Citrix Gateway

nFactor para la autenticación de Gateway

Introducción

La autenticación nFactor permite un nuevo conjunto de posibilidades con respecto a la autenticación. Los administradores que utilizan nFactor disfrutan de la flexibilidad de autenticación, autorización y auditoría al configurar factores de autenticación para servidores virtuales.

Dos bancos de directivas o dos factores ya no restringen a un administrador. El número de bancos de directivas puede ampliarse para adaptarse a las diferentes necesidades. En función de factores anteriores, nFactor determina un método de autenticación. Los formularios de inicio de sesión dinámicos y las acciones en caso de fallo son posibles mediante el uso de nFactor.

Nota: nFactor no es compatible con Citrix ADC Standard Edition. Es compatible con Citrix ADC Advanced Edition y Citrix ADC Premium Edition.

Casos de uso

La autenticación nFactor permite flujos de autenticación dinámicos basados en el perfil de usuario. A veces, estos pueden ser flujos simples para ser intuitivos para el usuario. En otros casos, se pueden acoplar con la protección de Active Directory u otros servidores de autenticación. A continuación se indican algunos requisitos específicos de Gateway:

  1. Selección dinámica de nombre de usuario y contraseña. Tradicionalmente, los clientes Citrix (incluidos los exploradores y los receptores) utilizan la contraseña de Active Directory (AD) como primer campo de contraseña. La segunda contraseña está reservada para la contraseña de una sola vez (OTP). Sin embargo, para proteger los servidores de AD, es necesario validar primero OTP. nFactor puede hacerlo sin necesidad de modificaciones del cliente.

  2. Punto final de autenticación multiarrendatario. Algunas organizaciones utilizan servidores de puerta de enlace diferentes para usuarios de certificados y no certificados. Dado que los usuarios utilizan sus propios dispositivos para iniciar sesión, los niveles de acceso de los usuarios varían según el Citrix ADC en función del dispositivo que se esté utilizando. Gateway puede satisfacer diferentes necesidades de autenticación.

  3. Autenticación basada en la pertenencia al grupo. Algunas organizaciones obtienen propiedades de usuario de los servidores de AD para determinar los requisitos de autenticación. Los requisitos de autenticación pueden variar para los usuarios individuales.

  4. Cofactores de autenticación. A veces, se utilizan diferentes pares de directivas de autenticación para autenticar diferentes conjuntos de usuarios. Proporcionar directivas de pares aumenta la autenticación efectiva. Las directivas dependientes se pueden crear a partir de un flujo. De esta manera, conjuntos de directivas independientes se convierten en flujos propios que aumentan la eficiencia y reducen la complejidad.

Gestión de respuestas de autenticación

Los registros de devolución de llamada de Citrix Gateway manejan las respuestas de autenticación. Las respuestas AAAD (demonio de autenticación) y los códigos de éxito/fallo/error/diálogo se alimentan al identificador de devolución de llamada. Los códigos de éxito/fallo/error/diálogo dirigen a Gateway para que tome la acción adecuada.

Soporte para clientes

En la siguiente tabla se detallan los detalles de configuración.

Cliente Compatibilidad con nFactor Punto de enlace de directiva de autenticación EPA
Exploradores web Autenticación
Aplicación Citrix Workspace No VPN N
Complemento de puerta de enlace No VPN

Configuración de la línea de comandos

El servidor virtual Gateway necesita un servidor virtual de autenticación denominado como atributo. Esta es la única configuración requerida para este modelo.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

AuthNVSName es el nombre del servidor virtual de autenticación. Este servidor virtual se debe configurar con directivas de autenticación avanzadas y se utiliza para la autenticación nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Donde AuthnProfile es el perfil de autenticación creado anteriormente.

Desafíos de interoperabilidad

La mayoría de los clientes Legacy Gateway, además de los clientes RFWeb, se modelan según las respuestas enviadas por Gateway. Por ejemplo, se espera una respuesta 302 a /vpn/index.html para muchos clientes. Además, estos clientes dependen de varias cookies de Gateway como “pwcount”, “NSC_CERT”, etc.

Análisis de punto final (EPA)

Dado que el subsistema de autenticación, autorización y auditoría no admite EPA para nFactor; sin embargo, el servidor virtual Gateway realiza EPA. Después de EPA, las credenciales de inicio de sesión se envían al servidor virtual de autenticación mediante la API mencionada anteriormente. Una vez completada la autenticación, Gateway continúa con el proceso posterior a la autenticación y establece la sesión del usuario.

Consideraciones de configuración incorrecta

El cliente Gateway envía las credenciales de usuario solo una vez. Gateway obtiene una o dos credenciales del cliente con la solicitud de inicio de sesión. En el modo heredado, hay un máximo de dos factores. Las contraseñas obtenidas se utilizan para estos factores. Sin embargo, con nFactor el número de factores que se pueden configurar es prácticamente ilimitado. Las contraseñas obtenidas del cliente Gateway se reutilizan (según la configuración) para los factores configurados. Se debe tener cuidado para que la contraseña de una sola vez (OTP) no se reutilice varias veces. Del mismo modo, el administrador debe asegurarse de que la contraseña reutilizada en un factor sea efectivamente aplicable a ese factor.

Definición de clientes Citrix

La opción de configuración se proporciona para ayudar a Citrix ADC a determinar clientes de explorador frente a clientes gruesos como Receiver.

Se proporciona un conjunto de patrones, ns_vpn_client_useragents, para que el administrador configure patrones para todos los clientes Citrix.

Del mismo modo, enlazar la cadena “Citrix Receiver” al conjunto de parches anterior para ignorar todos los clientes Citrix que tienen “Citrix Receiver” en el User-Agent.

Restringir nFactor para Gateway

nFactor para la autenticación de puerta de enlace no ocurrirá si se presentan las siguientes condiciones.

  1. AuthnProfile no está configurado en Citrix Gateway.

  2. Las directivas de autenticación avanzadas no están enlazadas al servidor virtual de autenticación y el mismo servidor virtual de autenticación se menciona en AuthnProfile.

  3. La cadena User-Agent en la solicitud HTTP coincide con los User-Agents configurados en patset ns_vpn_client_useragents.

Si no se cumplen estas condiciones, se utiliza la directiva de autenticación clásica vinculada a Gateway.

Si un User-Agent, o parte de él está vinculado al conjunto de parches antes mencionado, las solicitudes procedentes de esos agentes de usuario no participan en el flujo nFactor. Por ejemplo, el siguiente comando restringe la configuración de todos los exploradores (suponiendo que todos los exploradores contengan “Mozilla” en la cadena user-agent):

bind conjunto de patset ns_vpn_client_useragents Mozilla

Esquema de inicio de sesión

LoginSchema es una representación lógica del formulario de inicio de sesión. El lenguaje XML lo define. La sintaxis de LoginSchema se ajusta a la especificación Common Forms Protocol de Citrix.

LoginSchema define la “vista” del producto. Un administrador puede proporcionar una descripción personalizada, texto de ayuda, etc. del formulario. Esto incluye las etiquetas del formulario en sí. Un cliente puede proporcionar un mensaje de éxito/fallo que describa el formulario presentado en un momento determinado.

Se requiere conocimiento de LoginSchema y nFactor

Los archivos de inicio de sesión predefinidos se encuentran en la siguiente ubicación de Citrix ADC /NSconfig/LoginSchema/LoginSchema/LoginSchema/. Estos archivos de LoginSchema precompilados se adaptan a casos de uso comunes, y se pueden modificar para pequeñas variaciones si es necesario.

Además, la mayoría de los casos de uso de factor único con pocas personalizaciones no necesitan configuración de LoginSchema (s).

Se recomienda al administrador que compruebe la documentación para obtener opciones de configuración adicionales que permitan a Citrix ADC descubrir los factores. Una vez que el usuario envía las credenciales, el administrador puede configurar más de un factor para elegir y procesar de forma flexible los factores de autenticación.

Configuración de la autenticación de doble factor sin usar LoginSchema

Citrix ADC determina automáticamente los requisitos de doble factor en función de la configuración. Una vez que el usuario presenta estas credenciales, el administrador puede configurar el primer conjunto de directivas en el servidor virtual. Contra cada directiva puede haber un “NextFactor” configurado como un “passthrough”. Un “paso a través” implica que Citrix ADC debe procesar el inicio de sesión mediante el conjunto de credenciales existente sin ir al usuario. Mediante el uso de factores de “paso a través”, un administrador puede dirigir mediante programación el flujo de autenticación. Se recomienda a los administradores que lean la especificación nFactor o las guías de implementación para obtener más detalles. Consulte Autenticación multifactor (nFactor).

Nombre de usuario Expresiones de Contraseña

Para procesar las credenciales de inicio de sesión, el administrador debe configurar LoginSchema. Los casos de uso de factor único o factor doble con pocas personalizaciones de LoginSchema no necesitan una definición XML especificada. LoginSchema tiene otras propiedades como UserExpression y PasswdExpression que se pueden utilizar para alterar el nombre de usuario/contraseña que el usuario presenta. Estas son expresiones de directiva avanzadas y también se pueden usar para anular la entrada del usuario.

Pasos de alto nivel en la configuración de nFactor

El siguiente diagrama ilustra los pasos de alto nivel involucrados en la configuración nFactor.

nfactor-flujo de trabajo

Configuración de GUI

En esta sección se describen los siguientes temas:

  • Crear un servidor virtual

  • Crear servidor virtual de autenticación

  • Crear perfil CERT de autenticación

  • Crear una directiva de autenticación

  • Agregar un servidor de autenticación LDAP

  • Agregar una directiva de autenticación LDAP

  • Agregar un servidor de autenticación Radius

  • Agregar una directiva de autenticación Radius

  • Crear un esquema de inicio de sesión de autenticación

  • Crear una etiqueta de directiva

Crear un servidor virtual

  1. Vaya a Citrix Gateway -> Servidores virtuales.

    Imagen localizada

  2. Haga clic en el botón Agregar para crear un servidor virtual de equilibrio de carga.

    Imagen localizada

  3. Introduzca la siguiente información.

    Nombre del parámetro Descripción del parámetro
    Introduzca el nombre del servidor virtual. Nombre del servidor virtual de Citrix Gateway. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). Se puede cambiar después de crear el servidor virtual. El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).
    Introduzca el tipo de dirección IP para el servidor virtual Seleccione una opción Dirección IP o No direccionable en el menú desplegable.
    Introduzca la dirección IP del servidor virtual. Una dirección de protocolo de Internet (dirección IP) es una etiqueta numérica asignada a cada dispositivo que participa en la red informática que utiliza el protocolo de Internet para la comunicación.
    Introduzca el número de puerto para el servidor virtual. Introduzca el número de puerto.
    Introduzca el perfil de autenticación. Entidad de perfil de autenticación en el servidor virtual. Esta entidad se puede utilizar para descargar la autenticación en el servidor virtual de autenticación, autorización y auditoría para autenticación multifactor (nFactor)
    Introduzca el perfil del servidor RDP. Nombre del perfil del servidor RDP asociado al servidor virtual.
    Introduzca el número máximo de usuarios. Número máximo de sesiones de usuario simultáneas permitidas en este servidor virtual. El número real de usuarios que pueden iniciar sesión en este servidor virtual depende del número total de licencias de usuario.
    Introduzca el número máximo de intentos de inicio de sesión. Número máximo de intentos de inicio de sesión.
    Introduzca el tiempo de espera de inicio de sesión fallido. Número de minutos que se bloqueará una cuenta si el usuario supera los intentos máximos permitidos.
    Introduzca la actualización del complemento de la EPA de Windows. Opción para establecer el comportamiento de actualización del complemento para Win.
    Introduzca la actualización del plug-in de Linux EPA. Opción para establecer el comportamiento de actualización de complementos para Linux.
    Introduzca la actualización del plug-in MAC EPA Opción para establecer el comportamiento de actualización del plug-in para Mac.
    Iniciar sesión una vez Esta opción activa/inhabilita el inicio de sesión sencillo integrado para este servidor virtual.
    Solo ICA Cuando se establece en ON, implica el modo básico en el que el usuario puede iniciar sesión con la aplicación Citrix Workspace o con un explorador y obtener acceso a las aplicaciones publicadas configuradas en el entorno Citrix Virtual Apps and Desktops señalado por el parámetro Wihome. No se permite a los usuarios conectarse mediante el plug-in de Citrix Gateway y no se pueden configurar los análisis de punto final. El número de usuarios que pueden iniciar sesión y acceder a las aplicaciones no está limitado por la licencia en este modo. - Cuando se establece en OFF, implica el modo SmartAccess en el que el usuario puede iniciar sesión mediante la aplicación Citrix Workspace, un explorador o un complemento de Citrix Gateway. El administrador puede configurar análisis de punto final para que se ejecuten en los sistemas cliente y, a continuación, utilizar los resultados para controlar el acceso a las aplicaciones publicadas. En este modo, el cliente puede conectarse a la Gateway en otros modos de cliente, a saber, VPN y CVPN. El número de usuarios que pueden iniciar sesión y acceder a los recursos está limitado por las licencias de CCU en este modo.
    Habilitar autenticación Requerir autenticación para los usuarios que se conectan a Citrix Gateway.
    Doble salto Utilice el dispositivo Citrix Gateway en una configuración de doble salto. Una implementación de doble salto proporciona una capa adicional de seguridad para la red interna mediante el uso de tres firewalls para dividir la DMZ en dos etapas. Dicha implementación puede tener un dispositivo en la DMZ y un dispositivo en la red segura.
    Descarga de estado descendente Cierre las conexiones existentes cuando el servidor virtual está marcado como DOWN, lo que significa que es posible que el servidor haya agotado el tiempo de espera. La desconexión de las conexiones existentes libera recursos y, en algunos casos, acelera la recuperación de configuraciones de equilibrio de carga sobrecargadas. Habilite esta configuración en servidores en los que las conexiones se puedan cerrar de forma segura cuando estén marcadas hacia abajo. No habilite el vaciado del estado DOWN en servidores que deben completar sus transacciones.
    DTLS Esta opción inicia/detiene el servicio de giro en el servidor virtual
    Captura de registros de AppFlow Registre registros de AppFlow que contengan información estándar de NetFlow o IPFIX, como marcas de tiempo para el inicio y el final de un flujo, recuento de paquetes y recuento de bytes. También registra registros que contienen información de nivel de aplicación, como direcciones web HTTP, métodos de solicitud HTTP y códigos de estado de respuesta, tiempo de respuesta del servidor y latencia.
    Migración de sesión de proxy ICA Esta opción determina si se transfiere una sesión de proxy ICA existente cuando el usuario inicia sesión desde otro dispositivo.
    Estado El estado actual del servidor virtual, como UP, DOWN, BUSY, etc.
    Habilitar certificado de dispositivo Indica si la comprobación del certificado de dispositivo como parte de EPA está encendida o desactivada.

    Imagen localizada

  4. Seleccione la sección Sin certificado de servidor de la página.

    Imagen localizada

  5. Haga clic en > para seleccionar el certificado de servidor.

    Imagen localizada

  6. Seleccione el Certificado SSL y haga clic en el botón Seleccionar.

    Imagen localizada

  7. Haga clic en Vincular.

    Imagen localizada

  8. Si aparece una advertencia sobre No hay cifrados utilizables, haga clic en Aceptar

    Imagen localizada

  9. Haga clic en el botón Continuar.

    Imagen localizada

  10. En la sección Autenticación, haga clic en el icono + situado en la parte superior derecha.

    Imagen localizada

Crear servidor virtual de autenticación

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Servidores virtuales.

    Imagen localizada

  2. Haga clic en el botón Add.

    Imagen localizada

  3. Complete la siguiente configuración básica para crear el servidor virtual de autenticación.

    Nota: Los campos obligatorios se indican por * a la derecha del nombre de configuración.

    a) Introduzca el nombre del nuevo servidor virtual de autenticación.

    b) Introduzca el tipo de dirección IP. El tipo de dirección IP se puede configurar como no direccionable.

    c) Introduzca la dirección IP. La dirección IP puede ser cero.

    d) Introduzca el tipo de protocolo del servidor virtual de autenticación.

    e) Introduzca el puerto TCP en el que el servidor virtual acepta conexiones.

    f) Introduzca el dominio de la cookie de autenticación establecida por el servidor virtual de autenticación.

  4. Haga clic en Aceptar.

    Imagen localizada

  5. Haga clic en el certificado sin servidor.

    Imagen localizada

  6. Seleccione el certificado de servidor deseado de la lista.

    Imagen localizada

  7. Elija el certificado SSL deseado y haga clic en el botón Seleccionar.

    Nota: El servidor virtual de autenticación no necesita un certificado vinculado a él.

    Imagen localizada

  8. Configure el enlace de certificados de servidor.

    • Active la casilla Certificado de servidor para SNI para enlazar las claves de certificación utilizadas para el procesamiento de SNI.

    • Haga clic en el botón Vincular.

    Imagen localizada

Crear perfil CERT de autenticación

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas básicas -> CERT.

    Imagen localizada

  2. Seleccione la ficha Perfiles y, a continuación, seleccione Agregar.

    Imagen localizada

  3. Complete los siguientes campos para crear el perfil CERT de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    • Nombre: Nombre del perfil del servidor de autenticación del certificado del cliente (acción).

    • Dos factores: En este caso, la opción de autenticación de dos factores es NOOP.

    • Campo de nombre de usuario: Introduzca el campo cliente-cert del que se extrae el nombre de usuario. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

    • Campo de nombre de grupo: Introduzca el campo cliente-cert del que se extrae el grupo. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

    • Grupo de autenticación predeterminado: Este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.

  4. Haga clic en Crear.

    Imagen localizada

Crear una directiva de autenticación

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas avanzadas -> Directiva.

    Imagen localizada

  2. Seleccione el botón Agregar

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre: Introduzca el nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTICACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Introduzca el tipo de acción de autenticación.

    c) Acción: Introduzca el nombre de la acción de autenticación que se realizará si la directiva coincide.

    d) Acción de registro: Introduzca el nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    e) Expresión: Introduzca el nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

    f) Comentarios: Introduzca cualquier comentario para conservar la información sobre esta directiva.

  4. Haga clic en Crear

    Imagen localizada

Agregar un servidor de autenticación LDAP

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas básicas -> LDAP.

    Imagen localizada

  2. Agregue un servidor LDAP seleccionando la ficha Servidor y seleccionando el botón Agregar.

    Imagen localizada

Agregar una directiva de autenticación LDAP

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas avanzadas -> Directiva.

    Imagen localizada

  2. Haga clic en Agregar para agregar una directiva de autenticación.

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre: Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTICACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Tipo de la acción de autenticación.

    c) Acción: Nombre de la acción de autenticación que se realizará si la directiva coincide.

    d) Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    e) Expresión: Nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

    f) Comentarios: Cualquier comentario para conservar la información sobre esta directiva.

  4. Haga clic en Crear

    Imagen localizada

Agregar un servidor de autenticación RADIUS

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas básicas -> RADIUS.

    Imagen localizada

  2. Para agregar un servidor, seleccione la ficha Servidores y seleccione el botón Agregar.

    Imagen localizada

  3. Escriba lo siguiente para crear un servidor RADIUS de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Introduzca un nombre para la acción RADIUS.

    b) Introduzca el nombre del servidoro la dirección IP del servidor asignada al servidor RADIUS.

    c) Introduzca el número de puerto en el que el servidor RADIUS escucha las conexiones.

    d) Introduzca el valor de tiempo de espera en pocos segundos. Este es el valor que el dispositivo Citrix ADC espera una respuesta del servidor RADIUS.

    e) Introduzca la clave secreta que se comparte entre el servidor RADIUS y el dispositivo Citrix ADC. La clave secreta es necesaria para permitir que el dispositivo Citrix ADC se comunique con el servidor RADIUS.

    f) Confirme la clave secreta.

  4. Haga clic en Crear

    Imagen localizada

Agregar una directiva de autenticación RADIUS

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas avanzadas -> Directiva.

    Imagen localizada

  2. Haga clic en Agregar para crear una directiva de autenticación.

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre: Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTICACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Tipo de la acción de autenticación.

    c) Acción: Nombre de la acción de autenticación que se realizará si la directiva coincide.

    d) Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    e) Expresión: Nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

    f) Comentarios: Cualquier comentario para conservar la información sobre esta directiva.

  4. Haga clic en Aceptar.

    Imagen localizada

  5. Compruebe que la directiva de autenticación aparece en la lista.

    Imagen localizada

Crear un esquema de inicio de sesión de autenticación

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Esquema de inicio de sesión.

    Imagen localizada

  2. Seleccione la ficha Perfiles y haga clic en el botón Agregar.

    Imagen localizada

  3. Complete los siguientes campos para Crear esquema de inicio de sesión de autenticación:

    a) Introducir nombre: Este es el nombre del nuevo esquema de inicio de sesión.

    b) Introduzca el esquema de autenticación: Este es el nombre del archivo para leer el esquema de autenticación que se enviará para la interfaz de usuario de la página de inicio de sesión. Este archivo debe contener la definición xml de elementos según el protocolo de autenticación de formularios Citrix para poder representar el formulario de inicio de sesión. Si el administrador no quiere solicitar a los usuarios credenciales adicionales pero continuar con las credenciales obtenidas anteriormente, entonces “noschema” se puede dar como argumento. Tenga en cuenta que esto solo se aplica a loginSchemas que se utilizan con factores definidos por el usuario, y no al factor de servidor virtual

    c) Introduzca la expresión de usuario: Esta es la expresión para la extracción de nombre de usuario durante el inicio de sesión

    d) Introduzca la expresión de contraseña: Esta es la expresión para la extracción de contraseña durante el inicio de sesión

    e) Introduzca el índice de credenciales de usuario: Este es el índice en el que el usuario introdujo el nombre de usuario debe almacenarse en la sesión.

    f) Introduzca el índice de credenciales de contraseña: Este es el índice en el que el usuario introdujo la contraseña debe almacenarse en la sesión.

    g) Introduzca la fuerza de autenticación: Este es el peso de la autenticación actual.

  4. Haga clic en Crear

    Imagen localizada

    1. Compruebe que su perfil de esquema de inicio de sesión esté en la lista.

    Imagen localizada

Crear una etiqueta de directiva

Una etiqueta de directiva especifica las directivas de autenticación para un factor determinado. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar enlazada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para diferentes mecanismos de autenticación.

  1. Vaya a Seguridad -> Citrix ADC AAA: Tráfico de aplicaciones -> Directivas -> Autenticación -> Directivas avanzadas -> Etiqueta de directivas.

    Imagen localizada

  2. Haga clic en el botón Add.

    Imagen localizada

  3. Complete los siguientes campos para crear etiqueta de directiva de autenticación:

    a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    b) Introduzca el esquema de inicio de sesión asociado con la etiqueta de directiva de autenticación.

    c) Haga clic en Continuar.

    Imagen localizada

  4. Seleccione una directiva en el menú desplegable.

    Imagen localizada

  5. Elija la directiva de autenticación deseada y haga clic en el botón Seleccionar.

    Imagen localizada

  6. Complete los siguientes campos:

    a) Introduzca la prioridad del enlace de la directiva.

    b) Introduzca la expresión Goto: La expresión especifica la prioridad de la siguiente directiva que se evaluará si la regla de directiva actual se evalúa como TRUE.

    Imagen localizada

  7. Seleccione la directiva de autenticación deseada y haga clic en el botón Seleccionar.

    Imagen localizada

  8. Haga clic en el botón Vincular.

    Imagen localizada

  9. Haga clic en Listo.

    Imagen localizada

  10. Revise la etiqueta de directiva de autenticación.

    Imagen localizada

Configuración reCaptcha para autenticación nFactor

A partir de Citrix ADC versión 12.1 compilación 50.x, Citrix Gateway admite una nueva acción de primera clase ‘CaptchaAction’ que simplifica la configuración de Captcha. Como Captcha es una acción de primera clase, puede ser un factor propio. Puede inyectar Captcha en cualquier lugar del flujo nFactor.

Anteriormente, también tenía que escribir directivas WebAuth personalizadas con cambios en la interfaz de usuario RFWeb. Con la introducción de CaptchaAction, no es necesario modificar el JavaScript.

Importante

Si se utiliza Captcha junto con los campos de nombre de usuario o contraseña en el esquema, el botón de envío se inhabilita hasta que se cumpla Captcha.

Configuración de Captcha

La configuración Captcha consta de dos partes.

  1. Configuración en Google para registrar Captcha.
  2. Configuración en el dispositivo Citrix ADC para usar Captcha como parte del flujo de inicio de sesión.

Configuración de Captcha en Google

Registre un dominio para Captcha en https://www.google.com/recaptcha/admin#list.

  1. Cuando vaya a esta página, aparece la siguiente pantalla.

    Imagen localizada

    Nota

    Utilice reCAPTCHA v2 solamente. Invisible ReCAPTCHA todavía está en vista previa de tecnología.

  2. Después de registrar un dominio, se muestran “SiteKey” y “SecretKey”.

    Imagen localizada

    Nota

    Las “SiteKey” y “SecretKey” aparecen atenuadas por razones de seguridad. “Secret Key” debe mantenerse a salvo.

Configuración de Captcha en el dispositivo Citrix ADC

La configuración de Captcha en el dispositivo Citrix ADC se puede dividir en tres partes:

  • Mostrar pantalla Captcha
  • Publicar la respuesta de Captcha en el servidor de Google
  • La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

Mostrar pantalla Captcha

La personalización del formulario de inicio de sesión se realiza a través del esquema de inicio de sesión SingleAuthCaptcha.xml. Esta personalización se especifica en el servidor virtual de autenticación y se envía a la interfaz de usuario para representar el formulario de inicio de sesión. El esquema de inicio de sesión integrado, SingleAuthCaptcha.xml, se encuentra en el directorio /nsconfig/LoginSchema/LoginSchema del dispositivo Citrix ADC.

Importante

  • En función de su caso de uso y de diferentes esquemas, puede modificar el esquema existente. Por ejemplo, si necesita solo factor Captcha (sin nombre de usuario o contraseña) o autenticación doble con Captcha.
  • Si se realizan modificaciones personalizadas o se cambia el nombre del archivo, Citrix recomienda copiar todos los LoginSchemas del directorio /nsconfig/LoginSchema/LoginSchema al directorio principal, /nsconfig/loginschema.

Para configurar la visualización de Captcha mediante CLI

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Publicar la respuesta de Captcha en el servidor de Google

Después de haber configurado el Captcha que debe mostrarse a los usuarios, los administradores publican la configuración al servidor de Google para verificar la respuesta de Captcha desde el explorador.

Para verificar la respuesta de Captcha desde el explorador
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

Se requieren los siguientes comandos para configurar si se quiere la autenticación de AD. De lo contrario, puede ignorar este paso.

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

La autenticación LDAP ocurre después de Captcha, se agrega al segundo factor.

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

El administrador debe agregar servidores virtuales apropiados en función de si se utiliza el servidor virtual de equilibrio de carga o el dispositivo Citrix Gateway para el acceso. El administrador debe configurar el siguiente comando si se requiere un servidor virtual de equilibrio de carga:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`

nssp.aaatm.com: Resuelve el servidor virtual de autenticación.

Validación de usuario de Captcha

Una vez que haya configurado todos los pasos mencionados en las secciones anteriores, debe ver las capturas de pantalla de la interfaz de usuario que se muestran a continuación.

  1. Una vez que el servidor virtual de autenticación carga la página de inicio de sesión, se muestra la pantalla de inicio de sesión. Iniciar sesión está inhabilitado hasta que se complete Captcha.

    Imagen localizada

  2. Seleccione No soy una opción de robot. Se muestra el widget Captcha.

    Imagen localizada

  3. Se navega a través de una serie de imágenes Captcha, antes de que se muestre la página de finalización.
  4. Introduzca las credenciales de AD, active la casilla de verificación No soy un robot y haga clic en Iniciar sesión. Si la autenticación se realiza correctamente, se le redirigirá al recurso deseado.

    Imagen localizada

    Notas

    • Si se utiliza Captcha con autenticación de AD, el botón Enviar para credenciales se inhabilita hasta que se complete Captcha.
    • El Captcha ocurre en un factor propio. Por lo tanto, cualquier validación posterior como AD debe ocurrir en el ‘factor siguiente’ de Captcha.