Citrix ADC

Configurer l’analyse EPA de pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor

Sur Citrix Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et permettre ainsi à l’utilisateur d’accéder aux ressources internes. Le plug-in Endpoint Analysis télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs se connectent pour la première fois à Citrix Gateway. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur, l’utilisateur ne peut pas ouvrir de session avec le plug-in Citrix Gateway.

Pour comprendre l’EPA dans les concepts nFactor, consultez Concepts et entités utilisés pour l’EPA dans l’authentification nFactor via NetScaler.

Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifactorielle, suivie de la connexion et de l’analyse EPA comme vérification finale.

Représentation de l'analyse EPA utilisée comme vérification initiale dans nFactor ou authentification multifacteur

L’utilisateur se connecte à l’adresse IP virtuelle Citrix Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur est rendu la page de connexion avec les champs nom d’utilisateur et mot de passe pour l’authentification basée sur LDAP ou AD (Active Directory). En fonction du succès des informations d’identification de l’utilisateur, l’utilisateur est redirigé vers le prochain facteur EPA.

Étapes de haut niveau impliquées dans cette configuration

  1. Si l’analyse réussit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.

  2. La méthode d’authentification suivante (LDAP) est choisie.

  3. En fonction du résultat de l’authentification, l’utilisateur est présenté avec l’ensemble d’analyse suivant.

Conditions préalables

Il est supposé que la configuration suivante est en place.

  • Configurations de serveurs virtuels d’authentification et de passerelles/serveurs virtuels VPN
  • Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et mis en quarantaine) et stratégies associées
  • Configurations de serveur LDAP et stratégies associées

Configuration à l’aide de l’interface de ligne de commande

  1. Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    

    L’expression précédente analyse si le processus Firefox est en cours d’exécution sur la machine cliente.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    
  2. Configurez l’étiquette de stratégie post-epa-scan qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    

    Remarque : LSCHEMA_INT est un schéma intégré sans schéma (noschema), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    

    END indique la fin du mécanisme d’authentification.

  4. Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    
  5. Configurez l’étiquette de stratégie ldap-factor, avec le schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    

    Remarque : Remplacer par le schéma dont vous avez besoin, au cas où vous ne souhaitez pas utiliser dans le schéma intégré LoginsChema/SingleAuth.xml

  6. Associez la stratégie configurée à l’étape 4 à l’étiquette de stratégie configurée à l’étape 5.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    

    END indique la fin du mécanisme d’authentification pour cette jambe et NextFactor indique le facteur suivant après l’authentification.

  7. Créez une action pour effectuer une analyse EPA et l’associer à une stratégie d’analyse EPA.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    

    Ici default_group est un groupe d’utilisateurs préconfiguré.

    L’expression ci-dessus analyse si les utilisateurs de Windows 7 ont le Service Pack 1 installé.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    
  8. Associez une stratégie d’analyse EPA à l’authentification, à l’autorisation et à l’audit du serveur virtuel avec l’étape suivante pointant sur l’étiquette de stratégie facteur ldap pour effectuer l’étape suivante de l’authentification.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    

Configuration à l’aide de l’interface graphique

  1. Accédez à Sécurité > Trafic des applications AAA-> Stratégies > Authentification > Stratégies avancées > Actions > EPA.

    Première analyse EPA pour vérifier la mise à jour automatique de Windows et un groupe par défaut

    Créer la première analyse EPA

    Second EPA Scan pour vérifier la présence du navigateur Firefox

    Créer une seconde analyse EPA

  2. Créer une stratégie EPA. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie et liez l’action créée à l’étape 1.

    Stratégie pour la première analyse EPA

    Créer une stratégie pour la première analyse EPA

    Stratégie pour la deuxième analyse EPA

    Créer une stratégie pour la deuxième analyse EPA

    Pour plus d’informations sur Advanced EPA,Analyses avancées des points de terminaisonconsultez

  3. Créez un flux nFactor. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flow et cliquez sur Ajouter.

    Cliquez pour ajouter nFactor

    Remarque : nFactor Visualizer est disponible sur le firmware 13.0 et versions ultérieures.

  4. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom de facteur

    Aucun schéma n’est requis pour l’analyse EPA.

  5. Cliquez sur Ajouter une stratégie pour ajouter une stratégie pour le premier facteur.

    Cliquez pour ajouter une stratégie

  6. Sélectionnez la première stratégie EPA créée à l’étape 2.

    Cliquez pour sélectionner la première stratégie EPA

  7. Cliquez sur le signe+ vert et ajoutez le facteur suivant, c’est-à-dire l’authentification LDAP.

    Cliquez pour ajouter le facteur suivant

  8. Cliquez sur Ajouter un schéma, puis cliquez sur Ajouter pour ajouter un schéma pour le deuxième facteur.

    Cliquez pour ajouter un schéma

  9. Créez un schéma, dans cet exemple Single_Auth, puis choisissez ce schéma.

    Créer un schéma d'authentification unique

    Sélectionner un schéma d'authentification unique

  10. Cliquez sur Ajouter une stratégie pour ajouter une stratégie LDAP pour l’authentification.

    Ajouter une stratégie LDAP pour l'authentification

    Pour plus d’informations sur la création d’une authentification LDAP,Configuration de l’authentification LDAPconsultez

  11. Créer le facteur suivant pour l’analyse EPA après authentification.

    Créer le facteur suivant pour l'analyse EPA post-auth

  12. Cliquez sur Ajouter une stratégie, sélectionnez SecondePA_Vérifier la stratégie créée à l’étape 2, puis cliquez sur Ajouter.

    Cliquez pour ajouter une stratégie

  13. Cliquez sur Terminé.

  14. Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor, puis cliquez sur Créer.

    Liez le flux à un serveur virtuel d'authentification

Dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Unbind.

    Dissocier le flux du serveur virtuel d'authentification

Configurer l’analyse EPA de pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor