Configurer l’authentification à deux facteurs avec un schéma de connexion et un schéma passthrough dans l’authentification Citrix ADC nFactor

La section suivante décrit le cas d’utilisation de l’authentification à deux facteurs avec un schéma de connexion et un schéma de transmission.

Authentification à deux facteurs avec un schéma de connexion et un schéma de transmission

Supposons un cas d’utilisation où, les administrateurs configure l’authentification à deux facteurs avec un schéma de connexion et un schéma de transmission. Le client soumet un nom d’utilisateur et deux mots de passe. Le premier jeu de nom d’utilisateur et de mot de passe est évalué par une stratégie LDAP en tant que premier facteur, et le second mot de passe est évalué par une stratégie RADIUS en tant que deuxième facteur.

  1. Une fois que vous accédez au serveur virtuel de gestion du trafic, vous êtes redirigé vers la page de connexion pour l’authentification.

  2. Le client soumet un nom d’utilisateur et deux mots de passe, par exemple : user1, pass1 et pass2.

  3. Le premier facteur est évalué par rapport à une action LDAP pour user1 et pass1. L’évaluation est couronnée de succès et passe au facteur suivant, la stratégie « label1” ; dans ce cas.

  4. L’étiquette de stratégie spécifie que le second facteur est un passage avec une stratégie RADIUS. Un schéma passthrough signifie que l’appliance Citrix ADC ne retourne pas au client pour d’autres entrées. Citrix ADC utilise simplement les informations qu’il possède déjà. Dans ce cas, c’est user1 et pass2. Le deuxième facteur est ensuite évalué implicitement.

  5. Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où le contenu demandé est disponible. Si la connexion échoue, le navigateur client est présenté avec la page d’ouverture de session d’origine afin que le client puisse réessayer.

    Page d'ouverture de session

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et d’authentification.

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. Configurez un second facteur.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. Configurez le facteur LDAP et RADIUS.

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. Liez les stratégies.

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

Remarque

La configuration peut également être créée via nFactor Visualizer disponible dans Citrix ADC version 13.0 et ultérieure.

nFactor visualiseur deux facteurs

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flows et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Ajouter un flux

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor. Cliquez sur Créer.

    Ajouter un nom pour le flux

  4. Pour ajouter les deux schémas de mot de passe pour le premier facteur, cliquez sur Ajouter un schéma.

    Ajouter un schéma

  5. Cliquez sur Ajouter une stratégie pour ajouter la stratégie LDAP. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante dans la liste.

    Ajouter une stratégie LDAP

  6. Dans l’onglet Action, sélectionnez Serveur LDAP.

    Ajouter une stratégie LDAP

    Remarque

    Si le serveur LDAP n’est pas ajouté, pour plus d’informations sur l’ajout d’un serveur LDAP, consultezStratégies d’authentification LDAP

  7. Cliquez sur vert + pour ajouter le facteur RADIUS, puis cliquez sur Créer.

    Ajouter le facteur suivant

  8. N’ajoutez pas de schéma pour ce facteur, car par défaut, il ne prend aucun schéma. Pour ajouter une stratégie d’authentification RADIUS, cliquez sur Ajouter une stratégie.

    Stratégie d'authentification de rayon

    Remarque

    Si le serveur RADIUS n’est pas ajouté, pour plus d’informations sur l’ajout d’un serveur RADIUS, voirPour configurer l’authentification RADIUS

  9. Cliquez sur Terminé pour enregistrer la configuration.

  10. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Lier au serveur d’authentification, puis sur Créer.

    Lier le serveur d'authentification