nFactor para la autenticación de puerta de enlace

Introducción

La autenticación nFactor permite un conjunto completamente nuevo de posibilidades con respecto a la autenticación. Los administradores que utilizan nFactor disfrutan de la flexibilidad de autenticación, autorización y auditoría (AAA) al configurar factores de autenticación para servidores virtuales.

Dos bancos de políticas o dos factores ya no restringen a un administrador. El número de bancos de políticas puede ampliarse para adaptarse a las diferentes necesidades. En función de factores anteriores, nFactor determina un método de autenticación. Los formularios de inicio de sesión dinámicos y las acciones en caso de fallo son posibles mediante el uso de nFactor.

Nota: nFactor no es compatible con Citrix ADC Standard Edition. Es compatible con Citrix ADC Enterprise Edition y Citrix ADC Platinum Edition.

Casos de uso

La autenticación nFactor permite flujos de autenticación dinámicos basados en el perfil de usuario. En algunos casos, estos pueden ser flujos simples para ser intuitivos para el usuario. En otros casos, podrían combinarse con la seguridad de Active Directory u otros servidores de autenticación. A continuación se indican algunos requisitos específicos de Gateway:

  1. Selección dinámica de nombre de usuario y contraseña. Tradicionalmente, los clientes Citrix (incluidos los navegadores y los receptores) utilizan la contraseña de Active Directory (AD) como primer campo de contraseña. La segunda contraseña generalmente se reserva para la contraseña de un solo tiempo (OTP). Sin embargo, para proteger los servidores de AD, es necesario validar primero OTP. nFactor puede hacerlo sin necesidad de modificaciones del cliente.

  2. Punto final de autenticación multiinquilino. Algunas organizaciones utilizan servidores de puerta de enlace diferentes para usuarios de certificados y no certificados. Dado que los usuarios utilizan sus propios dispositivos para iniciar sesión, los niveles de acceso de los usuarios varían según el ADC de Citrix en función del dispositivo que se esté utilizando. Gateway puede satisfacer diferentes necesidades de autenticación.

  3. Autenticación basada en la pertenencia al grupo. Algunas organizaciones obtienen propiedades de usuario de los servidores de AD para determinar los requisitos de autenticación. Los requisitos de autenticación pueden variar para los usuarios individuales.

  4. Cofactores de autenticación. En algunos casos, se utilizan diferentes pares de directivas de autenticación para autenticar diferentes conjuntos de usuarios. Proporcionar políticas de pares aumenta la autenticación efectiva. Las políticas dependientes se pueden hacer a partir de un flujo. De esta manera, conjuntos de políticas independientes se convierten en flujos propios que aumentan la eficiencia y reducen la complejidad.

Gestión de respuestas de autenticación

Los registros de devolución de llamada de Citrix Gateway manejan las respuestas de autenticación. Las respuestas AAAD (demonio de autenticación) y los códigos de éxito/fallo/error/diálogo se alimentan al identificador de devolución de llamada. Los códigos de éxito/fallio/error/diálogo dirigen a Gateway para que tome la acción adecuada.

Soporte para clientes

En la siguiente tabla se detallan los detalles de configuración.

Cliente Soporte nFactor Punto de enlace de directiva de autenticación EPA
Navegadores Auth
Receiver Citrix No VPN N
Conexión de puerta de enlace No VPN

Configuración de la línea de comandos

El servidor virtual Gateway necesita un servidor virtual de autenticación denominado como atributo. Esta es la única configuración necesaria para este modelo.

<name-of-auth-vserver»add authnProfile <name-of-profile> -authnvsName

AuthNVSName es el nombre del servidor virtual de autenticación. Este servidor virtual se debe configurar con directivas de autenticación avanzadas y se utiliza para la autenticación nFactor.

<name-of-profile»add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile

<name-of-profile»establecer vpn vserver <name> -authnProfile

Donde AuthnProfile es el perfil de autenticación creado anteriormente.

Desafíos de interoperabilidad

La mayoría de los clientes Legacy Gateway, así como los clientes RFWeb, se modelan según las respuestas enviadas por Gateway. Por ejemplo, se espera una respuesta 302 a /vpn/index.html para muchos clientes. Además, estos clientes dependen de varias cookies de Gateway como “pwcount”, “NSC_CERT”, etc.

Análisis de punto final (EPA)

Dado que el subsistema AAA no admite EPA para nFactor; sin embargo, el servidor virtual Gateway realiza EPA. Después de EPA, las credenciales de inicio de sesión se envían al servidor virtual de autenticación utilizando la API antes mencionada. Una vez completada la autenticación, Gateway continúa con el proceso posterior a la autenticación y establece la sesión del usuario.

Consideraciones de configuración incorrecta

El cliente Gateway envía las credenciales de usuario solo una vez. Gateway obtiene una o dos credenciales del cliente con la solicitud de inicio de sesión. En el modo heredado, hay un máximo de dos factores. La (s) contraseña (s) obtenida (s) se utilizan para estos factores. Sin embargo, con nFactor el número de factores que podrían configurarse es prácticamente ilimitado. Las contraseñas obtenidas del cliente Gateway se reutilizan (según la configuración) para los factores configurados. Se debe tener cuidado para que la contraseña de una sola vez (OTP) no se reutilice varias veces. Del mismo modo, el administrador debe asegurarse de que la contraseña reutilizada en un factor sea efectivamente aplicable a ese factor.

Definición de clientes Citrix

La opción de configuración se proporciona para ayudar a Citrix ADC a determinar clientes de explorador frente a clientes gruesos como Receiver.

Se proporciona un conjunto de patrones, ns_vpn_client_useragents, para que el administrador pueda configurar patrones para todos los clientes Citrix.

Del mismo modo, enlazar la cadena “Citrix Receiver” al conjunto de parches anterior para ignorar todos los clientes Citrix que tienen “Citrix Receiver” en el User-Agent.

Restringir nFactor para Gateway

nfactor para la autenticación de puerta de enlace no ocurrirá si se presentan las siguientes condiciones.

  1. AuthnProfile no está configurado en Citrix Gateway.

  2. Las directivas de autenticación avanzadas no están enlazadas a authentication vserver y el mismo vserver de autenticación se menciona en AuthnProfile.

  3. La cadena User-Agent en la solicitud HTTP coincide con los User-Agents configurados en patset ns_vpn_client_useragents.

Si no se cumplen estas condiciones, se utiliza la directiva de autenticación clásica vinculada a Gateway.

Si un User-Agent, o parte de él está vinculado al conjunto de parches antes mencionado, las solicitudes procedentes de esos agentes de usuario no participan en el flujo nFactor. Por ejemplo, el siguiente comando restringe la configuración de todos los navegadores (suponiendo que todos los navegadores contengan “Mozilla” en la cadena user-agent):

bind conjunto de patset ns_vpn_client_useragents Mozilla

Esquema de inicio de sesión

LoginSchema es una representación lógica del formulario de inicio de sesión. El lenguaje XML lo define. La sintaxis de LoginSchema se ajusta a la especificación Common Forms Protocol de Citrix.

LoginSchema define la “vista” del producto. Un administrador puede proporcionar una descripción personalizada, texto de ayuda, etc. del formulario. Esto incluye las etiquetas del formulario en sí. Un cliente puede proporcionar un mensaje de éxito/fallo que describa el formulario presentado en un momento determinado.

Se requiere conocimiento de LoginSchema y nFactor

Los archivos de inicio de sesión predefinidos se encuentran en la siguiente ubicación de Citrix ADC /NSconfig/LoginSchema/LoginSchema/LoginSchema/. Estos archivos de LoginSchema precompilados se adaptan a casos de uso comunes, y se pueden modificar para pequeñas variaciones si es necesario.

Además, la mayoría de los casos de uso de factor único con pocas personalizaciones no necesitan configuración de LoginSchema (s).

Se recomienda al administrador que compruebe la documentación para obtener opciones de configuración adicionales que permitan a Citrix ADC descubrir los factores. Una vez que el usuario envía las credenciales, el administrador puede configurar más de un factor para elegir y procesar de forma flexible los factores de autenticación.

Configuración de la autenticación de doble factor sin usar LoginSchema

Citrix ADC determina automáticamente los requisitos de doble factor en función de la configuración. Una vez que el usuario presenta estas credenciales, el administrador puede configurar el primer conjunto de directivas en el servidor virtual. Contra cada política podría haber un “NextFactor” configurado como un “passthrough”. Un “paso a través” implica que Citrix ADC debe procesar el inicio de sesión utilizando el conjunto de credenciales existente sin ir al usuario. Mediante el uso de factores de “paso a través”, un administrador puede dirigir mediante programación el flujo de autenticación. Se recomienda a los administradores que lean la especificación nFactor o las guías de implementación para obtener más detalles. Por favor, vea Autenticación multifactor (nFactor).

Nombre de usuario Expresiones de Contraseña

Para procesar las credenciales de inicio de sesión, el administrador debe configurar LoginSchema. Los casos de uso de factor único o factor doble con pocas personalizaciones de LoginSchema no necesitan una definición XML especificada. LoginSchema tiene otras propiedades como UserExpression y PasswdExpression que se pueden utilizar para alterar el nombre de usuario/contraseña que el usuario presenta. Estas son expresiones de política avanzadas y también se pueden usar para anular la entrada del usuario.

Pasos de alto nivel en la configuración de nfactor

El siguiente diagrama ilustra los pasos de alto nivel involucrados en la configuración de nfactor.

nfactor-flujo de trabajo

Configuración de GUI

En esta sección se describen los siguientes temas:

  • Crear un servidor virtual

  • Crear servidor virtual de autenticación

  • Crear perfil CERT de autenticación

  • Crear una directiva de autenticación

  • Agregar un servidor de autenticación LDAP

  • Agregar una directiva de autenticación LDAP

  • Agregar un servidor de autenticación Radius

  • Agregar una directiva de autenticación de radio

  • Crear un esquema de inicio de sesión de autenticación

  • Crear una etiqueta de directiva

Crear un servidor virtual

  1. Vaya a Citrix Gateway -> Servidores virtuales.

    Imagen localizada

  2. Haga clic en el botón Agregar para crear un servidor virtual de equilibrio de carga.

    Imagen localizada

  3. Introduzca la siguiente información.

    Nombre del parámetro Descripción del parámetro
    Introduzca el nombre del servidor virtual. Nombre del servidor virtual de Citrix Gateway. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). Se puede cambiar después de crear el servidor virtual. El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).
    Introduzca el tipo de dirección IP para el servidor virtual Seleccione una opción Dirección IP o No direccionable en el menú desplegable.
    Introduzca la dirección IP del servidor virtual. Una dirección de protocolo de Internet (dirección IP) es una etiqueta numérica asignada a cada dispositivo que participa en la red informática que utiliza el protocolo de Internet para la comunicación.
    Introduzca el número de puerto para el servidor virtual. Introduzca el número de puerto.
    Introduzca el perfil de autenticación. Entidad de perfil de autenticación en el servidor virtual. Esta entidad se puede utilizar para descargar la autenticación a AAA vserver para la autenticación multifactor (nFactor)
    Introduzca el perfil del servidor RDP. Nombre del perfil del servidor RDP asociado al servidor vserver.
    Introduzca el número máximo de usuarios. Número máximo de sesiones de usuario simultáneas permitidas en este servidor virtual. El número real de usuarios que pueden iniciar sesión en este servidor virtual depende del número total de licencias de usuario.
    Introduzca el número máximo de intentos de inicio de sesión. Número máximo de intentos de inicio de sesión.
    Introduzca el tiempo de espera de inicio de sesión fallido. Número de minutos que se bloqueará una cuenta si el usuario supera los intentos máximos permitidos.
    Introduzca la actualización del complemento de la EPA de Windows. Opción para establecer el comportamiento de actualización del plugin para Win.
    Introduzca la Actualización del Plugin de la EPA de Linux. Opción para establecer el comportamiento de actualización de complementos para Linux.
    Introduzca la actualización del complemento de MAC EPA Opción para establecer el comportamiento de actualización de complementos para Mac.
    Iniciar sesión una vez Esta opción activa/inhabilita el inicio de sesión sencillo para este servidor virtual.
    Solo ICA Cuando se establece en ON, implica el modo básico en el que el usuario puede iniciar sesión con Citrix Receiver o un navegador y obtener acceso a las aplicaciones publicadas configuradas en el entorno Citrix Virtual Appand Desktop señalado por el parámetro Wihome. No se permite a los usuarios conectarse mediante el plug-in de Citrix Gateway y no se pueden configurar los análisis de punto final. El número de usuarios que pueden iniciar sesión y acceder a las aplicaciones no está limitado por la licencia en este modo. - Cuando se establece en OFF, implica el modo Smart Access en el que el usuario puede iniciar sesión con Citrix Receiver, un navegador o un plug-in de Citrix Gateway. El administrador puede configurar análisis de punto final para que se ejecuten en los sistemas cliente y, a continuación, utilizar los resultados para controlar el acceso a las aplicaciones publicadas. En este modo, el cliente puede conectarse a la puerta de enlace en otros modos de cliente, a saber, VPN y CVPN. El número de usuarios que pueden iniciar sesión y acceder a los recursos está limitado por las licencias de CCU en este modo.
    Habilitar autenticación Requerir autenticación para los usuarios que se conectan a Citrix Gateway.
    Doble salto Utilice el dispositivo Citrix Gateway en una configuración de doble salto. Una implementación de doble salto proporciona una capa adicional de seguridad para la red interna mediante el uso de tres firewalls para dividir la DMZ en dos etapas. Dicha implementación puede tener un dispositivo en la DMZ y un dispositivo en la red segura.
    Descarga de estado descendente Cierre las conexiones existentes cuando el servidor virtual está marcado como DOWN, lo que significa que es posible que el servidor haya agotado el tiempo de espera. La desconexión de las conexiones existentes libera recursos y, en algunos casos, acelera la recuperación de configuraciones de equilibrio de carga sobrecargadas. Habilite esta configuración en servidores en los que las conexiones se puedan cerrar de forma segura cuando estén marcadas hacia abajo. No habilite el vaciado del estado DOWN en servidores que deben completar sus transacciones.
    DTLS Esta opción inicia/detiene el servicio de giro en el servidor vserver
    Registro de AppFlow Registre registros de AppFlow que contengan información estándar de NetFlow o IPFIX, como marcas de tiempo para el inicio y el final de un flujo, recuento de paquetes y recuento de bytes. También registra registros que contienen información de nivel de aplicación, como direcciones web HTTP, métodos de solicitud HTTP y códigos de estado de respuesta, tiempo de respuesta del servidor y latencia.
    Migración de sesión de proxy ICA Esta opción determina si se transfiere una sesión de proxy ICA existente cuando el usuario inicia sesión desde otro dispositivo.
    Estado El estado actual del servidor virtual, como UP, DOWN, BACY, etc.
    Habilitar certificado de dispositivo Indica si la comprobación del certificado de dispositivo como parte de EPA está encendida o desactivada.

    Imagen localizada

  4. Seleccione la sección Sin certificado de servidor de la página.

    Imagen localizada

  5. Haga clic en > para seleccionar el certificado de servidor.

    Imagen localizada

  6. Seleccione el Certificado SSL y haga clic en el botón Seleccionar.

    Imagen localizada

  7. Haga clic en Bind.

    Imagen localizada

  8. Si aparece una advertencia sobre No hay cifrados utilizables, haga clic en Aceptar

    Imagen localizada

  9. Haga clic en el botón Continuar.

    Imagen localizada

  10. En la sección Autenticación, haga clic en el icono + situado en la parte superior derecha.

    Imagen localizada

Crear servidor virtual de autenticación

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Servidores virtuales.

    Imagen localizada

  2. Haga clic en el botón Agregar.

    Imagen localizada

  3. Complete la siguiente configuración básica para crear el servidor virtual de autenticación.

    Nota: Los campos obligatorios se indican con un ***** a la derecha del nombre de configuración.

    a) Introduzca el nombre del nuevo servidor virtual de autenticación.

    b) Introduzca el tipo de dirección IP. El tipo de dirección IP se puede configurar como no direccionable.

    c) Introduzca la dirección IP. La dirección IP puede ser cero.

    d) Introduzca el tipo de protocolo del servidor virtual de autenticación.

    e) Introduzca el puerto TCP en el que el servidor virtual acepta conexiones.

    f) Introduzca el dominio de la cookie de autenticación establecida por el servidor virtual de autenticación.

  4. Haga clic en Aceptar.

    Imagen localizada

  5. Haga clic en el certificado sin servidor.

    Imagen localizada

  6. Seleccione el certificado de servidor deseado en la lista desplegable.

    Imagen localizada

  7. Elija el certificado SSL deseado y haga clic en el botón Seleccionar.

    Nota: El servidor virtual de autenticación no necesita un certificado vinculado a él.

    Imagen localizada

  8. Configure el enlace de certificados de servidor.

    • Active la casilla Certificado de servidor para SNI para enlazar las claves de certificación utilizadas para el procesamiento de SNI.

    • Haga clic en el botón Vincular.

    Imagen localizada

Crear perfil CERT de autenticación

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas básicas -> CERT.

    Imagen localizada

  2. Seleccione la ficha Perfiles y, a continuación, seleccione Agregar.

    Imagen localizada

  3. Complete los siguientes campos para crear el perfil CERT de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    • Nombre: Nombre del perfil del servidor de autenticación del certificado del cliente (acción).

    • Dos factores: En este caso, la opción de dos factores es NOOP.

    • Campo de nombre de usuario: Introduzca el campo cliente-cert del que se extrae el nombre de usuario. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

    • Campo de nombre de grupo: Introduzca el campo cliente-cert del que se extrae el grupo. Debe establecerse como “Subject” o “” Emisor “” (incluya ambos conjuntos de comillas dobles).

    • Grupo de autenticación predeterminado: Este es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente, además de los grupos extraídos.

  4. Haga clic en Crear.

    Imagen localizada

Crear una directiva de autenticación

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas avanzadas -> Política

    Imagen localizada

  2. Seleccione el botón Agregar

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre: Introduzca el nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTITIENACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Introduzca el tipo de acción de autenticación.

    c) Acción: Introduzca el nombre de la acción de autenticación que se realizará si la política coincide.

    d) Acción de registro: Introduzca el nombre de la acción de messagelog para usar cuando una solicitud coincida con esta política.

    e) Expresión: Introduzca el nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHECTIANY.

    f) Comentarios: Introduzca cualquier comentario para conservar la información sobre esta política.

  4. Haga clic en Crear

    Imagen localizada

Agregar un servidor de autenticación LDAP

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas básicas -> LDAP.

    Imagen localizada

  2. Agregue un servidor LDAP seleccionando la ficha Servidor y seleccionando el botón Agregar.

    Imagen localizada

Agregar una directiva de autenticación LDAP

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas avanzadas -> Política.

    Imagen localizada

  2. Haga clic en Agregar para agregar una directiva de autenticación.

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre - Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTITIENACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción - Tipo de la acción de autenticación.

    c) Acción - Nombre de la acción de autenticación que se realizará si la política coincide.

    d) Acción de registro - Nombre de la acción de messagelog para usar cuando una solicitud coincide con esta política.

    e) Expresión: Nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTIZACIÓN.

    f) Comentarios - Cualquier comentario para conservar la información sobre esta política.

  4. Haga clic en Crear

    Imagen localizada

Agregar un servidor de autenticación Radius

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas básicas -> RADIUS.

    Imagen localizada

  2. Para agregar un servidor, seleccione la ficha Servidores y seleccione el botón Agregar.

    Imagen localizada

  3. Escriba lo siguiente para crear un servidor RADIUS de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Introduzca un nombre para la acción de radio.

    b) Introduzca el nombre del servidoro la dirección IP del servidor asignada al servidor RADIUS.

    c) Introduzca el número de puerto en el que el servidor RADIUS escucha las conexiones.

    d) Introduzca el valor de tiempo de espera en un número de segundos. Este es el valor que el dispositivo Citrix ADC espera una respuesta del servidor RADIUS.

    e) Introduzca la clave secreta que se comparte entre el servidor RADIUS y el dispositivo Citrix ADC. La clave secreta es necesaria para permitir que el dispositivo Citrix ADC se comunique con el servidor RADIUS.

    f) Confirme la clave secreta.

  4. Haga clic en Crear

    Imagen localizada

Agregar una directiva de autenticación de radio

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas avanzadas -> Política.

    Imagen localizada

  2. Haga clic en Agregar para crear una directiva de autenticación.

    Imagen localizada

  3. Complete la siguiente información para Crear directiva de autenticación. Los campos obligatorios se indican con un * a la derecha del nombre de configuración.

    a) Nombre - Nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de subrayado (_) y debe contener solo letras, números y el guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y caracteres de subrayado. No se puede cambiar después de crear la directiva AUTENTITIENACIÓN.

    El siguiente requisito solo se aplica a la CLI de Citrix ADC: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción - Tipo de la acción de autenticación.

    c) Acción - Nombre de la acción de autenticación que se realizará si la política coincide.

    d) Acción de registro - Nombre de la acción de messagelog para usar cuando una solicitud coincide con esta política.

    e) Expresión: Nombre de la regla con nombre de Citrix ADC, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTIZACIÓN.

    f) Comentarios - Cualquier comentario para conservar la información sobre esta política.

  4. Haga clic en Aceptar

    Imagen localizada

  5. Compruebe que la directiva de autenticación aparece en la lista.

    Imagen localizada

Crear un esquema de inicio de sesión de autenticación

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Esquema de inicio de sesión.

    Imagen localizada

  2. Seleccione la ficha Perfiles y haga clic en el botón Agregar.

    Imagen localizada

  3. Complete los siguientes campos para Crear esquema de inicio de sesión de autenticación:

    a) Introducir nombre — este es el nombre del nuevo esquema de inicio de sesión.

    b) Introduzca el esquema de autenticación: Este es el nombre del archivo para leer el esquema de autenticación que se enviará para la interfaz de usuario de la página de inicio de sesión. Este archivo debe contener la definición xml de elementos según el protocolo de autenticación de formularios Citrix para poder representar el formulario de inicio de sesión. Si el administrador no desea solicitar a los usuarios credenciales adicionales pero continuar con las credenciales obtenidas anteriormente, entonces “noschema” se puede dar como argumento. Tenga en cuenta que esto solo se aplica a loginSchemas que se utilizan con factores definidos por el usuario, y no al factor de servidor virtual

    c) Introduzca la expresión de usuario: Esta es la expresión para la extracción de nombre de usuario durante el inicio de sesión

    d) Introduzca la expresión de contraseña: Esta es la expresión para la extracción de contraseña durante el inicio de sesión

    e) Introduzca el índice de credenciales de usuario: Este es el índice en el que el usuario ingresó el nombre de usuario debe almacenarse en la sesión.

    f) Introduzca el índice de credenciales de contraseña: Este es el índice en el que el usuario ingresó la contraseña debe almacenarse en la sesión.

    g) Introduzca la fuerza de autenticación: Este es el peso de la autenticación actual.

  4. Haga clic en Crear

    Imagen localizada

    1. Compruebe que su perfil de esquema de inicio de sesión esté en la lista.

    Imagen localizada

Crear una etiqueta de directiva

Una etiqueta de directiva especifica las directivas de autenticación para un factor determinado. Cada etiqueta de política corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar enlazada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para diferentes mecanismos de autenticación.

  1. Vaya a Seguridad -> AAA — Tráfico de aplicaciones -> Directivas -> Autenticación -> Políticas avanzadas -> Etiqueta de política.

    Imagen localizada

  2. Haga clic en el botón Agregar.

    Imagen localizada

  3. Complete los siguientes campos para crear etiqueta de directiva de autenticación:

    a) Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    b) Introduzca el esquema de inicio de sesión asociado con la etiqueta de directiva de autenticación.

    c) Haga clic en Continuar.

    Imagen localizada

  4. Seleccione una directiva en el menú desplegable.

    Imagen localizada

  5. Elija la directiva de autenticación deseada y haga clic en el botón Seleccionar.

    Imagen localizada

  6. Complete los siguientes campos:

    a) Introduzca la prioridad del enlace de la política.

    b) Introduzca la expresión Goto: La expresión especifica la prioridad de la siguiente política que se evaluará si la regla de política actual se evalúa como TRUE.

    Imagen localizada

  7. Seleccione la directiva de autenticación deseada y haga clic en el botón Seleccionar.

    Imagen localizada

  8. Haga clic en el botón Vincular.

    Imagen localizada

  9. Haga clic en Done.

    Imagen localizada

  10. Revise la etiqueta de directiva de autenticación.

    Imagen localizada