Guía de PoC: nFactor para la autenticación de Citrix Gateway con certificado de dispositivo

Introducción

Los entornos de grandes empresas requieren opciones de autenticación flexibles para satisfacer las necesidades de varias personas de usuario. Con el Certificado de dispositivo, junto con las credenciales LDAP, las empresas obtienen autenticación multifactor “algo que tiene” y “algo que sabes”. Esto permite a los usuarios verificar sin problemas su identidad y acceder de forma segura a sus aplicaciones y datos.

Autenticación de

Información general

Esta guía muestra cómo implementar un entorno de prueba de concepto mediante la autenticación de dos factores con Citrix Gateway. Valida un Certificado de Dispositivo como primer factor mediante Endpoint Analysis (EPA). A continuación, utiliza las credenciales de dominio del usuario como segundo factor. Utiliza un escritorio virtual publicado por Citrix Virtual Apps and Desktops para validar la conectividad.

Se hacen suposiciones sobre la instalación y configuración completadas de los siguientes componentes:

  • Citrix ADC instalado y con licencia
  • Citrix Gateway configurado con un servidor virtual accesible externamente enlazado a un certificado comodín
  • Citrix Gateway integrado con un entorno Citrix Virtual Apps and Desktops que utiliza LDAP para la autenticación
  • Active Directory (AD) está disponible en el entorno con Microsoft Certificate Authority instalada
  • Un extremo de Windows 10 está unido a un dominio y tiene instalada la aplicación Citrix Workspace
  • El usuario de dispositivo de punto final debe tener derechos de administrador local o tener instalado el complemento Citrix Gateway

Consulte la documentación de Citrix para obtener la versión más reciente del producto, las licencias y los detalles de los requisitos: Certificado de dispositivo en nFactor como componente de la EPA

Configuración

Primero, iniciamos sesión en la CLI en nuestro Citrix ADC e ingresamos las acciones de autenticación y las directivas asociadas para EPA y LDAP respectivamente junto con el esquema de inicio de sesión. Luego iniciamos sesión en nuestra GUI para construir nuestro flujo nFactor en la herramienta de visualización y completar la configuración de autenticación multifactor.

Directivas de autenticación de EPA

A continuación, creamos la acción EPA para verificar el certificado del dispositivo y la directiva que lo hace referencia.

Acción 1 de la EPA - Authact_EPA_DCNF

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication epaAction authAct_EPA_dcnf -csecexpr "sys.client_expr(\"device-cert_0_0\")"

Directiva de EPA 1 - AuthPol_EPA_DCNF

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication Policy authPol_EPA_dcnf -rule true -action authAct_EPA_dcnf

Directivas de autenticación LDAP

Creamos las acciones LDAP y las directivas que las hacen referencia.

Para Acciones LDAP, rellene los campos necesarios para crear la acción LDAP en una cadena y pegarla en la CLI:

  • ldapAction: Introduzca el nombre de la acción.
  • serverIP: Introduzca el servidor de dominio/s FQDN o la dirección IP.
  • serverPort: Introduzca el puerto LDAP.
  • ldapBase: Introduzca la cadena de objetos de dominio y contenedores donde los usuarios pertinentes se almacenan en su directorio.
  • ldapBindDn: Introduzca la cuenta de servicio utilizada para consultar a los usuarios del dominio.
  • ldapBindDnPassword: Introduzca la contraseña de su cuenta de servicio.
  • ldapLoginName: Introduzca el tipo de objeto de usuario.
  • groupAttrName: Introduzca el nombre del atributo del grupo.
  • subAttributeName: Introduzca el nombre del subatributo.
  • secType - introduzca el tipo de seguridad.
  • ssoNameAttribute: Introduzca el atributo de nombre de inicio de sesión único.

Para las directivas LDAP, rellene los campos necesarios para hacer referencia a la Acción LDAP en una cadena y péguela en la CLI:

  • Policy: Introduzca el nombre de la directiva.
  • action - introduzca el nombre de la acción de correo electrónico que hemos creado anteriormente.

Para obtener más información, consulte Directivas de autenticación LDAP

  1. Primero conéctese a la CLI abriendo una sesión SSH a la dirección NSIP de Citrix ADC e inicie sesión como nsroot administrador o usuario administrador equivalente.

Acción LDAP 1 - Authact_LDAP_DCNF

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication ldapAction authAct_Ldap_dcnf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn wsadmin@workspaces.wwco.net -ldapBindDnPassword xyz123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2021_03_23_19_58 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

Directiva LDAP 1 - AuthPol_LDAP_DCNF

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication Policy authPol_LDAP_dcnf -rule true -action authAct_Ldap_dcnf

Esquema de Login

A continuación creamos esquemas de inicio de sesión utilizados con cada factor.

LSchema 1 - lSchema_epa_dcnf

El factor EPA no requiere un esquema de inicio de sesión.

LSchema 2 - lSchema_ldap_dcnf

Actualice los siguientes campos para su entorno y copie y pegue la cadena en la CLI: add authentication loginSchema ls_ldap_dcnf -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml"

Certificados

certificado de dominio

En este POC utilizamos un certificado comodín correspondiente a nuestro dominio de Active Directory y también corresponde al nombre de dominio completo que utilizamos para acceder al servidor virtual de puerta de enlace (gateway.workspaces.wwco.net)

  1. Inicie sesión en la GUI de Citrix ADC
  2. Vaya a Administración de Tráfico > SSL> Certificados > Todos los certificados para comprobar que tiene el certificado de dominio y las CA instalados y vinculados. Consulte Certificados SSL de Citrix ADC para obtener más información.

Certificado del dispositivo

Existen muchos sistemas y opciones para la administración de certificados de usuarios y dispositivos. En este POC utilizamos la entidad de certificación de Microsoft instalada en nuestro servidor de Active Directory. También tenemos nuestro dispositivo de punto final de Windows 10 unido al dominio.

  1. Desde el menú de inicio en nuestro dominio se unió a Windows 10 dispositivo de punto final entramos mmc, haga clic con el botón derecho y ejecute como administrador
  2. Seleccione Archivo > Agregar o quitar, seleccione Certificados, seleccione la flecha para moverlo al panel del complemento seleccionado, seleccione Cuenta de equipo, Siguiente, Equipo local, Finalizar y, haga clic en Aceptar
  3. Abra la carpeta Personal, haga clic con el botón derecho en la carpeta Certificados > Todas las tareas > Solicitar nuevo certificado de dispositivo certificado
  4. Haga clic en siguiente hasta que se le ofrezcan tipos de certificados, seleccione Equipo y haga clic en Inscribir, seguido de Finalizar
  5. Haga doble clic en el certificado que instaló, seleccione la ficha Ruta de certificación, seleccione la CA raíz en la parte superior y haga clic en Ver certificado. (Nota: Podemos exportar la CA desde el servidor de Active Directory, pero para el POC podemos eliminar los pasos haciéndolo aquí)
  6. En la ventana emergente seleccione la ficha Detalles, seleccione Copiar en archivo, haga clic en Siguiente, haga clic en Siguiente (para aceptar la codificación DER)
  7. Seleccione Examinar e introduzca un nombre de archivo, seleccione guardar, seleccione Siguiente y seleccione Finalizar para almacenar el archivo de certificado de CA. Certificado del dispositivo
  8. Ahora lo importaremos al ADC navegando a **Traffic Management > SSL> Certificados > Certificados de CA
  9. Hacemos clic en Instalar, introducimos el nombre DeviceCertificateCA, seleccionamos Elegir archivo, Local, y seleccionamos el archivo, Abrir y hacemos clic en Instalar certificado de dispositivo

Visualizador nFactor

  1. A continuación, vaya a Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Seleccione Agregar y seleccione el signo más en el cuadro Factor

Factor1_Epa_dcnf

  1. Entra Factor1_Epa_dcnf y selecciona crear
  2. En el mismo cuadro, seleccione Agregar directiva
  3. Seleccione la directiva de EPA authPol_EPA_dcnf
  4. Seleccione Agregar
  5. Seleccione el signo más verde junto a la authPol_EPA_dcnf directiva para crear otro factor

Factor2_Ldap_dcnf

  1. Introduzca Factor2_Ldap_dcnf
  2. Seleccione Crear
  3. En el mismo cuadro, seleccione Agregar esquema.
  4. Seleccione ls_ldap_dcnf
  5. En el mismo cuadro, seleccione Agregar directiva
  6. Seleccione authPol_LDAP_dcnf
  7. En Ir a expresión, seleccione END

Certificado del dispositivo

Servidor virtual de autenticación, autorización y auditoría de Citrix ADC (Citrix ADC AAA)

  1. A continuación, vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales y seleccione Agregar
  2. Introduzca los siguientes campos y haga clic en Aceptar:
    • Nombre: Un valor único. Entramos DC_AuthVserver
    • Tipo de dirección IP - Non Addressable
  3. Seleccione Sin certificado de servidor, seleccione el certificado de dominio, haga clic en Seleccionar, Enlazar y Continuar
  4. Seleccionar sin nFactor de flujo
  5. En Seleccionar nFactor de flujo, haga clic en la flecha derecha, seleccione el Factor1_Epa_dcnf flujo creado anteriormente
  6. Haga clic en Seleccionar, seguido de Vincular, seguido de Continuar certificado de dispositivo

Citrix Gateway: Servidor virtual

  1. A continuación, vaya a Citrix Gateway > Servidores virtuales
  2. Seleccione el servidor virtual existente que proporcione acceso proxy al entorno de Citrix Virtual Apps and Desktops
  3. Seleccione Modificar
  4. En Configuración básica, seleccione el icono de lápiz que quiere modificar y, a continuación, seleccione más en la parte inferior
  5. En la parte inferior derecha, en Device Cert CA, seleccione Add y haga clic en el signo más (+) junto a DeviceCertificateC seguido de OK Device Certificate.
  6. Ahora, en Certificado, seleccione Certificado de CA, Agregar enlace, seleccione la flecha derecha en Seleccionar certificado de CA y seleccione DeviceCertificateCA seguido de Vincular y cerrar certificado de dispositivo
  7. Si actualmente tiene una directiva LDAP enlazada, navegue bajo Autenticación básica - Autenticación primaria, seleccione Directiva LDAP. A continuación, compruebe la directiva, seleccione Desenlazar, seleccione Sí para confirmar y seleccione Cerrar
  8. En el menú Configuración avanzada de la derecha seleccione Perfil de autenticación
  9. Seleccione Agregar
  10. Escriba un nombre. Entramos DC_AuthProfile
  11. En Servidor virtual Autenticación, haga clic en la flecha derecha y seleccione el servidor virtual Citrix ADC AAA que hemos creado DC_AuthVserver
  12. Haga clic en Seleccionar y Crear
  13. Haga clic en Aceptar y compruebe que el servidor virtual ahora tiene un perfil de autenticación seleccionado mientras se ha eliminado la directiva de autenticación básica .
  14. Haga clic en Listo

Verificación de punto final de usuario

Probamos la autenticación mediante la autenticación en nuestro entorno Citrix Virtual Apps and Desktops.

  1. Abra un explorador y navegue hasta el FQDN de dominio administrado por Citrix Gateway. Usamos https://gateway.workspaces.wwco.net
  2. Seleccione Descargar si el complemento EPA no se ha instalado.
  3. De lo contrario, seleccione Sí cuando el complemento EPA le pida que analice (también puede seleccionar Siempre para escanear automáticamente). A partir de entonces, analiza en busca de certificados de dispositivo. Certificado del dispositivo
  4. Si tiene varios certificados de dispositivo, le pedirá que seleccione el adecuado para autenticarse con, de lo contrario, se presentará un mensaje de inicio de sesión.
  5. Introduzca el nombre de usuario y la contraseña del dominio. Certificado del dispositivo
  6. Seleccione el escritorio virtual de los recursos disponibles en su espacio de trabajo y compruebe que se ha iniciado correctamente. Certificado del dispositivo

Resumen

Con Citrix Workspace y Citrix Gateway, las empresas pueden mejorar su postura de seguridad implementando la autenticación multifactor sin complicar la experiencia del usuario. Los certificados de dispositivos permiten a las empresas agregar sin problemas un segundo factor de autenticación a las credenciales de usuario, manteniendo una buena experiencia de usuario y mejorando la postura de seguridad.

Referencias

Para obtener más información, consulte:

Cómo configurar el certificado de dispositivo en Citrix Gateway para la autenticación : aprenda a implementar un respondedor OSCP para verificar el estado de revocación de certificados.

Descripción y configuración del registro detallado de la EPA en NetScaler Gateway : verifique que nsepa.txt en el punto final registre la CA correcta en la lista que se descarga. “Netscaler ha enviado una lista de CA permitida para el certificado de dispositivo. “ Si no comprueba que importó y enlazó el correcto, que emitió el certificado de dispositivo, al servidor virtual de puerta de enlace.

Comandos de Citrix ADC to Find the Policy Hits for Citrix Gateway Session Policies: Obtenga más información sobre los comandos de CLI, como nsconmsg -d current -g _hits realizar un seguimiento de directivas hits para ayudar a solucionar problemas.

Guía de PoC: nFactor para la autenticación de Citrix Gateway con certificado de dispositivo