Configurer l’authentification de certificat en tant que premier facteur et LDAP en tant que deuxième facteur dans l’authentification Citrix ADC nFactor

La section suivante décrit le cas d’utilisation de l’authentification de certificat dans le premier facteur suivi par LDAP dans le second facteur. Sinon, LDAP et OTP, si un certificat utilisateur n’est pas présent dans le premier facteur.

Cas d’utilisation : authentification de certificat dans le premier facteur suivi par LDAP dans le facteur suivant

Supposons un cas d’utilisation où, les administrateurs configurent l’authentification de certificat dans le premier facteur. Et si le certificat est présent, configurez l’authentification LDAP dans le facteur suivant. Si le certificat utilisateur n’est pas présent, configurez LDAP et OTP.

  1. Une fois que vous accédez au serveur virtuel de gestion du trafic, vous êtes redirigé vers la page de connexion.

  2. Si le certificat utilisateur est présent dans la machine cliente, l’écran suivant s’affiche.

    Certificat utilisateur

  3. Une fois le certificat utilisateur soumis, l’authentification passe au facteur suivant. Ce facteur est configuré en tant que LDAP.

    Certificat utilisateur

  4. Si un certificat utilisateur n’est pas présent dans le premier facteur, passez à LDAP et OTP. Vous avez deux options à réaliser.

    • LDAP et OTP en tant que pages de connexion séparées avec nom d’utilisateur prérempli à partir du facteur LDAP.

      Certificat utilisateur

      La valeur du nom d’utilisateur est préremplie à l’aide de l’expression ${http.req.user.name}, qui extrait le nom d’utilisateur du premier facteur. D’autres champs tels que les étiquettes pour le nom d’utilisateur et le mot de passe peuvent également être personnalisés.

    • Page d’authentification double contenant deux champs de mot de passe. L’exemple utilisé pour cette représentation spécifique est affiché.

      Certificat utilisateur

Remarque

La configuration peut également être créée via nFactor Visualizer disponible dans Citrix ADC version 13.0 et ultérieure.

nFactor visualiseur LDAP et OTP

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel d’authentification.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • bind ssl vserver auth_vserver -certkeyName gateway.angiras.lab
  2. Liez le certificat racine au serveur virtuel et activez l’authentification client.

    • bind ssl vserver auth_vserver -certkeyName Root_Cert -CA -ocspCheck Optional
    • set ssl vserver auth_vserver -clientAuth ENABLED -clientCert Optional
  3. Configurez l’action et les stratégies d’authentification.

    • Authentification LDAP
      • add authentication ldapAction LDAP_Action -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 97526a31c6e2e380f7b3a7e5aa53dc498c5b25e9b84e856b438b1c61624b5aad -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn
      • add authentication Policy LDAP_Pol -rule true -action LDAP_Action
    • Gestion des appareils
      • add authentication ldapAction OTP_manage_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword 3e10c1df11a9cab239cff2c9305743da76068600a0c4359603abde04f28676ae -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy manage_OTP -rule TRUE -action OTP_manage_Act
    • Validation OTP
      • add authentication ldapAction LDAP_OTP_Act -serverIP XX.XX.XX.XX -ldapBase "dc=citrix,dc=lab" -ldapBindDn administrator@citrix.lab -ldapBindDnPassword e79a8ebf93fdb7e7438f44c076350c6ec9ad1269ef0528d55640c7c86d3490dc -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -searchFilter "userParameters>=#@" -groupAttrName memberOf -subAttributeName cn -authentication DISABLED -OTPSecret userParameters
      • add authentication Policy OTP_Pol -rule true -action LDAP_OTP_Act
    • Authentification par certificats
      • add authentication certAction Certificate_Profile -twoFactor ON -userNameField SubjectAltName:PrincipalName
    • Stratégie sans authentification pour l’authentification double lorsqu’une authentification de certificat échoue ou qu’un certificat n’existe pas.
      • add authentication Policy Cert_Pol_NOAUTH_ -rule true -action NO_AUTHN
  4. Configurez l’étiquette de stratégie et le schéma pour le deuxième facteur.

    • Gestion des appareils
      • add authentication policylabel manage_otp_label -loginSchema LSCHEMA_INT
      • bind authentication policylabel manage_otp_label -policyName manage_OTP -priority 100 -gotoPriorityExpression END
    • Authentification LDAP après authentification de certificat réussie
      • add authentication loginSchema lschema_LDAP_Only -authenticationSchema "/nsconfig/loginschema/LoginSchema/PrefilUserFromExpr.xml"
      • add authentication policylabel LDAP_Only -loginSchema lschema_LDAP_Only
      • bind authentication policylabel LDAP_Only -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
    • Authentification double lorsque la certification n’est pas présente ou que l’authentification de certificat échoue
      • add authentication loginSchema lschema_dual_auth -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
      • add authentication policylabel Dual_Auth_Label -loginSchema lschema_dual_auth
      • bind authentication policylabel Dual_Auth_Label -policyName LDAP_Pol -priority 100 -gotoPriorityExpression END
      • bind authentication policylabel Dual_Auth_Label -policyName OTP_Pol -priority 110 -gotoPriorityExpression END
  5. Liez les stratégies créées dans les étapes précédentes.

    • bind authentication vserver auth_vserver -policy Manage_OTP_Pol -priority 100 -nextFactor manage_otp_label -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol -priority 110 -nextFactor LDAP_Only -gotoPriorityExpression NEXT
    • bind authentication vserver auth_vserver -policy Cert_Pol_NOAUTH_ -priority 120 -nextFactor Dual_Auth_Label -gotoPriorityExpression NEXT

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flows et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Ajouter un flux

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor. Cliquez sur Créer.

    Ajouter un nom pour le flux

  4. Le schéma est nécessaire dans le premier facteur lorsque vous liez des stratégies qui n’ont pas besoin d’un schéma.

  5. Cliquez sur Ajouter une stratégie pour ajouter la stratégie d’authentification du premier facteur. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante dans la liste.

    Ajouter une stratégie locale

  6. Ajoutez une stratégie pour la vérification de l’enregistrement. L’action dans ce cas serait NO_AUTHN.

  7. Dans le champ Expression, tapez HTTP.REQ.COOKIE.VALUE(“NSC_TASS”).EQ(“manageotp”) et cliquez sur Créer.

    Champ Expression

  8. Cliquez sur Ajouter une stratégie pour créer une stratégie. Cliquez sur Créer, puis sur Ajouter.

    Stratégie d'enregistrement

  9. Cliquez sur vert + pour ajouter le facteur suivant pour l’authentification LDAP avant de gérer les périphériques.

  10. Sélectionnez Créer un facteur et tapez un nom pour ce facteur, puis cliquez sur Créer.

    Stratégie d'enregistrement

  11. Cliquez sur Ajouter un schéma, puis sur ajouter pour créer un schéma pour gérer les périphériques.

    Enregistrer le schéma

  12. Choisissez le schéma créé dans le précédent et cliquez sur Ajouter pour le créer.

    Ajouter une stratégie d'authentification LDAP

  13. Cliquez sur Ajouter une stratégie et sélectionnez Stratégie d’authentification LDAP pour l’authentification LDAP initiale.

    Remarque

    Pour de plus amples informations, consultez la section Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.

  14. Suivez les étapes 9 et 10 pour créer un autre facteur pour enregistrer le périphérique.

  15. Aucun schéma n’est nécessaire dans ce facteur. Cliquez sur Ajouter une stratégie pour ajouter la stratégie pour l’enregistrement de l’appareil. (Stratégie créée à l’étape de configuration de l’interface de ligne de commande 4 point b).

  16. Créez un autre facteur après les étapes 9 et 10 pour tester les dispositifs enregistrés.

  17. Cliquez sur Ajouter une stratégie pour ajouter une stratégie d’authentification (Stratégie créée à l’étape 4 de configuration de l’interface de ligne de commande, point c).

    Ajouter une stratégie d'authentification LDAP

  18. Cliquez sur vert + sous la Stratégie d’enregistrement pour ajouter une stratégie pour l’authentification de certificat.

    Ajouter une stratégie d'authentification LDAP

  19. Cliquez sur Ajouter pour ajouter la stratégie de certificats.

    Ajouter une stratégie d'authentification LDAP

    Remarque

    Pour plus d’informations sur l’authentification de certificat client, reportez-vous à la section Comment activer l’authentification de certificat client SSL sur NetScaler.

  20. Cliquez sur le signe vert en regard de la stratégie de certification pour créer le facteur suivant pour l’authentification LDAP.

    Ajouter un facteur LDAP

  21. Cliquez sur Ajouter un schéma pour ajouter le schéma de connexion pour le nom d’utilisateur prérempli, authentification unique.

    Ajouter une stratégie d'authentification LDAP

  22. Choisissez le schéma créé et cliquez sur OK.

    Choisir un schéma LDAP

  23. Cliquez sur Ajouter une stratégie et ajoutez l’authentification LDAP.

    Stratégie LDAP

  24. Cliquez sur rouge + en regard de Stratégie de certificat pour ajouter le facteur suivant pour le cas d’échec. Le cas d’échec concerne lorsque l’authentification du certificat échoue ou s’il n’y a pas de certificat sur le périphérique.

  25. Sélectionnez Créer un facteur et tapez un nom de facteur.

    Facteur LDAP OTP

  26. Cliquez sur Ajouter un schéma pour ajouter un schéma d’authentification double.

    schéma d'authentification double

  27. Choisissez le schéma créé et cliquez sur OK.

    schéma double authentification

  28. Cliquez sur Ajouter une stratégie et ajoutez l’authentification LDAP.

    Stratégie LDAP

  29. Sélectionnez la stratégie d’authentification pour valider OTP et cliquez sur OK

    Stratégie LDAP

  30. Cliquez sur Terminé pour enregistrer la configuration.

  31. Sélectionnez le flux nFactor créé et liez-le à un serveur virtuel d’authentification, d’autorisation et d’audit. Cliquez sur Lier au serveur d’authentification, puis sur Créer.

    Stratégie LDAP

    Remarque

    Vous pouvez lier et dissocier le nFactor à l’aide de la page nFactor Flows via l’option Afficher les liaisons uniquement.

Dissocier le flux nFactor

  1. Sur la page nFlux Factor, cliquez sur Afficher les liaisons à partir de l’icône hamburger.

  2. Dans la page Liaisons du serveur d’authentification, sélectionnez le serveur d’authentification à dissocier et cliquez sur Dissocier. Cliquez sur Fermer.

    Stratégie LDAP