Service d'authentification adaptative

Résoudre les problèmes d’authentification adaptative

September 13, 2023

Contributeur:

Les problèmes sont classés en fonction des différentes étapes de la configuration :

Vous pouvez également résoudre les problèmes à l’aide de l’interface de ligne de commande Adaptive Authentication. Pour vous connecter à l’interface de ligne de commande, procédez comme suit :

Téléchargez le client SSH comme putty/securecrt sur votre machine.
Accédez à l’instance Adaptive Authentication à l’aide de l’adresse IP de gestion (principale).
Connectez-vous avec vos informations d’identification.

Pour plus de détails, consultez la section Accès à une appliance NetScaler.

Activer la journalisation des journaux d’authentification adaptatifs

Assurez-vous d’activer les niveaux de journalisation pour capturer les journaux d’authentification adaptatifs.

Activer les journaux à l’aide de la ligne de commande :

Connectez-vous à la CLI de l’instance Adaptive Authentication.
À l’aide de PuTTY, entrez les informations de gestion.
Exécutez la commande set audit syslogParams logLevel ALL

Activer les journaux via l’interface graphique :

Connectez-vous à l’instance d’authentification adaptative à l’aide d’un navigateur.
Accédez à Configuration > Système > Audit.
Sur la page Audit, sous Paramètres, cliquez sur Modifier les paramètres du syslog d’audit.
Dans Log Levels, sélectionnez TOUT.

Problèmes de provisionnement

Impossible d’accéder à l’interface utilisateur d’authentification adaptative

Vérifiez si le droit est activé pour votre numéro de client/locataire.
Bloqué dans la page d’approvisionnement pendant plus de 45 minutes

Collectez la capture d’écran de l’erreur, le cas échéant, puis contactez le support Citrix pour obtenir de l’aide.
Le pair de réseau virtuel est en panne
- Vérifiez s’il existe des alertes dans le portail Azure correspondant à cet appairage et prenez les mesures recommandées.
- Supprimez l’appairage, ajoutez-le à nouveau depuis l’interface utilisateur d’authentification adaptative.
Le deprovisioning n’est pas terminé

Contactez l’assistance Citrix pour obtenir de l’aide.

Problème d’accessibilité des instances

L’adresse IP de gestion n’est pas accessible pour l’instance
- Vérifiez si l’adresse IP publique du client utilisée pour l’accès fait partie des adresses IP sources autorisées.
- Vérifiez s’il existe un proxy qui modifie l’adresse IP source du client.
Impossible de se connecter à l’instance

Assurez-vous que l’accès administrateur fonctionne correctement avec les informations d’identification que vous avez saisies lors du provisionnement.
Les utilisateurs finaux ne disposent pas de tous les droits

Lors de l’ajout de l’utilisateur, assurez-vous d’avoir lié la stratégie de commande appropriée pour l’accès. Pour plus d’informations, consultez la section Utilisateur, groupes d’utilisateurs et stratégies de commande.

Problème de connectivité AD ou RADIUS

Problème avec le type de connectivité d’appairage de réseau virtuel Azure :

Vérifiez si le réseau virtuel Azure géré par le client est accessible à partir des instances Adaptive Authentication.
Vérifiez si la connectivité/l’accessibilité entre le réseau virtuel Azure géré par le client et AD fonctionne.
Assurez-vous que des routes appropriées sont ajoutées pour diriger le trafic depuis les réseaux locaux vers les réseaux virtuels Azure.

Connecteur basé sur Windows :

Tous les journaux sont disponibles dans le répertoire /var/log/ns.log et chaque journal est préfixé par [NS_AAUTH_TUNNEL].
ConnectionId des journaux peut être utilisé pour corréler différentes transactions.
Assurez-vous que l’adresse IP privée de la machine virtuelle du connecteur est ajoutée en tant que client RADIUS dans le serveur RADIUS, car cette adresse IP est l’adresse IP source du connecteur.

Pour chaque demande d’authentification, le tunnel est établi entre l’instance d’authentification adaptative (processus NS - AAAD) et le serveur d’authentification. Une fois le tunnel établi avec succès, l’authentification a lieu.

Assurez-vous que la machine virtuelle du connecteur peut résoudre le nom de domaine complet de l’authentification adaptative.

Le connecteur est installé mais la connectivité sur site échoue.

Validez si NSAUTH-TUNNEL est en cours d’établissement

cat ns.log | grep -I “tunnel”

Si l’exemple de journal suivant n’est pas imprimé dans le fichier ns.log pour la demande d’authentification, il peut y avoir un problème lors de l’établissement d’un tunnel ou un problème du côté du connecteur.

 LDAP:
 [NS_AAUTH_TUNNEL] Entering bitpump for
 Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
 RADIUS:
 [NS_AAUTH_UDP_TUNNEL] MUX channel established"
 <!--NeedCopy-->

Vérifiez les détails du journal et prenez les mesures appropriées.

Détails du journal	Action corrective
Aucun journal avec préfixe `[NS_AAUTH_TUNNEL]` n’est inclus dans le fichier journal	Exécutez la commande `show cloudtunnel vserver`. Cette commande doit répertorier à la fois le serveur virtuel de tunnel cloud (TCP et UDP) avec l’état « UP ».
`[NS_AAUTH_TUNNEL] Waiting for outbound from connector` Pour ce journal, si la réponse suivante n’est pas reçue : `[NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded"`	Vérifiez si la machine du connecteur est en mesure d’accéder au nom de domaine complet de l’authentification adaptative OU vérifiez le pare-feu côté connecteur pour les connexions sortantes au nom de domaine complet de l’authentification adaptative.
`[NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0` et`[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out"`	Contactez le support Citrix.

Aucune réponse du connecteur :

Assurez-vous que le nom de domaine complet de l’authentification adaptative est accessible depuis la machine virtuelle du connecteur.
Assurez-vous que vous disposez d’un certificat intermédiaire lié et lié au certificat du serveur sur l’instance Adaptive Authentication.

Paramètres LDAP/RADIUS incorrects :

Si l’adresse IP de votre serveur AD/RADIUS est une adresse IP publique, vous devez ajouter le sous-réseau ou l’adresse IP qui adresse les expressions dans NetScaler. Ne modifiez pas les plages existantes.

Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface de ligne de commande :

 set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
 <!--NeedCopy-->

Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface graphique :
1. Accédez à AppExpert > Expressions.
2. Ajoutez l’expression aauth_allow_rfc1918_subnets.

Si le tunnel est établi mais que l’authentification échoue toujours, suivez les étapes suivantes pour résoudre le problème.

LDAP :

Validez les détails du DN de liaison.
Utilisez le test de connectivité pour confirmer l’erreur.
Validez les erreurs à l’aide du débogage aaad.
Connectez-vous à l’instance Adaptive Authentication à l’aide de la CLI.
```
 shell
 cd /tmp
 cat aaad.debug
 
```

Erreurs LDAP courantes :

Délai d’expiration du serveur : aucune réponse du connecteur pour la requête LDAP.
Autres erreurs LDAP, reportez-vous à la section https://support.citrix.com/article/CTX138663.

Rayon :

L’adresse IP du connecteur doit être ajoutée en tant qu’adresse IP source du client RADIUS dans la configuration du serveur RADIUS.

Problèmes d’authentification

Erreurs de post-assertion pour OAuth
- Assurez-vous que toutes les réclamations sont fournies par AD. Vous avez besoin de 7 demandes pour que cela aboutisse.
- Validez les journaux dans le fichier /var/log/ns.log pour localiser l’erreur liée aux échecs OAuth.
```
 cat /var/log/ns.log
 
```
- Validez les paramètres du profil OAuth.
Authentification Azure AD bloquée lors de la post-assertion

Ajoutez l’authentification AD comme facteur suivant avec l’authentification désactivée. Cela permet d’obtenir toutes les revendications requises pour une authentification réussie.

Questions liées à l’EPA

Le plug-in est déjà présent mais l’utilisateur est invité à le télécharger.

Causes possibles : discordance de version ou fichiers corrompus
- Exécutez les outils de développement et vérifiez si le fichier de liste des plug-ins contient la même version que celle de NetScaler et de votre machine cliente.
- Assurez-vous que la version du client sur NetScaler est la même que sur l’ordinateur client.
  
  Mettez à jour le client sur NetScaler.
  
  Sur l’instance Adaptive Authentication, accédez à NetScaler Gateway > Paramètres généraux > Mettre à jour les bibliothèques clientes.
  
  La page des bibliothèques de plug-ins EPA sur les téléchargements Citrix vous fournit des informations détaillées.
- Parfois, la demande peut être mise en cache sur NetScaler même si la version est mise à jour.
  
  show cache object affiche les détails du plug-in mis en cache. Vous pouvez le supprimer à l’aide de la commande ;
  
  flush cache object -locator 0x00000023345600000007
Pour plus de détails sur la collecte des journaux EPA, reportez-vous à https://support.citrix.com/article/CTX209148.
Existe-t-il un moyen de rétablir les paramètres EPA (Toujours, Oui, Non) une fois que l’utilisateur a sélectionné une option.

Actuellement, la restauration des paramètres EPA est effectuée manuellement.
- Sur la machine cliente, accédez à C:\Users <user_name>\ AppData \ Local \ Citrix \ AGEE.
- Ouvrez le fichier config.js et définissez TrustAlways sur null - "trustAlways":null

Problèmes liés aux balises d’accès intelligentes

Après avoir configuré Smart Access, les applications ne sont pas disponibles

Assurez-vous que les balises sont définies à la fois sur l’instance Adaptive Authentication et sur les groupes de mise à disposition Citrix VDA.

Vérifiez que les balises sont ajoutées au groupe de mise à disposition Workspace en majuscules.

Vous pouvez récupérer le fichier ns.log et contacter le support Citrix si cela ne fonctionne pas.

Collecte de journaux générale pour l’instance d’authentification adaptative

Offre groupée de support technique : pour plus de détails, consultez Comment collecter le pack de support technique auprès des appliances SDX et VPX pour une analyse approfondie.
Fichiers de trace. Pour plus de détails, consultez Comment enregistrer une trace de paquets sur NetScaler.

Contactez le support Citrix pour obtenir des conseils.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Résoudre les problèmes d’authentification adaptative

September 13, 2023

Contributeur:

September 13, 2023

Contributeur:

Dans cet article

Activer la journalisation des journaux d’authentification adaptatifs
Problèmes de provisionnement
Problème d’accessibilité des instances
Problème de connectivité AD ou RADIUS
Problèmes d’authentification
Questions liées à l’EPA
Problèmes liés aux balises d’accès intelligentes
Collecte de journaux générale pour l’instance d’authentification adaptative

Cela vous a-t-il été utile ?