Citrix ADC

Prise en charge native OTP pour l’authentification

L’appliance Citrix ADC prend en charge les mots de passe uniques (OTP) sans avoir à utiliser un serveur tiers. Un mot de passe unique est une option hautement sécurisée pour l’authentification auprès de serveurs sécurisés car le numéro ou le code de passe généré est aléatoire. Auparavant, les OTP étaient offerts par des entreprises spécialisées, telles que RSA avec des dispositifs spécifiques qui génèrent des nombres aléatoires. Ce système doit être en communication constante avec le client pour générer un nombre attendu par le serveur.

En plus de réduire les dépenses d’investissement et d’exploitation, cette fonctionnalité améliore le contrôle de l’administrateur en conservant l’intégralité de la configuration sur l’appliance Citrix ADC.

Remarque

Étant donné que les serveurs tiers ne sont plus nécessaires, l’administrateur Citrix ADC doit configurer une interface pour gérer et valider les machines utilisateur.

L’utilisateur doit être inscrit auprès d’un serveur virtuel d’appliance Citrix ADC pour utiliser la solution OTP. L’enregistrement n’est requis qu’une seule fois par appareil unique et peut être limité à certains environnements. La configuration et la validation d’un utilisateur enregistré sont similaires à la configuration d’une stratégie d’authentification supplémentaire.

Avantages de la prise en charge native de l’OTP

  • Réduit les coûts d’exploitation en éliminant la nécessité de disposer d’une infrastructure supplémentaire sur un serveur d’authentification en plus d’Active Directory.
  • Consolide la configuration uniquement à l’appliance Citrix ADC, offrant ainsi un contrôle exceptionnel aux administrateurs.
  • Élimine la dépendance du client à un serveur d’authentification supplémentaire pour générer un nombre attendu par les clients.

Workflow OTP natif

La solution OTP native est un processus double et le flux de travail est classé comme suit :

  • Enregistrement de l’appareil
  • Connexion de l’utilisateur final

Important

Vous pouvez ignorer le processus d’enregistrement si vous utilisez des solutions tierces ou si vous gérez d’autres périphériques en dehors de l’appliance Citrix ADC. La chaîne finale que vous ajoutez doit être au format spécifié par Citrix ADC.

La figure suivante illustre le flux d’enregistrement de l’appareil pour enregistrer un nouveau périphérique pour recevoir OTP.

Image localisée

Remarque

L’enregistrement de l’appareil peut être fait en utilisant n’importe quel nombre de facteurs. Le facteur unique (tel que spécifié dans la figure précédente) est utilisé comme exemple pour expliquer le processus d’enregistrement de l’appareil.

La figure suivante illustre la vérification de l’OTP par l’intermédiaire de l’appareil enregistré.

Image localisée

Conditions préalables

Pour utiliser la fonctionnalité OTP native, assurez-vous que les conditions préalables suivantes sont remplies.

  • La version de la fonctionnalité Citrix ADC est 12.0 build 53.13 et versions ultérieures.
  • La licence Advanced ou Premium Edition est installée sur Citrix Gateway.
  • L’appliance Citrix ADC est configurée avec l’adresse IP de gestion et la console de gestion est accessible à la fois à l’aide d’un navigateur et d’une ligne de commande.
  • Citrix ADC est configuré avec l’authentification, l’autorisation et l’audit du serveur virtuel pour authentifier les utilisateurs.
  • L’appliance Citrix ADC est configurée avec Unified Gateway et le profil d’authentification, d’autorisation et d’audit est attribué au serveur virtuel Gateway.
  • La solution OTP native est limitée au flux d’authentification nFactor. Des stratégies avancées sont nécessaires pour configurer la solution. Pour plus de détails, consultez l’articleCTX222713.

Vérifiez également ce qui suit pour Active Directory :

  • Longueur minimale d’attribut de 256 caractères.
  • Le type d’attribut doit être ‘DirectoryString’ tel que UserParameters. Ces attributs peuvent contenir des valeurs de chaîne.
  • Le type de chaîne d’attribut doit être Unicode, si le nom de périphérique est en caractères non anglais.
  • L’administrateur LDAP Citrix ADC doit disposer d’un accès en écriture à l’attribut AD sélectionné.
  • L’appliance Citrix ADC et la machine cliente doivent être synchronisées avec un serveur de temps réseau commun.

Configurer OTP natif à l’aide de l’interface graphique

L’enregistrement OTP natif n’est pas seulement une authentification par facteur unique. Les sections suivantes vous aident à configurer l’authentification à un et à un deuxième facteur.

Créer un schéma de connexion pour le premier facteur

  1. Accédez à Sécurité AAA > Trafic des applications > Schéma de connexion.
  2. Accédez à Profils et cliquez sur Ajouter .
  3. Dans la page Créer un schéma de connexion d’authentification, entrez lschema_first_factor sous le champ Nom et cliquez sur Modifier en regard de noschema .
  4. Cliquez sur le dossier LoginsSchema .
  5. Faites défiler la page vers le bas pour sélectionner SingleAuth.xml et cliquez sur Sélectionner .
  6. Cliquez sur Créer.
  7. Cliquez sur Stratégies, puis sur Ajouter .
  8. Dans l’écran Créer une stratégie de schéma de connexion d’authentification, entrez les valeurs suivantes.

    Nom : lschema_first_factor Profil : sélectionnez lschema_first_factor dans la liste. Règle : HTTP.REQ.COOKIE.VALUE (« NSC_TASS ») .EQ (« manageotp »)

Configurer l’authentification, l’autorisation et l’audit du serveur virtuel

  1. Accédez à Sécurité > AAA — Trafic d’applications > Authentification Virtual Serveurs. Cliquez pour modifier le serveur virtuel existant.
  2. Cliquez sur l’icône + en regard de Schemas de connexion sous Paramètres avancés dans le volet droit.
  3. Sélectionnez Aucun schéma de connexion.
  4. Cliquez sur la flèche et sélectionnez la stratégie lschema_first_factor .
  5. Sélectionnez la stratégie lschema_first_factor et cliquez sur Sélectionner.
  6. Cliquez sur Lier.
  7. Faites défiler la page vers le haut et sélectionnez 1 Stratégie d’authentification sous Stratégie d’authentification avancée .
  8. Cliquez avec le bouton droit sur la stratégie nFactor et sélectionnez Modifier la liaison .
  9. Cliquez sur l’icône + présente sous Sélectionner le facteur suivant, créez un facteur suivant, puis cliquez sur Lier.
  10. Dans l’écran Créer une stratégie d’authentification, entrez ce qui suit et cliquez sur Continuer :

    Nom : OTP_Manage_Factor

    Schéma de connexion : Lschema_Int

  11. Dans l’écran Étiquette de stratégie d’authentification, cliquez sur l’icône + pour créer une stratégie.

  12. Dans l’écran Créer une stratégie d’authentification, entrez les éléments suivants :

    Nom. otp_manage_ldap

  13. Sélectionnez le type d’action à l’aide de la liste Type d’action .
  14. Dans le champ Action, cliquez sur l’icône + pour créer une action.
  15. Dans la page Créer une authentification serveur LDAP, sélectionnez le bouton radio IP du serveur, désactivez la case à cocher en regard de Authentification, entrez les valeurs suivantes et sélectionnez Tester la connexion .

    Nom : ldap_no_auth

    Adresse IP : 192.168.10.11

    DN de base : DC=Formation, DC=Lab

    Administrateur : Administrator@training.lab

    Mot de passe : xxxxx

  16. Faites défiler la page jusqu’à la section Autres paramètres . Utilisez la liste pour sélectionner les options suivantes.

    Nom d’ouverture de session du serveur Attribut comme Nouveau et tapez userprincipalname.

  17. Utilisez la liste pour sélectionner l’attribut Nom SSO comme Nouveau et tapez userprincipalname.
  18. Entrez « UserParameters » dans le champ secret OTP et cliquez sur Plus .
  19. Entrez les attributs suivants.

    Attribut 1 = mail Attribut 2 = ObjectGUID Attribut 3 = ImmutableID

  20. Cliquez sur OK.
  21. Dans la page Créer une stratégie d’authentification, définissez l’expression sur true et cliquez sur Créer .
  22. Sur la page Créer une étiquette de stratégie d’authentification, cliquez sur Lier, puis sur Terminé.
  23. Dans la page Liaison de stratégie, cliquez sur Liaison .
  24. Dans la page Stratégie d’authentification, cliquez sur Fermer et cliquez sur Terminé .

Remarque

Le serveur virtuel d’authentification doit être lié au thème du portail RFWebUi. Liez un certificat de serveur au serveur. L’adresse IP du serveur « 1.2.3.5 » doit avoir un nom de domaine complet correspondant, otpauth.server.com, pour une utilisation ultérieure.

Créer un schéma de connexion pour le deuxième facteur OTP

  1. Accédez à Sécurité > AAA - Trafic des applications > Serveurs virtuels. Sélectionnez le serveur virtuel à modifier.
  2. Faites défiler la page vers le bas et sélectionnez 1 schéma de connexion.
  3. Cliquez sur Ajouter une liaison.
  4. Sous la section Liaison de stratégie, cliquez sur l’icône + pour ajouter une stratégie.
  5. Dans la page Créer une stratégie de schéma de connexion d’authentification, entrez Nom en tant que OTP, puis cliquez sur l’icône + pour créer un profil.
  6. Dans la page Créer un schéma de connexion d’authentification, entrez Nom en tant que OTP, puis cliquez sur l’icône en regard de noschema.
  7. Cliquez sur le dossier LoginsSchema, sélectionnez DualAuth.xml, puis cliquez sur Sélectionner .
  8. Cliquez sur Créer.
  9. Dans la section Règle, entrez True . Cliquez sur Créer.
  10. Cliquez sur Bind.
  11. Notez les deux facteurs d’authentification. Cliquez sur Fermer, puis sur Terminé .

Configurer la stratégie de commutation de contenu pour gérer OTP

Les configurations suivantes sont requises si vous utilisez Unified Gateway.

  1. Accédez à Gestion du trafic > Commutation de contenu > Stratégies. Sélectionnez la stratégie de changement de contenu, cliquez avec le bouton droit de la souris, puis sélectionnez Modifier.

  2. Modifiez l’expression pour évaluer l’instruction OR suivante et cliquez sur OK :

is_vpn_url||HTTP.REQ.URL.CONTAINS("manageotp")

Configurer OTP natif à l’aide de l’interface de ligne de commande

Vous devez disposer des informations suivantes pour configurer la page de gestion des périphériques OTP :

  • IP assignée au serveur virtuel d’authentification
  • Nom de domaine complet correspondant à l’adresse IP assignée
  • Certificat de serveur pour l’authentification serveur virtuel

Remarque

Native OTP est une solution Web uniquement.

Pour configurer la page d’enregistrement et de gestion des périphériques OTP

Créer un serveur virtuel d’authentification

  • add authentication vserver authvs SSL 1.2.3.5 443
  • bind authentication vserver authvs -portaltheme RFWebUI
  • bind ssl vserver authvs -certkeyname otpauthcert

Remarque

Le serveur virtuel d’authentification doit être lié au thème du portail RFWebUi. Vous devez lier un certificat de serveur au serveur. L’adresse IP du serveur « 1.2.3.5 » doit avoir un nom de domaine complet correspondant, otpauth.server.com, pour une utilisation ultérieure.

Pour créer une action d’ouverture de session LDAP

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> - serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

Exemple :

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname

Pour ajouter une stratégie d’authentification pour l’ouverture de session LDAP

add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action

Pour présenter l’interface utilisateur via LoginsChema

Afficher les champs de nom d’utilisateur et de mot de passe aux utilisateurs lors de l’ouverture de session

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"

Afficher la page d’enregistrement et de gestion des périphériques

Citrix recommande deux façons d’afficher l’écran d’enregistrement et de gestion de l’appareil : URL ou nom d’hôte.

  • Utilisation de l’URL

    Lorsque l’URL contient ‘/manageotp’

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
  • Utilisation du nom d’hôte

    Lorsque le nom d’hôte est « alt.server.com ».

    • add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
    • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

Pour configurer la page de connexion utilisateur à l’aide de l’interface de ligne de commande

Vous devez disposer des informations suivantes pour configurer la page Ouverture de session de l’utilisateur :

  • IP pour un serveur virtuel d’équilibrage de charge
  • Nom de domaine complet correspondant pour le serveur virtuel d’équilibrage de charge
  • Certificat de serveur pour le serveur virtuel d’équilibrage de charge

Remarque

Réutiliser le serveur virtuel d’authentification existant (authvs) pour l’authentification à deux facteurs.

Pour créer un serveur virtuel d’équilibrage de charge

add lb vserver lbvs_https SSL 1.2.3.162 443 -persistenceType NONE -cltTimeout 180 -  AuthenticationHost otpauth.server.com -Authentication ON -authnVsName authvs
bind ssl vserver lbvs_https -certkeyname lbvs_server_cert

Le service back-end dans l’équilibrage de charge est représenté comme suit :

add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com

Pour créer une action de validation de code d’accès OTP

add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>`

Exemple :

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort
636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.
com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication
DISABLED -OTPSecret userParameters

Important

La différence entre l’ouverture de session LDAP et l’action OTP est la nécessité de désactiver l’authentification et d’introduire un nouveau paramètre “OTPSecret.” La valeur de l’attribut AD ne doit pas être utilisée.

Pour ajouter une stratégie d’authentification pour la validation du code d’accès OTP

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action

Pour présenter l’authentification à deux facteurs via LoginsSchema

Ajoutez l’interface utilisateur pour l’authentification à deux facteurs.

  • add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/loginschema/LoginSchema/DualAuth.xml"
  • add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor

Pour créer un facteur de validation de code d’accès via l’étiquette de stratégie

Créer une étiquette de stratégie de flux OTP pour le facteur suivant (le premier facteur est l’ouverture de session LDAP)

  • add authentication loginSchema lschema_noschema -authenticationSchema noschema
  • add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

Pour lier la stratégie OTP à l’étiquette de stratégie

bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

Pour lier le flux de l’interface utilisateur

Liez l’ouverture de session LDAP suivie de la validation OTP avec le serveur virtuel d’authentification.

  • bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT
  • bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Enregistrez votre appareil avec Citrix ADC

  1. Accédez à votre nom de domaine complet Citrix ADC (première adresse IP publique), avec un suffixe /manageotp. Par exemple, https://otpauth.server.com/manageotp Connectez-vous avec les informations d’identification de l’utilisateur.
  2. Cliquez sur l’icône + pour ajouter un périphérique.

    image localisée

  3. Entrez un nom de périphérique et appuyez sur Aller. Un code à barres apparaît à l’écran.
  4. Cliquez sur Commencer la configuration, puis sur Scanner le code-barres .
  5. Placez la souris sur le code QR sur la caméra de l’appareil. Vous pouvez éventuellement entrer le code à 16 chiffres.

    localiser l'image

    Remarque

    Le code QR affiché est valide pendant 3 minutes.

  6. Une fois l’analyse réussie, vous êtes présenté avec un code temporel à 6 chiffres qui peut être utilisé pour vous connecter.

    image localisée

  7. Pour tester, cliquez sur Terminé sur l’écran QR, puis cliquez sur la coche verte à droite.
  8. Sélectionnez votre appareil dans la liste et entrez le code de Google Authenticator (doit être bleu et non rouge), puis cliquez sur OK.
  9. Assurez-vous de vous déconnecter à l’aide de la liste située dans le coin supérieur droit de la page.

Connectez-vous à Citrix ADC à l’aide de l’outil OTP

  1. Accédez à votre première URL publique et saisissez votre OTP depuis Google Authenticator pour vous connecter.
  2. Authentifiez-vous sur la page de démarrage Citrix ADC.

    image localisée

Intégration OTP avec des solutions tierces utilisant des jetons matériels

Important

  • Vous n’avez pas à enregistrer l’appliance Citrix ADC pour l’utiliser comme support de jetons matériels.
  • Cette fonctionnalité est prise en charge à partir de Citrix ADC version 12.1 build 51.16 et versions ultérieures.

Le système Citrix ADC OTP est désormais conforme au TOTP RFC 6238. Cela signifie que Citrix ADC utilise l’heure actuelle en secondes ainsi qu’un secret partagé pour calculer le code TOTP. Citrix ADC utilise une tranche de temps de 30 secondes et un algorithme HMAC-SHA1.

À partir de Citrix ADC version 12.1 build 51.16, ADC prend en charge les solutions tierces qui utilisent une taille de clé étendue ou un algorithme SHA2. Les utilisateurs peuvent désormais configurer l’objet Active Directory avec une valeur initiale plus grande et un algorithme différent.

Citrix ADC stocke les informations sur l’objet utilisateur dans Active Directory dans le format suivant :

#@mobile1=QB2ZJAOSNCMTRTQFYTEA&,

Le texte en majuscules est la graine de TOTP. L’algorithme est supposé être HMAC-SHA1 et la tranche de temps est supposée être de 30 secondes.

Pour l’interopérabilité avec Citrix ADC à l’aide de jetons matériels ou de solutions tierces, vous pouvez personnaliser la chaîne comme suit :

#@mobile1=<variable length seed>&alg=sha2&,

Remarque

  • La graine ‘sha2’ doit être un secret codé en base32.
  • La valeur de la tranche de temps ne peut pas être modifiée à partir de 30 secondes.

Vous pouvez fournir une valeur d’amorçage de longueur variable. En outre, vous pouvez spécifier « alg=sha2&, » vers la fin, avant la virgule. Autrement dit, “alg=sha2” devrait être ajouté après “&” mais avant “,.” Le délimiteur d’extrémité doit toujours être “&,.”

Remarque

Toute erreur de configuration en dehors de ce qui est décrit peut entraîner des résultats inattendus.

Sécuriser la gestion de l’OTP

Il existe différentes façons de présenter la page de gestion OTP aux utilisateurs finaux. La façon la plus courante est de présenter la page de gestion OTP autonome. Cependant, il faut veiller à ce que la page de gestion de l’OTP soit servie après avoir satisfait aux exigences de sécurité. Un minimum de deux facteurs doit être validé avant de présenter à l’utilisateur la page de gestion OTP à l’externe. Cette section décrit les meilleures pratiques pour présenter la page de gestion OTP.

Marquage des attributs Active Directory comme confidentiels

La solution OTP utilise nativement l’objet Active Directory de l’utilisateur pour stocker certaines informations utilisées dans le calcul des codes OTP. Bien que la solution OTP soit hautement flexible et économise des économies importantes pour les clients, l’attribut OTP contient des informations sensibles qui sont critiques pour OTP. Les clients doivent s’assurer que seuls les utilisateurs disposant de droits explicites sont en mesure d’afficher le contenu de cet attribut.

  • Le Citrix ADC version 13.0 build 41.20 et versions ultérieures offre un chiffrement OTP natif des données stockées dans l’annuaire actif et fournit ainsi une sécurité renforcée.
  • Pour les clients qui utilisent des versions antérieures de Citrix ADC, il est recommandé de marquer certains attributs comme confidentiels afin de protéger l’attribut OTP sur l’annuaire actif. Lorsque les attributs sont marqués comme confidentiels, seuls les utilisateurs disposant d’autorisations explicites peuvent afficher ces attributs.

Pour plus d’informations sur le marquage des attributs comme confidentiels, voir ;

Enregistrement interne d’un seul facteur

Souvent, les clients n’utilisent pas de fournisseur tiers pour l’authentification à deux facteurs. Si ces clients souhaitent passer à l’OTP de Citrix ADC, seuls les utilisateurs peuvent disposer d’informations d’identification AD disponibles. Dans ces cas, un site interne peut être hébergé qui utilise uniquement AD ou Kerberos pour l’enregistrement des périphériques OTP.Le schéma de connexion SingleAuthManangeotp.xml peut être utilisé pour présenter cette page en fonction de la source.

Enregistrement à double facteur externe

Lorsque les utilisateurs accèdent à la page de gestion OTP en externe, les utilisateurs doivent être invités à présenter un deuxième facteur pour même enregistrer leurs appareils. Si les clients ont d’autres solutions OTP (jeton RSA ou autres), ils doivent être invités à le valider avant d’accéder au portail libre-service. Si les clients n’utilisent pas de jetons tiers, le premier appareil peut être enregistré uniquement à partir des locaux. Les appareils suivants utilisent l’un des appareils déjà enregistrés. DualAuthManageOTP.xml peut être utilisé pour afficher deux champs de mot de passe aux utilisateurs finaux.

Défis liés à l’enregistrement à double facteur à l’externe

Le défi auquel les clients sont souvent confrontés est de déterminer quand les utilisateurs sont externes. Les utilisateurs peuvent modifier des parties d’en-têtes HTTP telles que les en-têtes « Host ». Par conséquent, l’identification de la source fait partie intégrante de la vérification de la gestion OTP. Habituellement, les déploiements ont un périphérique NAT face à Internet avec un pare-feu. Tous les accès externes se font généralement via l’IP source de ce périphérique NAT (lorsqu’il est vu à partir de la Gateway). Les accès internes se produisent généralement directement. Les clients peuvent appliquer ce fait pour identifier la source.

Flux de gestion OTP

L’organigramme suivant illustre un flux de gestion de l’OTP typique pour l’enregistrement à double facteur.

Image localisée

Exemple de configuration

Comme mentionné ci-dessus, le défi avec le diagramme de flux consiste à déterminer si l’utilisateur est externe ou non. Différentes organisations ont des configurations réseau différentes pour identifier cela. Dans cet exemple, supposons que l’utilisateur provient du réseau 10.x.x.x et que l’utilisateur est donc considéré comme interne. Cependant, cela doit être corrigé selon le réseau du client.

Étapes à suivre pour configurer l’enregistrement à double facteur en externe :

  • Configurer la vue de formulaire de connexion
add expression is_external_user “CLIENT.IP.SRC.IN_SUBNET(10.0.0.0/8).NOT && http.req.cookie.value("NSC_TASS").eq("manageotp")”

add authentication loginSchema dualauth_registerotp -authenticationSchema DualAuthManageOTP.xml

add authentication loginSchemaPolicy dualauth_registerotp –rule “is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")” –action dualauth_registerotp

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "LoginSchema/SingleAuthManageOTP.xml"

add authentication loginSchemaPolicy lschema_single_auth_manage_otp -rule "!is_external_user && http.req.cookie.value("NSC_TASS").eq("manageotp")" -action lschema_single_auth_manage_otp

add authentication vserver nfactor_gateway_auth SSL x.x.x.x 443
  • Lier les certificats appropriés
bind authentication vserver nfactor_gateway_auth -policy lschema_single_auth_manage_otp -priority 85 -gotoPriorityExpression END

bind authentication vserver nfactor_gateway_auth -policy dualauth_registerotp -priority 80 -gotoPriorityExpression END

Remarque : les clients peuvent également avoir d’autres stratégies de schéma de connexion à ce stade pour la connexion réelle. Ceux-ci sont omis pour des raisons de brièveté.

  • Configurer les facteurs de connexion

Pour configurer les facteurs de connexion, ajoutez des actions AD.

Action AD pour l’ouverture de session :

    add authentication ldapAction ldap_action_login -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>

Action AD pour la validation et l’enregistrement OTP :

    add authentication ldapAction ldap_action_otp -serverIP <SERVER IP> -  serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT> -authentication disabled –OTPSecret UserParameters
  • Ajouter des stratégies
add authentication policy ldap_login_policy_internal –rule ‘!is_external_user’ –action ldap_action_login

add authentication policy ldap_login_otp_validation –rule ‘is_external_user -action ldap_action_otp

add authentication policy ldap_login_policy_external –rule ‘true’ –action ldap_action_login

add authentication policy ldap_login_otp_management –rule ‘true’ -action ldap_action_otp
  • Ajouter d’abord le facteur OTP
add authentication policylabel otp_management_factor

bind authentication policylabel otp_management_factor –policy ldap_login_otp_management –pri 100
  • Ajouter le facteur de validation AD pour les utilisateurs externes
add authentication policylabel ldap_login_external_factor

bind authentication policylabel ldap_login_external_factor –policy ldap_login_policy_external –pri 100 –nextFactor otp_management_factor
  • Lier des stratégies au serveur virtuel
bind authentication vserver nfactor_gateway_auth –policy ldap_login_policy_internal –pri 100 –nextFactor otp_management_factor

bind authentication vserver nfactor_gateway_auth –policy ldap_login_otp_validation –pri 110 –nextFactor ldap_login_external_factor