Authentification, autorisation et audit du trafic des applications

Configurer le CLUF en tant que facteur d’authentification dans le système Citrix ADC nFactor

La figure suivante affiche un flux d’ouverture de session de l’utilisateur final avec le CLUF. Dans ce flux, le premier facteur existant est déplacé après le CLUF. Le CLUF devient un premier profil vserver et le premier facteur précédent devient un second facteur.

Workflow CLUF

Présentation du flux nFactor

La configuration peut également être créée via nFactor Visualizer présent dans ADC version 13.0 et supérieure.

Configuration du workflow CLUF dans le visualiseur

Configuration à l’aide de l’interface de ligne de commande

  1. Copiez eula.xml dans /nsconfig/loginschema sur votre Citrix ADC.
  2. Ajoutez un schéma de connexion pour le CLUF.

    add authentication loginSchema eulaschema -authenticationSchema eula.xml
    
    add authentication loginSchemaPolicy eula_schema -rule true -action eulaschema
    
    bind authentication vserver auth -policy eula_schema -priority 5
    
  3. Ajoutez un facteur d’authentification comme facteur secondaire.

    add authentication loginSchema single_auth -authenticationSchema "LoginSchema/SingleAuth.xml"
    
    add authentication policylabel single_factor -loginSchema single_auth
    
    bind authentication policylabel single_factor -policyName ldap-adv -priority 5
    
  4. Ajoutez une stratégie de non-authentification à la cascade du serveur virtuel.

    add authentication Policy noauth_pol -rule "http.req.url.contains("/nf/auth/doAuthentication.do")" -action NO_AUTHN
    
    bind authentication vserver auth -policy noauth_pol -priority 1 -nextFactor single_factor -gotoPriorityExpression NEXT
    

La capture d’écran suivante est du CLUF qui est configuré sur le serveur virtuel en tant que facteur.

CLUF configuré en tant que facteur dans le serveur virtuel

La capture d’écran suivante est du facteur d’authentification (double facteur dans ce cas).

Page d'ouverture de session à double facteur

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-Visualiseur nFactor > NFactor Flow et cliquez sur Ajouter.

  2. Cliquez sur le signe+ pour ajouter le flux nFactor.

    Cliquez pour ajouter un facteur

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom de facteur

  4. Cliquez sur Ajouter un schéma pour ajouter un schéma pour le premier facteur, puis cliquez sur Ajouter.

    Cliquez pour ajouter un schéma

  5. Créez un schéma eula_schema en sélectionnant le schéma de connexion eula.xml.

    Créer un schéma d'authentification

  6. Choisissez le schéma du premier facteur, c’est-à-dire le CLUF.

    Sélectionner un schéma pour le premier facteur

  7. Cliquez sur Ajouter une stratégie pour créer une stratégie d’authentification pour NO_AUTHN, puis cliquez sur Ajouter.

    Cliquez pour ajouter une stratégie

  8. Cliquez sur le signe vert + ajouter le facteur suivant, c’est-à-dire double authentification (LDAP+RADIUS).

    Cliquez pour ajouter le facteur suivant

  9. Cliquez à nouveau sur Ajouter un schéma pour ajouter un schéma pour le deuxième facteur, puis cliquez sur Ajouter.

    Cliquez pour ajouter un schéma pour le second facteur

  10. Créez un schéma Dual_Auth en sélectionnant le schéma de connexion DualAuth.xml, puis cliquez sur Créer.

    Sélectionner un schéma d'authentification double

  11. Cliquez sur Ajouter une stratégie pour sélectionner une stratégie pour l’authentification LDAP, puis cliquez sur Ajouter.

    Ajouter une stratégie pour l'authentification LDAP

    Pour plus d’informations sur la création de l’authentification LDAP, consultez Configuration de l’authentification LDAP.

  12. Cliquez sur le signe+ bleu pour ajouter une seconde authentification.

    Cliquez pour ajouter un deuxième facteur

  13. Cliquez sur Ajouter pour sélectionner la stratégie pour l’authentification RADIUS.

    Cliquez ici pour sélectionner la stratégie pour l'authentification RADIUS

    Pour plus d’informations sur la création de l’authentification RADIUS, consultez Configuration de l’authentification RADIUS.

  14. Cliquez sur Terminé. La configuration est enregistrée.

  15. Cliquez sur Bind to Authentication Server, sélectionnez le flux nFactor qui vient de créer pour lier le flux à un serveur virtuel d’authentification, d’autorisation et d’audit, puis cliquez sur Créer.

    Liez le flux nFactor au serveur virtuel d'authentification

    Remarque : Lier et dissocier le flux nFactor via l’option donnée dans le flux nFactor sous Afficher les liaisons uniquement.

Pour dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification auquel le flux nFactor est lié et cliquez sur Unlier.

Dissocier le flux nFactor du serveur virtuel d'authentification

Schéma de connexion utilisé dans cet exemple

Lors de la copie de texte à partir d’un navigateur Web, certaines guillemets sont rendus différemment. Il est recommandé de copier le schéma dans un éditeur de texte pour normaliser les guillemets.

Remarque : Ce schéma de connexion est présent dans Citrix ADC version 13.0 et n’a pas besoin d’être créé séparément.

<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext></StateContext>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>End User License Agreement</Text><Type>heading</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Protecting Gateway's information and information systems is the responsibility of every user of Gateway.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>This computer, including any devices attached to this computer and the information systems accessed from this point contain information which is confidential to Organization. Your activities and use of these facilities are monitored and recorded. They are not private and may be reviewed at any time. Unauthorised or inappropriate use of Organization's Information Technology facilities, including but not limited to Electronic Mail and Internet services, is against company policy and can lead to disciplinary outcomes, including termination and/or legal actions. Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>Continue</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>
Configurer le CLUF en tant que facteur d’authentification dans le système Citrix ADC nFactor