Citrix ADC

Configurer le préremplissage du nom d’utilisateur à partir du certificat dans l’authentification Citrix ADC nFactor

La section suivante décrit le cas d’utilisation de l’authentification à deux facteurs. Le premier facteur est l’authentification de certificat suivie par LDAP.

Cas d’utilisation : Certificat et authentification LDAP

Supposons un cas d’utilisation où, les administrateurs configurent l’authentification à deux facteurs. Premier niveau en tant qu’authentification par certificat et suivi de l’authentification LDAP. Dans le cadre du premier facteur, le client demande un certificat utilisateur. Le nom d’utilisateur est extrait du certificat et prérempli dans le champ nom d’utilisateur du formulaire d’ouverture de session renvoyé pour le facteur suivant.

  1. Le navigateur client accède au serveur virtuel de gestion du trafic et est redirigé vers une page d’ouverture de session pour l’authentification.

  2. Le premier facteur est évalué par rapport à une action de certificat qui extrait le nom d’utilisateur. L’évaluation est réussie et passée au facteur suivant, la stratégie « label1” dans ce cas.

  3. L’étiquette de stratégie spécifie que le deuxième facteur est le schéma de connexion « login1” avec stratégie LDAP.

  4. Le formulaire d’ouverture de session avec le nom d’utilisateur prérempli est renvoyé pour obtenir le mot de passe de l’utilisateur pour l’authentification LDAP.

  5. Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où se trouve le contenu demandé. D’un autre côté, si la connexion échoue, le navigateur du client est présenté avec la page d’ouverture de session d’origine, de sorte que le client peut réessayer.

Remarque

La configuration peut également être créée via nFactor Visualizer disponible dans Citrix ADC version 13.0 et ultérieure.

nFactor visualizer SAML et LDAP

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et le serveur d’authentification.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      ou

    • set ssl parameter –denysslrenegotiation NO
  2. Configurez un premier facteur en tant qu’action de certificat.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Configurez un second facteur.

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. Configurer l’action LDAP.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Liez les stratégies.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flow et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Cliquez pour ajouter un flux

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom pour le flux

  4. Aucun schéma n’est nécessaire pour l’authentification du certificat.

  5. Cliquez sur Ajouter une stratégie pour créer une stratégie pour l’authentification de certificat.

    Stratégie de préremplissage

  6. Ajouter une stratégie pour l’authentification de certificat.

    Ajouter une stratégie de certificat

    Remarque

    Pour plus d’informations sur l’authentification des certificats, reportez-vous à la section Configuration et liaison d’une stratégie d’authentification de certificat client.

  7. Cliquez sur vert + à côté de la stratégie de cert pour ajouter le facteur suivant.

    Ajouter le facteur suivant de stratégie

  8. Sélectionnez Créer un facteur pour créer un facteur pour l’authentification LDAP.

    Créer un facteur LDAP

  9. Cliquez sur Ajouter un schéma pour ajouter un schéma PrefilUserFormExpr.xml pour le deuxième facteur ayant un nom d’utilisateur prérempli.

    Nom d'utilisateur prérempli

  10. Sélectionnez Ajouter une stratégie pour ajouter une stratégie pour l’authentification LDAP.

    Stratégie pour LDAP

    Remarque

    Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.

  11. Cliquez sur Terminé pour enregistrer la configuration.

  12. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Lier au serveur d’authentification, puis sur Créer.

    Lier le serveur d'authentification

    Remarque

    Lier et dissocier le flux nFactor via l’option donnée dans nFactor Flow sous Afficher les liaisonsuniquement.

Dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Unbind.

    Dissocier le serveur d'authentification

Configurer le préremplissage du nom d’utilisateur à partir du certificat dans l’authentification Citrix ADC nFactor