Configurer l’analyse de pré-authentification Endpoint Analysis en tant que facteur dans l’authentification nFactor

Sur Citrix Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et permettre ainsi à l’utilisateur d’accéder aux ressources internes. Le plug-in Endpoint Analysis télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs se connectent pour la première fois à Citrix Gateway. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur ou choisit d’ignorer l’analyse, l’utilisateur ne peut pas ouvrir de session avec le plug-in Citrix Gateway. En option, l’utilisateur peut être placé dans un groupe de quarantaine où l’utilisateur obtient un accès limité aux ressources réseau internes.

Analyse EPA dans nFactor ou authentification multifacteur

Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifacteur.

L’utilisateur se connecte à l’adresse IP virtuelle Citrix Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur est rendu avec la page de connexion avec les champs nom d’utilisateur et mot de passe pour l’authentification RADIUS ou OTP. Sinon, l’utilisateur est rendu avec une page de connexion, mais cette fois l’utilisateur est authentifié à l’aide de l’authentification basée sur LDAP ou AD (Active Directory). En fonction du succès ou de l’échec des informations d’identification fournies par l’utilisateur, l’utilisateur a accès.

Implémentation de cette logique après EPA :

  1. Si l’analyse EPA réussit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.

  2. Si l’analyse EPA est un échec, l’utilisateur est placé ou étiqueté dans un groupe de quarantaine.

  3. La méthode d’authentification suivante (RADIUS ou LDAP) est choisie en fonction de l’appartenance au groupe d’utilisateurs, comme déterminé dans les deux premières étapes.

Conditions préalables

Assurez-vous que la configuration suivante est en place.

  • Serveur virtuel VPN ou Gateway et authentification configurations de serveur virtuel
  • Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et mis en quarantaine) et stratégies associées
  • Configurations de serveurs LDAP et RADIUS et stratégies associées

La figure suivante affiche le mappage des stratégies et de l’étiquette de stratégie. C’est l’approche utilisée pour la configuration, mais de droite à gauche.

Mappage des stratégies et de l'étiquette de stratégie dans cet exemple

Remarque : La configuration peut également être créée via nFactor Visualizer disponible dans Citrix ADC version 13.0 et ultérieure.

Représentation de cette configuration dans le visualiseur

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez une stratégie d’authentification LDAP pour vérifier l’appartenance à quarantined_group et l’associer à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.

    add authentication Policy ldap-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  2. Configurez la stratégie d’authentification RADIUS pour vérifier l’appartenance à default_group et l’associer à une stratégie RADIUS configurée pour s’authentifier auprès d’un serveur RADIUS particulier.

    add authentication Policy radius-auth -rule "HTTP.REQ.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    
    radius_server1 is Radius Policy and radius-auth is policy name
    
  3. Configurez l’étiquette de stratégie post-epa-usergroup-check avec un schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    

    Remarque : Si vous ne souhaitez pas utiliser le schéma intégré lschema_single_factor_deviceid, vous pouvez le remplacer par le schéma selon vos besoins.

  4. Associez les stratégies configurées aux étapes 1 et 2 avec l’étiquette de stratégie configurée à l’étape 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    

    Remarque : END indique la fin du mécanisme d’authentification pour cette étape.

  5. Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    

    Les groupes default_group et quarantined_group sont des groupes d’utilisateurs préconfigurés. L’expression de l’étape 5 analyse si les utilisateurs macOS ont une version de navigateur inférieure à 10.0.3 ou si les utilisateurs Windows 7 ont le Service Pack 1 installé.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  6. Associez une stratégie d’analyse EPA à l’authentification, à l’autorisation et à l’audit du serveur virtuel avec l’étape suivante pointant vers l’étiquette de stratégie post-vérification epa-usergroup-check. Il s’agit d’effectuer l’étape suivante de l’authentification.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flow et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Cliquez pour ajouter un facteur

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom pour le facteur

    Remarque : Aucun schéma n’est requis pour le premier facteur.

    Aucun schéma requis pour le premier facteur

  4. Cliquez sur Ajouter une stratégie, puis sur Ajouter pour créer une stratégie d’authentification pour la vérification EPA.

    Cliquez pour ajouter une stratégie

  5. Dans le champ Action, cliquez sur Ajouter pour ajouter l’action EPA.

    Cliquez pour ajouter une action

    Pour plus de détails sur l’EPA, reportez-vous à la section Configuration de l’analyse avancée des points de terminaison.

  6. Cliquez sur le signe + vert sur le bloc EPA_nFactor pour ajouter le facteur suivant pour la vérification du groupe d’utilisateurs de l’EPA.

    Cliquez pour ajouter le facteur suivant pour la vérification du groupe d'utilisateurs de l'EPA

  7. Cliquez sur Ajouter un schéma pour ajouter le schéma pour le deuxième facteur. Sélectionnez le schéma lschema_single_factor_deviceid.

    Cliquez pour ajouter un schéma pour le second facteur

    Sélectionner le schéma pour le second facteur

  8. Cliquez sur Ajouter une stratégie pour sélectionner la stratégie pour l’authentification LDAP.

    Cliquez ici pour ajouter une stratégie pour l'authentification LDAP

    La stratégie pour LDAP vérifie si l’utilisateur fait partie d’un groupe mis en quarantaine. Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Configuration de l’authentification LDAP.

    Sélectionnez la stratégie pour l'authentification LDAP

  9. Cliquez sur le signe+ bleu sur le bloc EPA_nFactor pour ajouter la seconde authentification.

    Cliquez pour ajouter une seconde authentification

  10. Cliquez sur Ajouter pour sélectionner la stratégie pour l’authentification RADIUS. Pour plus d’informations sur la création de l’authentification RADIUS, reportez-vous à la section Configuration de l’authentification RADIUS.

    Cliquez sur Ajouter pour sélectionner une stratégie pour l'authentification RADIUS

    La stratégie du LDAP vérifie si l’utilisateur fait partie du groupe par défaut.

    Sélectionnez la stratégie pour LDAP

  11. Cliquez sur Terminé.

  12. Une fois le flux nFactor terminé, liez ce flux au serveur virtuel d’authentification, d’autorisation et d’audit. Cliquez sur Lier au serveur d’authentification, puis sur Créer.

    Cliquez pour lier le flux au serveur virtuel d'authentification

Dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Unbind.

    Dissocier le flux nFactor