ADC

Configurer l’authentification à deux facteurs avec un schéma de connexion et un schéma de transmission dans l’authentification NetScaler nFactor

La section suivante décrit le cas d’utilisation de l’authentification à deux facteurs avec un schéma de connexion et un schéma de transfert.

Authentification à deux facteurs avec un schéma de connexion et un schéma de transfert

Supposons un cas d’utilisation dans lequel les administrateurs configurent l’authentification à deux facteurs avec un schéma de connexion et un schéma de transfert. Le client envoie un nom d’utilisateur et deux mots de passe. Le premier ensemble de nom d’utilisateur et de mot de passe est évalué via une stratégie LDAP en tant que premier facteur, et le second mot de passe est évalué par le biais d’une stratégie RADIUS en tant que deuxième facteur.

  1. Une fois que vous accédez au serveur virtuel de gestion du trafic, vous êtes redirigé vers la page de connexion pour l’authentification.

  2. Le client envoie un nom d’utilisateur et deux mots de passe, par exemple utilisateur1, pass1 et pass2.

  3. First Factor est évalué par rapport à une action LDAP pour user1 et pass1. L’évaluation est réussie et transmise au facteur suivant, la stratégie “label1” ; dans ce cas.

  4. L’étiquette de stratégie spécifie que le deuxième facteur est direct avec une stratégie RADIUS. Un schéma de transfert signifie que l’appliance NetScaler ne retourne pas vers le client pour toute autre entrée. NetScaler utilise simplement les informations dont il dispose déjà. Dans ce cas, il s’agit de user1 et pass2. Le deuxième facteur est ensuite évalué implicitement.

  5. Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où le contenu demandé est disponible. Si la connexion échoue, le navigateur client affiche la page d’ouverture de session d’origine afin que le client puisse réessayer.

    Page d'ouverture de session

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez le serveur virtuel de gestion du trafic et d’authentification.

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. Configurez un deuxième facteur.

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. Configurez le facteur LDAP et RADIUS.

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. Liez les stratégies.

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

Remarque

La configuration peut également être créée via le visualiseur nFactor disponible dans NetScaler version 13.0 et versions ultérieures.

Visualiseur nFactor deux facteurs

Configuration à l’aide du visualiseur nFactor

  1. Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > Flux nFactor, puis cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor. Cliquez sur Créer.

    Ajouter un nom pour le flux

  4. Pour ajouter les deux schémas de mots de passe pour le premier facteur, cliquez sur Ajouter un schéma.

    Ajouter un schéma

  5. Cliquez sur Ajouter une stratégie pour ajouter la stratégie LDAP. Vous pouvez créer une stratégie d’authentification ou sélectionner une stratégie d’authentification existante dans la liste.

    Ajouter une stratégie LDAP

  6. Dans l’onglet Action, sélectionnez Serveur LDAP.

    Ajouter une stratégie LDAP

    Remarque

    Si le serveur LDAP n’est pas ajouté, pour plus d’informations sur l’ajout d’un serveur LDAP, voir Stratégies d’authentification LDAP

  7. Cliquez sur vert + pour ajouter le facteur RADIUS, puis cliquez sur Créer .

    Ajouter le facteur suivant

  8. N’ajoutez pas de schéma pour ce facteur, car il ne prend pas de schéma par défaut. Pour ajouter une stratégie d’authentification RADIUS, cliquez sur Ajouter une stratégie.

    Stratégie d'authentification Radius

    Remarque

    Si le serveur RADIUS n’est pas ajouté, pour plus d’informations sur l’ajout d’un serveur RADIUS, voir Pour configurer l’authentification RADIUS

  9. Cliquez sur Terminé pour enregistrer la configuration.

  10. Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.

Configurer l’authentification à deux facteurs avec un schéma de connexion et un schéma de transmission dans l’authentification NetScaler nFactor