Configurer le nom d’utilisateur et deux mots de passe avec l’extraction de groupe en troisième facteur par l’authentification nFactor

La section suivante décrit le cas d’utilisation du nom d’utilisateur et de deux mots de passe avec extraction de groupe dans un troisième facteur par authentification nFactor.

Nom d’utilisateur et deux mots de passe avec extraction de groupe en troisième facteur

Supposons un cas d’utilisation où, les administrateurs configurent le premier facteur d’authentification pour avoir un nom d’utilisateur et deux champs de mot de passe. Le deuxième facteur est un passage (il n’y a pas de page de connexion pour ce facteur), qui utilise le nom d’utilisateur et le deuxième mot de passe du premier facteur. Le troisième facteur d’authentification est transmis et est configuré pour l’extraction de groupe en utilisant le nom d’utilisateur du premier facteur.

  1. Une fois que vous accédez au serveur virtuel de gestion du trafic, vous êtes redirigé vers la page de connexion.

  2. Le client soumet un nom d’utilisateur et deux mots de passe. Par exemple, user1, pass1 et pass2.

  3. Le premier facteur est évalué par rapport à une stratégie locale pour user1 et pass1. L’évaluation est réussie et le facteur suivant est passé, la stratégie « label1” dans ce cas.

  4. L’étiquette de stratégie spécifie que le second facteur est transmis avec une stratégie RADIUS. Un schéma passthrough signifie que l’appliance Citrix ADC ne retourne pas au client pour d’autres entrées. L’appliance Citrix ADC utilise simplement les informations qu’elle possède déjà. Dans ce cas, c’est user1 et pass2. Le second facteur est ensuite évalué implicitement. Après une évaluation réussie, le facteur suivant est passé (stratégie « label2” dans ce cas.)

  5. L’étiquette de stratégie spécifie que le troisième facteur est transmis avec une stratégie LDAP configurée pour l’extraction de groupe. L’appliance Citrix ADC utilise implicitement le nom d’utilisateur du premier facteur.

  6. Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où se trouve le contenu demandé. Si une connexion échoue, le navigateur du client est présenté avec la page d’ouverture de session d’origine afin que le client puisse réessayer.

    Formulaire de connexion

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et d’authentification.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain dep.sqltest.net
  2. Configurez un premier facteur.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml
    • add authentication loginSchemaPolicy login1 -rule true -action login1
  3. Configurez un second facteur.

    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication policylabel label1 -loginSchema login2
  4. Configurez un troisième facteur.

    • add authentication loginSchema login_pass -authenticationSchema noschema
    • add authentication policylabel label2 -loginSchema login_pass
  5. Configurez les facteurs LOCAL, RADIUS et LDAP.

    • add authentication Policy localpolicy -rule true -action LOCAL
    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
    • add authentication radiusAction radius -serverIP 10.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radiuspolicy -rule true -action radius
  6. Liez les stratégies.

    • bind authentication vserver avn -policy login1 -priority 10 -gotoPriorityExpression END
    • bind authentication vserver avn -policy localpolicy -priority 2 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName radiuspolicy -priority 1 -gotoPriorityExpression NEXT -nextFactor label2
    • bind authentication policylabel label2 -policyName ldappolicy -priority 10 -gotoPriorityExpression NEXT

Remarque

La configuration peut également être créée via nFactor Visualizer disponible dans Citrix ADC version 13.0 et ultérieure.

NFactor visualiseur RADIUS et extraction de groupe

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic d’application AAA-> nFactor Visualizer > nFactor Flows et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

    Ajouter un flux

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor. Cliquez sur Créer.

    Ajouter un nom pour le flux

  4. Cliquez sur Ajouter un schéma pour ajouter le schéma de connexion pour le premier facteur. Vous pouvez créer un schéma de connexion d’authentification ou sélectionner un schéma de connexion d’authentification existant dans la liste. Cliquez sur OK.

    Ajouter un schéma

  5. Cliquez sur Ajouter une stratégie pour ajouter la stratégie d’authentification du premier facteur. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante dans la liste.

    Ajouter une stratégie locale

  6. Créer une stratégie locale, conformément aux instructions suivantes.

    Créer une stratégie locale

  7. Cliquez sur vert + pour ajouter le deuxième facteur.

    Ajouter le facteur suivant

  8. Cliquez sur Ajouter un schéma pour ajouter le schéma de connexion pour le deuxième facteur. Vous pouvez créer un schéma de connexion d’authentification ou sélectionner un schéma de connexion d’authentification existant dans la liste. Cliquez sur OK.

    Ajouter un deuxième facteur

  9. Cliquez sur Ajouter une stratégie pour créer une stratégie. Cliquez sur Créer, puis sur Ajouter.

    Ajouter une stratégie

    Remarque

    Si les actions RADIUS ne sont pas créées, reportez-vous à la section Pour configurer l’authentification RADIUS

  10. Cliquez sur vert + pour ajouter le troisième facteur, puis cliquez sur Créer.

    Ajouter un troisième facteur

  11. Cliquez sur Ajouter un schéma pour ajouter le schéma de connexion pour le deuxième facteur. Vous pouvez créer un schéma de connexion d’authentification ou sélectionner un schéma de connexion d’authentification existant dans la liste. Cliquez sur OK.

  12. Cliquez sur Ajouter une stratégie pour créer une stratégie. Cliquez sur Créer, puis sur Ajouter.

  13. Dans le cas où l’action LDAP est ajoutée, sélectionnez la même chose. Si ce n’est pas le cas, suivez l’article de la Base de connaissances pour en créer un. Aussi, puisque vous ne faites que l’extraction, assurez-vous que l’authentification est désactivée sur l’action LDAP. Pour de plus amples informations, consultez Comment utiliser LDAP pour l’extraction de groupe via NetScaler sans authentification

    Ajouter l'authentification ldap

  14. Dans Configurer la stratégie d’authentification, ajoutez la stratégie LDAP et cliquez sur OK.

    Ajouter une stratégie d'authentification LDAP

  15. Cliquez sur Terminé. Sélectionnez nFactor flow et cliquez sur l’option Lier au serveur d’ authentification et sélectionnez le serveur virtuel d’authentification, d’autorisation et d’audit dans la liste.

    Facteur LDAP