Configuración de la devolución de contraseña con RADIUS

Puede reemplazar las contraseñas de dominio con una contraseña única que genera un token desde un servidor RADIUS. Cuando los usuarios inician sesión en Citrix Gateway, introducen un número de identificación personal (PIN) y el código de acceso del token. Una vez que Citrix Gateway valida sus credenciales, el servidor RADIUS devuelve la contraseña de Windows del usuario a Citrix Gateway. Citrix Gateway acepta la respuesta del servidor y, a continuación, utiliza la contraseña devuelta para el inicio de sesión único en lugar de utilizar el código de acceso que los usuarios escribieron durante el inicio de sesión. Este retorno de contraseña con la función RADIUS le permite configurar el inicio de sesión único sin necesidad de que los usuarios recuperen su contraseña de Windows.

Cuando los usuarios inician sesión mediante la devolución de contraseña, pueden acceder a todos los recursos de red permitidos en la red interna, incluidos Citrix Endpoint Management, StoreFront y la Interfaz Web.

Para habilitar el inicio de sesión único mediante contraseñas devueltas, configure una directiva de autenticación RADIUS en Citrix Gateway mediante los parámetros Identificador de proveedor de contraseña y Tipo de atributo de contraseña. Estos dos parámetros devuelven la contraseña de Windows del usuario a Citrix Gateway.

Citrix Gateway admite Imprivata OneSign. La versión mínima requerida de Imprivata OneSign es 4.0 con Service Pack 3. El identificador de proveedor de contraseña predeterminado para Imprivata OneSign es 398. El código de tipo de atributo de contraseña predeterminado para Imprivata OneSign es 5.

Puede utilizar otros servidores RADIUS para devolver contraseñas, como RSA, Cisco o Microsoft. Debe configurar el servidor RADIUS para que devuelva la contraseña de inicio de sesión único de usuario en un par de valores de atributo específico del proveedor. En una directiva de autenticación de Citrix Gateway, debe agregar los parámetros Identificador de proveedor de contraseña y Tipo de atributo de contraseña para estos servidores.

Puede encontrar una lista completa de identificadores de proveedor en el.sitio web de la Autoridad de Números Asignados de Internet (IANA) Por ejemplo, el identificador de proveedor para la seguridad RSA es 2197, para Microsoft es 311 y para Cisco Systems es 9. El atributo específico del proveedor que admite un proveedor debe confirmarse con el proveedor. Por ejemplo, Microsoft ha publicado una lista de atributos específicos del proveedor en.Atributos RADIUS específicos del proveedor de Microsoft

Puede seleccionar cualquiera de los atributos específicos del proveedor para almacenar la contraseña de inicio de sesión único para los usuarios en el servidor RADIUS del proveedor. Si configura Citrix Gateway con el identificador de proveedor y el atributo donde se almacena la contraseña de usuario en el servidor RADIUS, Citrix Gateway solicita el valor del atributo en el paquete de solicitud de acceso que se envía al servidor RADIUS. Si el servidor RADIUS responde con el par atributo-valor correspondiente en el paquete access-accept, la devolución de contraseña funciona independientemente del servidor RADIUS que utilice.

Para configurar el inicio de sesión único mediante contraseñas devueltas:

  1. En la utilidad de configuración, en la ficha Configuración, expanda Citrix Gateway > Directivas > Autenticación.
  2. En el panel de navegación, haga clic en RADIUS.
  3. En el panel de detalles, haga clic en Agregar.
  4. En el cuadro de diálogo Crear directiva de autenticación, en Nombre, escriba un nombre para la directiva.
  5. Junto a Servidor, haga clic en Nuevo.
  6. En Nombre, escriba el nombre del servidor.
  7. Configure las opciones para el servidor RADIUS.
  8. En Identificador de proveedor de contraseña, escriba el identificador de proveedor devuelto por el servidor RADIUS. Este identificador debe tener un valor mínimo de 1.
  9. En Tipo de atributo de contraseña, escriba el tipo de atributo devuelto por el servidor RADIUS en el código AVP específico del proveedor. El valor puede oscilar entre 1 y 255.
  10. En el cuadro de diálogo Crear directiva de autenticación, junto a Expresiones con nombre, seleccione la expresión, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.

Configuración de la devolución de contraseña con RADIUS