Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor
Sur Citrix Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et permettre ainsi à l’utilisateur d’accéder aux ressources internes. Le plug-in Endpoint Analysis télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs se connectent pour la première fois à Citrix Gateway. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur, l’utilisateur ne peut pas ouvrir de session avec le plug-in Citrix Gateway.
Pour comprendre les concepts EPA dans nFactor, reportez-vous à la section Concepts et entités utilisés pour EPA dans nFactor Authentication Through NetScaler.
Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifactorielle, suivie de la connexion et de l’analyse EPA comme vérification finale.
L’utilisateur se connecte à l’adresse IP virtuelle Citrix Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur est rendu la page de connexion avec les champs nom d’utilisateur et mot de passe pour l’authentification basée sur LDAP ou AD (Active Directory). En fonction du succès des informations d’identification de l’utilisateur, l’utilisateur est redirigé vers le prochain facteur EPA.
Étapes de haut niveau impliquées dans cette configuration
-
Si l’analyse réussit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.
-
La méthode d’authentification suivante (LDAP) est choisie.
-
En fonction du résultat de l’authentification, l’utilisateur est présenté avec l’ensemble d’analyse suivant.
Conditions préalables
Il est supposé que la configuration suivante est en place.
- Configurations de serveurs virtuels d’authentification et de passerelles/serveurs virtuels VPN
- Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et mis en quarantaine) et stratégies associées
- Configurations de serveur LDAP et stratégies associées
Configuration à l’aide de l’interface de ligne de commande
-
Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.
add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")" <!--NeedCopy-->L’expression précédente analyse si le processus Firefox est en cours d’exécution sur la machine cliente.
add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan <!--NeedCopy--> -
Configurez l’étiquette de stratégie post-epa-scan qui héberge la stratégie pour l’analyse EPA.
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->Remarque : LSCHEMA_INT est un schéma intégré sans schéma (noschema), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.
-
Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.
bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->END indique la fin du mécanisme d’authentification.
-
Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.
add authentication Policy ldap-auth -rule true -action ldap_server1 ldap_server1 is LDAP policy and ldap-auth is policy name <!--NeedCopy--> -
Configurez l’étiquette de stratégie ldap-factor, avec le schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml <!--NeedCopy-->Remarque : Remplacer par le schéma dont vous avez besoin, au cas où vous ne souhaitez pas utiliser dans le schéma intégré LoginsChema/SingleAuth.xml
-
Associez la stratégie configurée à l’étape 4 à l’étiquette de stratégie configurée à l’étape 5.
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan <!--NeedCopy-->END indique la fin du mécanisme d’authentification pour cette jambe et NextFactor indique le facteur suivant après l’authentification.
-
Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.
add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group <!--NeedCopy-->Ici default_group est un groupe d’utilisateurs préconfiguré.
L’expression ci-dessus analyse si les utilisateurs de Windows 7 ont le Service Pack 1 installé.
add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan <!--NeedCopy--> -
Associez une stratégie d’analyse EPA à l’authentification, à l’autorisation et à l’audit du serveur virtuel avec l’étape suivante pointant sur l’étiquette de stratégie facteur ldap pour effectuer l’étape suivante de l’authentification.
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT <!--NeedCopy-->
Configuration à l’aide de l’interface graphique
-
Accédez à Sécurité > Trafic des applications AAA-> Stratégies > Authentification > Stratégies avancées > Actions > EPA.
Première analyse EPA pour vérifier la mise à jour automatique de Windows et un groupe par défaut
Second EPA Scan pour vérifier la présence du navigateur Firefox
-
Créer une stratégie EPA. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie et liez l’action créée à l’étape 1.
Stratégie pour la première analyse EPA
Stratégie pour la deuxième analyse EPA
Pour plus d’informations sur Advanced EPA, reportez-vous à Advanced Endpoint Analysis Analysis.
-
Créez un flux nFactor. Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flow, puis cliquez sur Ajouter.
Remarque : nFactor Visualizer est disponible sur le firmware 13.0 et versions ultérieures.
-
Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.
Aucun schéma n’est requis pour l’analyse EPA.
-
Cliquez sur Ajouter une stratégie pour ajouter une stratégie pour le premier facteur.
-
Sélectionnez la première stratégie EPA créée à l’étape 2.
-
Cliquez sur le signe+ vert et ajoutez le facteur suivant, c’est-à-dire l’authentification LDAP.
-
Cliquez sur Ajouter un schéma, puis cliquez sur Ajouter pour ajouter un schéma pour le deuxième facteur.
-
Créez un schéma, dans cet exemple Single_Auth, puis choisissez ce schéma.
-
Cliquez sur Ajouter une stratégie pour ajouter une stratégie LDAP pour l’authentification.
Pour plus d’informations sur la création d’une authentification LDAP, voir Configuration de l’authentification LDAP.
-
Créer le facteur suivant pour l’analyse EPA après authentification.
-
Cliquez sur Ajouter une stratégie, sélectionnez SecondePA_Vérifier la stratégie créée à l’étape 2, puis cliquez sur Ajouter.
-
Cliquez sur Terminé.
-
Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor, puis cliquez sur Créer.
Dissocier le flux nFactor
-
Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.
-
Sélectionnez le serveur virtuel d’authentification, puis cliquez sur Délier.
