónico alternativo
  • El administrador LDAP de Citrix ADC debe tener acceso de escritura al atributo AD seleccionado.

También puede usar un atributo de AD existente. Sin embargo, asegúrese de que el atributo que piensa usar no se use en otros casos. Por ejemplo, userParameters es un atributo existente dentro del usuario de AD que puede usar. Para verificar este atributo, lleve a cabo los siguientes pasos:

  1. Vaya a ADSI > seleccione usuario.
  2. Haga clic derecho y desplácese hacia abajo hasta la lista de atributos
  3. En el panel de la ventana CN=TestUser Properties, puede ver que el atributo userParameters no está establecido.

Parámetros de usuario

Registro de restablecimiento de contraseña de autoservicio

Para implementar la solución de restablecimiento de contraseñas de autoservicio en un dispositivo Citrix ADC, debe realizar lo siguiente:

  • Registro de restablecimiento de contraseña de autoservicio (preguntas y respuestas/ID de correo electrónico basadas en el conocimiento).
  • Página de inicio de sesión del usuario (para restablecer la contraseña, que incluye preguntas y respuestas basadas en el conocimiento y validación OTP por correo electrónico y factor de restablecimiento de contraseña final).

Se proporciona un conjunto de catálogos de preguntas predefinidos como un archivo JSON. Como administrador, puede seleccionar las preguntas y crear el esquema de inicio de sesión de registro de restablecimiento de contraseña de autoservicio a través de la GUI de Citrix ADC. Puede elegir cualquiera de las siguientes opciones:

  • Seleccione un máximo de cuatro preguntas definidas por el sistema.
  • Proporcionar una opción para que los usuarios personalicen dos preguntas y respuestas.

Para ver el archivo JSON de preguntas basadas en el conocimiento predeterminado desde la CLI

Archivo JSON

Nota

  • Citrix Gateway incluye el conjunto de preguntas definidas por el sistema de forma predeterminada. El administrador puede modificar el archivo “KBQuestions.json” para incluir las preguntas de su elección.

  • Las preguntas definidas por el sistema solo se muestran en inglés y no están disponibles en otros idiomas.

Para completar el esquema de inicio de sesión de registro de preguntas y respuestas basado en el conocimiento

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión.

    Esquema de inicio de sesión

  2. En la página Esquema de inicio de sesión, haga clic en Perfiles.
  3. Haga clic en Agregar esquema de inicio de sesión de registrode
  4. En la página Crear esquema de inicio de sesión de autenticación, especifique un nombre en el campo Nombre del esquema.

    Nombre del esquema

    Pregunta de esquema

  5. Seleccione las preguntas de su elección y muévalas a la lista Configuradas.

  6. En la sección Preguntas definidas por el usuario, puede proporcionar preguntas y respuestas en los campos Q1 y A1.

    Pregunta definida por el usuario

  7. En la sección Registro de correo electrónico, marque la opción Registrar correo electrónico alternativo. Puede registrar el ID de correo electrónico alternativo desde la página de inicio de sesión de registro de usuario para recibir la OTP.

    ID de correo electrónico alternativo

  8. Haga clic en Crear. El esquema de inicio de sesión, una vez generado, muestra todas las preguntas configuradas al usuario final durante el proceso de registro.

Crear un flujo de trabajo de registro y administración de usuarios mediante

Se requiere lo siguiente antes de comenzar la configuración:

  • Dirección IP asignada al servidor virtual de autenticación
  • FQDN correspondiente a la dirección IP asignada
  • Certificado de servidor para servidor virtual de autenticación

Para configurar la página de registro y administración de dispositivos, necesita un servidor virtual de autenticación. La siguiente ilustración ilustra el registro del usuario.

Registro de dispositivos

Para crear un servidor virtual de autenticación

  1. Configure un servidor virtual de autenticación. Debe ser de tipo SSL y asegúrese de vincular el servidor virtual de autenticación con el tema del portal.

    > add authentication vserver <vServerName> SSL <ipaddress> <port>
    > bind authentication vserver <vServerName> [-portaltheme<string>]
    
  2. Vincular el par de certificados y claves de servidor virtual SSL.

    > bind ssl vserver <vServerName> certkeyName <string>
    

    Ejemplo:

    > add authentication vserver authvs SSL 1.2.3.4 443
    > bind authentication vserver authvs -portaltheme RFWebUI
    > bind ssl vserver authvs -certkeyname c1
    

Para crear una acción de inicio de sesión LDAP

    > add authentication ldapAction <name> {-serverIP <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>]

Nota

Puede configurar cualquier directiva de autenticación como primer factor.

Ejemplo:

    > add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -serverport 636 -sectype SSL -KBAttribute userParameters

Para crear una directiva de autenticación para el inicio de sesión LDAP

    > add authentication policy <name> <rule> [<reqAction]

Ejemplo:

    > add authentication policy ldap_logon -rule true -action ldap_logon_action

Para crear una acción de registro de preguntas y respuestas basada en el conocimiento

Se introducen dos nuevos parámetros en ldapAction. KBAttribute para la autenticación KBA (registro y validación) y alternateEmailAttr para el registro del ID de correo electrónico alternativo del usuario.

    > add authentication ldapAction <name> {-serverIP  <ipaddr|ipv6_addr|> [-serverPort <port>] [-ldapBase <BASE> ] [-ldapBindDn <AD USER>] [-ldapBindDnPassword <PASSWORD>] [-ldapLoginName <USER FORMAT>] [-KBAttribute <LDAP ATTRIBUTE>] [-alternateEmailAttr <LDAP ATTRIBUTE>]

Ejemplo:

    > add authentication ldapAction ldap1 -serverIP 1.2.3.4 -sectype ssl -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters

Mostrar la pantalla de registro y administración de usuarios

El esquema de inicio de sesión “KBARegistrationSchema.xml” se utiliza para mostrar la página de registro del usuario al usuario final. Utilice la siguiente CLI para mostrar el esquema de inicio de sesión.

> add authentication loginSchema <name> -authenticationSchema <string>

Ejemplo:

> add authentication loginSchema kba_register -authenticationSchema /nsconfig/loginschema/LoginSchema/KBARegistrationSchema.xml

Citrix recomienda dos formas de mostrar la pantalla de administración y registro de usuarios: URL o atributo LDAP.

Uso de URL

Si la ruta de la URL contiene “/register” (por ejemplo, https://lb1.server.com/register), la página de registro del usuario se muestra con la URL.

Para crear y vincular una directiva de registro

> add authentication policylabel user_registration -loginSchema kba_register
> add authentication policy ldap1 -rule true -action ldap1
> bind authentication policylabel user_registration -policy ldap1 -priority 1

Para vincular la directiva de autenticación al servidor virtual de autenticación, autorización y auditoría cuando la dirección URL contiene ‘/register’

> add authentication policy ldap_logon -rule "http.req.cookie.value(\"NSC_TASS\").contains(\"register\")" -action ldap_logon
> bind authentication vserver authvs -policy ldap_logon -nextfactor user_registration -priority 1

Para enlazar certificado a VPN global

bind vpn global -userDataEncryptionKey c1

Nota

  • Debe vincular el certificado para cifrar los datos de usuario (preguntas y respuestas de KB e ID de correo electrónico alternativo registrado) almacenados en el atributo AD.

  • Si el certificado caduca, debe vincular un certificado nuevo y volver a realizar el registro.

Uso de atributo

Puede vincular una directiva de autenticación al servidor virtual de autenticación, autorización y auditoría para comprobar si el usuario ya está registrado o no. En este flujo, cualquiera de las directivas anteriores antes del factor de registro de preguntas y respuestas basado en el conocimiento debe ser LDAP con el atributo KBA configurado. Esto es para comprobar si el usuario de AD está registrado o no utiliza un atributo de AD.

Importante

La regla “AAA.USER.ATTRIBUTE(“kba_registered”).EQ(“0”)” obliga a los nuevos usuarios a registrarse para recibir preguntas basadas en conocimientos y respuestas y correo electrónico alternativo.

Para crear una directiva de autenticación para comprobar si el usuario aún no está registrado

> add authentication policy switch_to_kba_register -rule "AAA.USER.ATTRIBUTE(\"kba_registered\").EQ(\"0\")" -action NO_AUTHN
> add authentication policy first_time_login_forced_kba_registration -rule true -action ldap1

Para crear una etiqueta de directiva de registro y vincularla a la directiva de registro LDAP

> add authentication policylabel auth_or_switch_register -loginSchema LSCHEMA_INT
> add authentication policylabel kba_registration -loginSchema kba_register

> bind authentication policylabel auth_or_switch_register -policy switch_to_kba_register -priority 1 -nextFactor kba_registration
> bind authentication policylabel kba_registration -policy first_time_login_forced_kba_registration -priority 1

Para vincular la directiva de autenticación al servidor virtual de autenticación, autorización y auditoría

bind authentication vserver authvs -policy ldap_logon -nextfactor auth_or_switch_register -priority 2

Registro de usuarios y validación de gestión

Una vez que haya configurado todos los pasos mencionados en las secciones anteriores, debe ver la siguiente pantalla de IU.

  1. Introduzca la URL del servidor virtual lb; por ejemplo, https://lb1.server.com. Se muestra la pantalla de inicio de sesión.

    URL del servidor virtual

  2. Introduzca el nombre de usuario y la contraseña. Haga clic en Enviar. Se muestra la pantalla Registro de usuario.

    Credenciales

  3. Seleccione la pregunta preferida en la lista desplegable e introduzca la respuesta.
  4. Haga clic en Enviar. Se muestra la pantalla de registro de usuario con éxito.

Configurar página de inicio de sesión de usuario

En este ejemplo, el administrador asume que el primer factor es el inicio de sesión de LDAP (para el que el usuario final ha olvidado la contraseña). A continuación, el usuario sigue el registro de preguntas y respuestas basado en el conocimiento y la validación OTP de ID de correo electrónico y, finalmente, restablece la contraseña mediante el restablecimiento de contraseña de autoservicio.

Puede utilizar cualquiera de los mecanismos de autenticación para el restablecimiento de contraseñas de autoservicio. Citrix recomienda tener una pregunta y una respuesta basadas en el conocimiento, y enviar un correo electrónico OTP o ambos para lograr una privacidad sólida y evitar cualquier restablecimiento ilegítimo de contraseñas de usuario.

Se requiere lo siguiente antes de empezar a configurar la página de inicio de sesión del usuario:

  • IP para servidor virtual de equilibrador de carga
  • FQDN correspondiente para el servidor virtual del equilibrador de carga
  • Certificado de servidor para el equilibrador de carga

Crear un servidor virtual de equilibrador de carga mediante la CLI

Para acceder al sitio web interno, debe crear un servidor virtual LB para hacer frente al servicio back-end y delegar la lógica de autenticación en el servidor virtual de autenticación.

> add lb vserver lb1 SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs

> bind ssl vserver lb1 -certkeyname c1

Para representar el servicio de back-end en el equilibrio de carga:

> add service iis_backendsso_server_com 1.2.3.4 HTTP 80

> bind lb vserver lb1 iis_backendsso_server_com

Crear acción LDAP con autenticación inhabilitada como primera directiva

> add authentication ldapAction ldap3 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -authentication disabled

> add authentication policy ldap3 -rule aaa.LOGIN.VALUE("passwdreset").EQ("1") -action ldap3

Crear una acción de validación de preguntas y respuestas basada en el conocimiento

Para la validación de preguntas y respuestas basada en el conocimiento en el flujo de restablecimiento de contraseñas de autoservicio, debe configurar el servidor LDAP con la autenticación inhabilitada.

> add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -KBAttribute  <LDAP ATTRIBUTE> - alternateEmailAttr <LDAP ATTRIBUTE> -authentication DISABLED

Ejemplo:

> add authentication ldapAction ldap2 -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName samAccountName -KBAttribute userParameters -alternateEmailAttr userParameters -authentication disabled

Para crear una directiva de autenticación para la validación de preguntas y respuestas basada en el conocimiento mediante la CLI

add authentication policy kba_validation -rule true -action ldap2

Crear una acción de validación de correo electrónico

LDAP debe ser un factor anterior al factor de validación de correo electrónico porque necesita el ID de correo electrónico del usuario o el ID de correo electrónico alternativo como parte del registro de restablecimiento de contraseña de autoservicio.

Nota:

Para que la solución OTP de correo electrónico funcione, asegúrese de que la autenticación basada en el inicio de sesión esté habilitada en el servidor SMTP.

Para asegurarse de que la autenticación basada en el inicio de sesión esté habilitada, escriba el siguiente comando en el servidor SMTP. Si la autenticación basada en el inicio de sesión está habilitada, observará que el texto AUTH LOGIN aparece en negrita en la salida.

root@ns# telnet <IP address of the SMTP server><Port number of the server>
ehlo

Ejemplo:

root@ns# telnet 10.106.3.66 25
Trying 10.106.3.66...
Connected to 10.106.3.66.
Escape character is '^]'.
220 E2K13.NSGSanity.com Microsoft ESMTP MAIL Service ready at Fri, 22 Nov 2019 16:24:17 +0530
ehlo
250-E2K13.NSGSanity.com Hello [10.221.41.151]
250-SIZE 37748736
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-STARTTLS
250-X-ANONYMOUSTLS
250-AUTH LOGIN
250-X-EXPS GSSAPI NTLM
250-8BITMIME
250-BINARYMIME
250-CHUNKING
250 XRDST

Para obtener información sobre cómo habilitar la autenticación basada en el inicio de sesión, consulte https://support.microfocus.com/kb/doc.php?id=7020367.

Para configurar la acción de correo electrónico mediante CLI

add authentication emailAction emailact -userName sender@example.com -password <Password> -serverURL "smtps://smtp.example.com:25" -content "OTP is $code"

Ejemplo:

add authentication emailAction email -userName testmail@gmail.com -password 298a34b1a1b7626cd5902bbb416d04076e5ac4f357532e949db94c0534832670 -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://10.19.164.57:25" -content "OTP is $code" -emailAddress "aaa.user.attribute(\"alternate_mail\")"

Nota

El parámetro “emailAddress” de la configuración es una expresión PI. Por lo tanto, se configura para tomar el ID de correo electrónico de usuario predeterminado de la sesión o el ID de correo electrónico alternativo ya registrado.

Para configurar el ID de correo electrónico mediante la

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > directivas > Autenticación > Directivas avanzadas > Acciones > Acción de correo electrónico de autenticación. Haga clic en Agregar.
  2. En la página Crear acción de correo electrónico de autenticación, rellene los detalles y haga clic en Crear.

    Acción de correo de autenticación

Para crear una directiva de autenticación para la validación de correo electrónico mediante la CLI

add authentication policy email_validation -rule true -action email

Para crear una directiva de autenticación para el factor de restablecimiento de contraseña

add authentication policy ldap_pwd -rule true -action ldap_logon_action

Presentación de la interfaz de usuario a través del esquema de inicio de sesión

Hay tres loginSchema para restablecer la contraseña de autoservicio para restablecer la contraseña. Utilice los siguientes comandos de CLI para ver los tres esquemas de inicio de sesión:

root@ns# cd  /nsconfig/loginschema/LoginSchema/
root@ns# ls -ltr | grep -i password
-r--r--r--  1 nobody  wheel  2088 Nov 13 08:38 SingleAuthPasswordResetRem.xml
-r--r--r--  1 nobody  wheel  1541 Nov 13 08:38 OnlyUsernamePasswordReset.xml
-r--r--r--  1 nobody  wheel  1391 Nov 13 08:38 OnlyPassword.xml

Para crear un restablecimiento de contraseña de autenticación única mediante CLI

> add authentication loginSchema lschema_password_reset -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthPasswordResetRem.xml"

> add authentication loginSchemaPolicy lpol_password_reset -rule true -action lschema_password_reset

Crear un factor de validación OTP basado en el conocimiento y responder por correo electrónico a través de la etiqueta de directivas

Si el primer factor es el inicio de sesión LDAP, puede crear una pregunta y respuesta basadas en el conocimiento y enviar por correo electrónico etiquetas de directiva OTP para el siguiente factor mediante los siguientes comandos.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel kba_validation -loginSchema lschema_noschema

> add authentication policylabel email_validation -loginSchema lschema_noschema

Crear factor de restablecimiento de contraseña a través de la etiqueta de directiva

Puede crear el factor de restablecimiento de contraseña a través de la etiqueta de directiva mediante los siguientes comandos.

> add authentication loginSchema lschema_noschema -authenticationSchema noschema

> add authentication policylabel password_reset -loginSchema lschema_noschema

> bind authentication policylabel password_reset -policyName ldap_pwd -priority 10 -gotoPriorityExpression NEXT

Enlaza la pregunta y respuesta basadas en el conocimiento y la directiva de correo electrónico a las directivas creadas anteriormente mediante los siguientes comandos.

> bind authentication policylabel email_validation -policyName email_validation -nextfactor password_reset -priority 10 -gotoPriorityExpression NEXT

> bind authentication policylabel kba_validation -policyName kba_validation -nextfactor email_validation -priority 10 -gotoPriorityExpression NEXT

Enlazar el flujo

Debe tener el flujo de inicio de sesión de LDAP creado en la directiva de autenticación para el inicio de sesión de LDAP. En este flujo, el usuario hace clic en el enlace de contraseña olvidada que aparece en la primera página de inicio de sesión de LDAP, luego en la validación KBA seguida de la validación OTP y, finalmente, en la página de restablecimiento de contraseña.

bind authentication vserver authvs -policy ldap3 -nextfactor kba_validation -priority 10 -gotoPriorityExpression NEXT

Para enlazar todo el flujo de la interfaz de usuario

bind authentication vserver authvs -policy lpol_password_reset -priority 20 -gotoPriorityExpression END

Flujo de trabajo de inicio de sesión para restablecer la contraseña

A continuación se muestra un flujo de trabajo de inicio de sesión de usuario si el usuario necesita restablecer la contraseña:

  1. Introduzca la URL del servidor virtual lb; por ejemplo, https://lb1.server.com. Se muestra la pantalla de inicio de sesión.

    Pantalla de inicio de sesión

  2. Haga clic en He olvidado mi contraseña. Una pantalla de validación muestra dos preguntas de un máximo de seis preguntas y respuestas registradas contra un usuario de AD.

    Introduzca la contraseña

  3. Responda a las preguntas y haga clic en Iniciar sesión. Se muestra una pantalla de validación de OTP de correo electrónico en la que debe introducir la OTP recibida en el ID de correo electrónico alternativo registrado.

    Pregunta de respuesta

  4. Introduzca la OTP de correo electrónico. Una vez que la validación de OTP por correo electrónico se realiza correctamente, se muestra la página de restablecimiento de contraseña.

    Correo electrónico OTP

  5. Introduzca una nueva contraseña y confirme la nueva contraseña. Haga clic en Enviar. Una vez que el restablecimiento de la contraseña se haya realizado correctamente, se mostrará la pantalla de restablecimiento de la contraseña

    Contraseña nueva

Ahora puede iniciar sesión con la contraseña de restablecimiento.

Solución de problemas

Citrix ofrece una opción para solucionar algunos de los problemas básicos a los que puede enfrentarse al usar el restablecimiento de contraseña de autoservicio. La siguiente sección le ayuda a solucionar algunos de los problemas que pueden producirse en áreas específicas.

Registro NS

Antes de analizar el registro, se recomienda establecer el nivel de registro para depurar mediante el siguiente comando:

> set syslogparams -loglevel DEBUG

Registro

El siguiente mensaje indica un registro de usuario correcto.

"ns_aaa_insert_hash_keyValue_entry key:kba_registered value:1"
Nov 14 23:35:51 <local0.debug> 10.102.229.76 11/14/2018:18:05:51 GMT  0-PPE-1 : default SSLVPN Message 1588 0 :  "ns_aaa_insert_hash_keyValue_entry key:alternate_mail value:eyJ2ZXJzaW9uIjoiMSIsICJraWQiOiIxbk1oWjN0T2NjLVVvZUx6NDRwZFhxdS01dTA9IiwgImtleSI6IlNiYW9OVlhKNFhUQThKV2dDcmJSV3pxQzRES3QzMWxINUYxQ0tySUpXd0h4SFRIdVlWZjBRRTJtM0ZiYy1RZmlQc0tMeVN2UHpleGlJc2hmVHZBcGVMZjY5dU5iYkYtYXplQzJMTFF1M3JINFVEbzJaSjdhN1pXUFhqbUVrWGdsbjdUYzZ0QWtqWHdQVUI3bE1FYVNpeXhNN1dsRkZXeWtNOVVnOGpPQVdxaz0iLCAiaXYiOiI4RmY3bGRQVzVKLVVEbHV4IiwgImFsZyI6IkFFUzI1Nl9HQ00ifQ==.oKmvOalaOJ3a9z7BcGCSegNPMw=="

Validación de preguntas y respuestas basadas en el conocimiento

El siguiente mensaje indica una validación correcta de preguntas y respuestas basadas en el conocimiento.

"NFactor: Successfully completed KBA Validation, nextfactor is email"

Validación de ID de correo electrónico

El siguiente mensaje indica que se ha restablecido correctamente la contraseña.

"NFactor: Successfully completed email auth, nextfactor is pwd_reset"

Configurar SSPR mediante el visualizador nFactor

Antes de comenzar la configuración de SSPR, debemos agregar los siguientes servidores LDAP:

  1. Servidor LDAP estándar con la autenticación habilitada para la autenticación de usuarios y el atributo AD especificado.

    Detalles del servidor LDAP

    Otros ajustes

  2. Servidor LDAP para la extracción de parámetros de usuario sin autorización.

    Servidor LDAP con extracción de parámetros

  3. Servidor LDAP para restablecer la contraseña en SSL sin autorización. Además, el atributo AD que se utilizará para almacenar los detalles del usuario debe definirse en este servidor.

    Servidor LDAP para restablecimiento de contraseña1

    Servidor LDAP para restablecimiento de contraseña2

  4. Servidor LDAP para el registro de usuarios, con la autenticación habilitada y el atributo AD especificado

    Servidor LDAP para registro de usuarios1

    Servidor LDAP para registro de usuarios1

  5. En la siguiente ilustración se muestra el flujo completo:

    Flujo de trabajo visualizador

  6. Enlazar el certificado globalmente mediante el siguiente comando CLI:

    bind vpn global -userDataEncryptionKey Wildcard
    

Ahora que se han agregado los servidores LDAP, proceda con la configuración de nFactor mediante el visualizador

  1. Vaya a Seguridad > AAA > Tráfico de aplicaciones > Visualizador nFactor > Flujos nFactor, haga clic en Agregar y haga clic en el icono más dentro del cuadro.

    Agregar flujo

  2. Dé un nombre al flujo.

    Escriba el nombre del flujo

  3. Haga clic en Agregar esquema que sirva como esquema predeterminado. Haga clic en Agregar en la página Esquema de inicio de sesión

    Agregar esquema

  4. Después de darle un nombre al esquema, selecciónelo. Haga clic en Seleccionar en la esquina superior derecha para seleccionar el esquema.

    Seleccionar esquema

  5. Haga clic en Crear y luego en Aceptar.

Una vez que se agrega el esquema predeterminado, tenemos que configurar los siguientes tres flujos:

  • Registro de usuarios: para el registro explícito de usuarios
  • Restablecimiento de contraseña: para restablecer la contraseña
  • Inicio desesión normal + Comprobación de usuario registrado: En caso de que el usuario esté registrado e introduzca la contraseña correcta, el usuario inicia sesión. En caso de que el usuario no esté registrado, lo lleva a la página de registro.

Registro de usuarios

Vamos a continuar desde donde lo dejamos después de agregar el esquema.

  1. Haga clic en Add Policypara comprobar si el usuario está intentando registrarse de forma explícita.

    Agregar directiva

    Elige una directiva

  2. Haga clic en Crear y, después, en Agregar.

  3. Haga clic en el icono ‘+’ verde resaltado para agregar el siguiente factor de autenticación al flujo de registro de usuarios.

    Suma el siguiente factor

    Agregar el siguiente nombre de factor

  4. Haga clic en Crear.

  5. Haga clic en Agregar directiva para el factor Registro de usuarios-1.

    Agregar directiva

  6. Cree la directiva de autenticación. Esta directiva extrae la información del usuario y la valida antes de redirigirla a la página de registro.

    Crear directiva de autenticación

  7. Haga clic en Crear y, después, en Agregar.

  8. Ahora haga clic en el icono verde “+” para crear otro factor para el registro de usuario y haga clic en Crear. Haga clic en Agregar esquema.

    Agrega otro factor

    Introduzca el nombre de otro factor

  9. Crea el siguiente esquema.

    Crear esquema

  10. Haga clic en Agregar directiva y cree la siguiente directiva de autenticación.

    Crear directiva de autenticación

  11. Haga clic en Crear y haga clic en Agregar.

Restablecimiento de contraseña

  1. Haga clic en el icono azul “+” para agregar otra directiva (flujo de restablecimiento de contraseña) para el factor SSPR principal.

    Directiva de restablecimiento de contraseña

  2. Haga clic en Agregar y cree una directiva de autenticación. Esta directiva se activa si el usuario hace clic en “Olvidé mi contraseña” en la página de inicio de sesión.

    Directiva de restablecimiento de contraseña

  3. Haga clic en Crear y haga clic en Agregar.

  4. Haga clic en el icono verde “+” de la directiva de autenticación de restablecimiento de contraseña para agregar otro factor.

    Directiva de autenticación para el restablecimiento de contraseñas

    Directiva de autenticación para el restablecimiento de contraseña2

  5. Haga clic en Crear.

  6. Haga clic en Agregar directiva para crear una directiva de autenticación para el factor creado anteriormente. Este factor sirve para validar al usuario.

    Directiva de validación de usuarios

  7. Haga clic en Crear y haga clic en Agregar.

  8. Haga clic en el icono verde “+” para agregar otro factor para el flujo del factor de contraseña, esto valida las respuestas proporcionadas para restablecer la contraseña. Haga clic en Crear.

    Factor para las respuestas de restablecimiento de contraseña

  9. Haga clic en Agregar directiva para agregar una directiva de autenticación para el factor.

  10. Seleccione la misma directiva de autenticación en el menú desplegable que creamos anteriormente y haga clic en Agregar.

    Seleccione la directiva para restablecer la contraseña

Inicio de sesión normal + Comprobación de usuario registrado

  1. Haga clic en el icono azul “+” para agregar otra directiva de autenticación (flujo de inicio de sesión normal) al factor SSPR principal.

    Agregar directiva al flujo de inicio de sesión

  2. Haga clic en Agregarpara crear una directiva de autenticación para el inicio de sesión normal del usuario.

    Directiva de autenticación para el acceso de usuarios

  3. Haga clic en Crear y haga clic en Agregar.

  4. Haga clic en el icono verde “+” de la directiva creada anteriormente para agregar otro factor, que es el bloque de decisión. Haga clic en Crear.

    Agregar bloque de decisión

  5. Haga clic en Crear.

    Crear bloque de decisión

  6. Haga clic en Agregar directiva para crear una directiva de autenticación para este factor de decisión.

    Directiva para el factor de decisión

  7. Haga clic en Crear y luego en Agregar. Esto comprueba si el usuario está registrado o no.

  8. Haga clic en el icono verde “+” para apuntar al usuario a la directiva de registro.

    Directiva de registro

  9. Seleccione el factor de registro en el menú desplegable y haga clic en Crear.

    Seleccione el factor de registro

  10. Ahora haga clic en el icono azul “+” para agregar otra directiva al bloque de decisión, esta directiva es para que el usuario registrado finalice la autenticación.

    Otro factor en el bloque de decisión

  11. Haga clic en Agregar directiva para crear una directiva de autenticación.

    Directiva de autenticación adicional

  12. Haga clic en Crear y haga clic en Agregar.