ADC

Configurer le nom d’utilisateur prérempli à partir du certificat dans l’authentification NetScaler nFactor

La section suivante décrit le cas d’utilisation de l’authentification à deux facteurs. Le premier facteur est l’authentification par certificat suivie de LDAP.

Cas d’utilisation : authentification par certificat et LDAP

Supposons un cas d’utilisation dans lequel les administrateurs configurent l’authentification à deux facteurs. Authentification de premier niveau en tant que certificat et suivie de l’authentification LDAP. Dans le premier cas, le client demande un certificat utilisateur. Le nom d’utilisateur est extrait du certificat et pré-rempli dans le champ du nom d’utilisateur du formulaire d’ouverture de session renvoyé pour le facteur suivant.

  1. Le navigateur client accède au serveur virtuel de gestion du trafic et est redirigé vers une page d’ouverture de session pour l’authentification.

  2. Le premier facteur est évalué par rapport à une action de certificat qui extrait le nom d’utilisateur. L’évaluation est réussie et transmise au facteur suivant, la stratégie “label1” dans ce cas.

  3. L’étiquette de stratégie indique que le deuxième facteur est le schéma de connexion “PrefilUserFromExpr.xml” avec la stratégie LDAP.

  4. Le formulaire de connexion avec le nom d’utilisateur prérempli est renvoyé pour obtenir le mot de passe de l’utilisateur pour l’authentification LDAP.

  5. Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où se trouve le contenu demandé. En revanche, si la connexion échoue, le navigateur du client affiche la page d’ouverture de session d’origine, afin que le client puisse réessayer.

Remarque

La configuration peut également être créée via le visualiseur nFactor disponible dans NetScaler version 13.0 et versions ultérieures.

Visualiseur NFactor SAML et LDAP

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et le serveur d’authentification.

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

      ou

    • set ssl parameter –denysslrenegotiation NO
  2. Configurez un premier facteur en tant qu’action de certificat.

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. Configurez un deuxième facteur.

    • add authentication loginSchema PrefilUserFromExpr -authenticationSchema PrefilUserFromExpr.xml
    • add authentication policylabel label1 -loginSchema PrefilUserFromExpr
  4. Configurez l’action LDAP.

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. Liez les stratégies.

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

Configuration à l’aide du visualiseur nFactor

  1. Accédez àSécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flowet cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom pour le flux

  4. Aucun schéma n’est nécessaire pour l’authentification du certificat.

  5. Cliquez sur Ajouter une stratégie pour créer une stratégie d’authentification du certificat.

    Stratégie de préremplissage

  6. Ajoutez une stratégie pour l’authentification du certificat.

    Ajouter une stratégie de certificat

    Remarque

    Pour plus d’informations sur l’authentification des certificats, voir Configuration et liaison d’une stratégie d’authentification de certificat client.

  7. Cliquez sur vert + à côté de la stratégie de cert pour ajouter le facteur suivant.

    Ajouter le facteur suivant à la stratégie

  8. Sélectionnez Créer un facteur pour créer un facteur pour l’authentification LDAP.

    Créer un facteur LDAP

  9. Cliquez sur Ajouter un schéma pour ajouter un schéma PrefilUserFormExpr.xml pour le deuxième facteur dont le nom d’utilisateur est prérempli.

    Nom d'utilisateur pré-rempli

  10. Sélectionnez Ajouter une stratégie pour ajouter une stratégie d’authentification LDAP.

    Stratégie pour LDAP

    Remarque

    Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.

  11. Cliquez sur Terminé pour enregistrer la configuration.

  12. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.

    Lier le serveur d'authentification

    Remarque

    Liez et déliez le flux nFactor via l’option fournie dans NFactor Flow sous Afficher les liaisons uniquement.

Délier le flux NFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.

Configurer le nom d’utilisateur prérempli à partir du certificat dans l’authentification NetScaler nFactor