Configuración de certificados de cliente y autenticación de dos factores LDAP

Puede utilizar un certificado de cliente seguro con autenticación y autorización LDAP, como el uso de la autenticación de tarjeta inteligente con LDAP. El usuario inicia sesión y, a continuación, el nombre de usuario se extrae del certificado de cliente. El certificado de cliente es la forma principal de autenticación y LDAP es el formulario secundario. La autenticación de certificados de cliente debe tener prioridad sobre la directiva de autenticación LDAP. Cuando establezca la prioridad de las directivas, asigne un número menor a la directiva de autenticación de certificados de cliente que el número asignado a la directiva de autenticación LDAP.

Para utilizar un certificado de cliente, debe tener una entidad emisora de certificados (CA) de empresa, como Servicios de Certificate Server en Windows Server 2008, ejecutándose en el mismo equipo que ejecuta Active Directory. Puede utilizar la CA para crear un certificado de cliente.

Para utilizar un certificado de cliente con autenticación y autorización LDAP, debe ser un certificado seguro que utilice Secure Sockets Layer (SSL). Para utilizar certificados de cliente seguros para LDAP, instale el certificado de cliente en el dispositivo de usuario e instale el certificado raíz correspondiente en Citrix Gateway.

Antes de configurar un certificado de cliente, haga lo siguiente:

  • Cree un servidor virtual.
  • Cree una directiva de autenticación LDAP para el servidor LDAP.
  • Establezca la expresión de la directiva LDAP en valor True.

Para configurar la autenticación de certificados de cliente con LDAP

  1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas > Autenticación.
  2. En el panel de navegación, en Autenticación, haga clic en Cert.
  3. En el panel de detalles, haga clic en Agregar.
  4. En Nombre, escriba un nombre para la directiva.
  5. En Tipo de autenticación, seleccione Cert.
  6. Junto a Servidor, haga clic en Nuevo.
  7. En Nombre, escriba un nombre para el servidor y, a continuación, haga clic en Crear.
  8. En el cuadro de diálogo Crear servidor de autenticación, en Nombre, escriba el nombre del servidor.
  9. Junto a Dos factores, seleccione ON.
  10. En el campo Nombre de usuario, seleccione Asunto: CN y, a continuación, haga clic en Crear.
  11. En el cuadro de diálogo Crear directiva de autenticación, junto a Expresiones con nombre, seleccione Valor verdadero, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.

Después de crear la directiva de autenticación de certificados, vincule la directiva al servidor virtual. Después de vincular la directiva de autenticación de certificados, vincule la directiva de autenticación LDAP al servidor virtual.

Importante: Debe vincular la directiva de autenticación de certificados al servidor virtual antes de enlazar la directiva de autenticación LDAP al servidor virtual.

Para instalar un certificado raíz en Citrix Gateway

Después de crear la directiva de autenticación de certificados, descargue e instale un certificado raíz de la entidad emisora de certificados en formato Base64 y guárdelo en el equipo. A continuación, puede cargar el certificado raíz en Citrix Gateway.

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda SSL y, a continuación, haga clic en Certificados.
  2. En el panel de detalles, haga clic en Instalar.
  3. En Certificado - Nombre del par de claves, escriba un nombre para el certificado.
  4. En Nombre de archivo de certificado, haga clic en Examinar y, en el cuadro desplegable, seleccione Dispositivo o Local.
  5. Desplácese hasta el certificado raíz, haga clic en Abrir y, a continuación, haga clic en Instalar.

Para agregar un certificado raíz a un servidor virtual

Después de instalar el certificado raíz en Citrix Gateway, agregue el certificado al almacén de certificados del servidor virtual.

Importante: Al agregar el certificado raíz al servidor virtual para la autenticación con tarjeta inteligente, debe seleccionar el certificado en el cuadro desplegable Seleccionar certificado de CA, como se muestra en la figura siguiente.

Figura 1. Agregar un certificado raíz como entidad emisora de certificados

Imagen localizada

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Servidores virtuales.

  2. En el panel de detalles, seleccione un servidor virtual y, a continuación, haga clic en Abrir.

  3. En la ficha Certificados, en Disponible, seleccione el certificado, junto a Agregar, en el cuadro desplegable, haga clic en como CA y, a continuación, haga clic en Aceptar.

  4. Repita el paso 2.

  5. En la ficha Certificados, haga clic en Parámetros SSL.

  6. En Otros, seleccione Autenticación de cliente.

  7. En Otros, junto a Certificado de cliente, seleccione Opcional y, a continuación, haga clic en Aceptar dos veces.

  8. Después de configurar el certificado de cliente, pruebe la autenticación iniciando sesión en Citrix Gateway con el plug-in de Citrix Gateway. Si tiene más de un certificado instalado, recibirá un mensaje pidiéndole que seleccione el certificado correcto. Después de seleccionar el certificado, aparece la pantalla de inicio de sesión con el nombre de usuario rellenado con la información obtenida del certificado. Escriba la contraseña y, a continuación, haga clic en Iniciar sesión.

Si no ve el nombre de usuario correcto en el campo Nombre de usuario de la pantalla de inicio de sesión, compruebe las cuentas de usuario y los grupos del directorio LDAP. Los grupos definidos en Citrix Gateway deben ser los mismos que los del directorio LDAP. En Active Directory, configure grupos en el nivel raíz del dominio. Si crea grupos de Active Directory que no están en el nivel raíz del dominio, podría producirse una lectura incorrecta del certificado de cliente.

Si los usuarios y grupos no están en el nivel raíz del dominio, la página de inicio de sesión de Citrix Gateway muestra el nombre de usuario configurado en Active Directory. Por ejemplo, en Active Directory, tiene una carpeta llamada Usuarios y el certificado dice CN=Users. En la página de inicio de sesión, en Nombre de usuario, aparece la palabra Usuarios.

Si no desea mover las cuentas de grupo y usuario al nivel de dominio raíz, al configurar el servidor de autenticación de certificados en Citrix Gateway, deje en blanco el campo de nombre de usuario y el campo de nombre de grupo.