Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les appareils mobiles et tablettes

Cette section décrit comment configurer l’appliance Citrix Gateway pour qu’elle utilise l’authentification RADIUS en tant qu’authentification principale et l’authentification LDAP en tant que secondaire avec des appareils mobiles/tablettes.

La configuration démontrée dans la section permet toujours à toutes les autres connexions d’utiliser LDAP en premier et RADIUS en second.

Lorsque vous configurez l’authentification à deux facteurs sur Citrix Receiver pour une utilisation avec des appareils mobiles/tablettes, vous devez ajouter l’authentification RSA SecureID (RADIUS) comme authentification principale. Mais lorsque les utilisateurs obtiennent l’invite pour Nom d’utilisateur et Mot de passe, Code de passe sur Receiver, ils placeront LDAP en premier et RADIUS comme deuxième informations d’identification. Du point de vue de l’administrateur, il s’agit d’une configuration différente par rapport à la configuration non mobile.

image localisée

Procédez comme suit pour configurer l’appliance Citrix Gateway pour qu’elle utilise l’authentification RADIUS comme authentification principale et l’authentification LDAP comme secondaire avec les appareils mobiles/tablettes.

  1. Dans l’utilitaire de configuration, sélectionnez Citrix Gateway > Stratégies > Authentification et créez une stratégie d’authentification pour LDAP et RSA pour les appareils mobiles et les périphériques non mobiles. Ceci est nécessaire pour éviter une condition logique qui pourrait permettre aux utilisateurs de contourner l’authentification RADIUS.

    image localisée

  2. Entrez les détails du serveur LDAP après avoir cliqué sur l’option Ajouter sous l’onglet Serveurs pour LDAP.

    image localisée

    Pour plus de détails sur la configuration du serveur d’authentification, reportez-vous à la section « Création d’un serveur d’authentification » de Comment configurer l’authentification LDAP sur NetScaler

  3. Créez une stratégie LDAP pour les périphériques mobiles en choisissant le serveur LDAP requis.

    Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent CONTIENT CitrixReceiver`
    

    image localisée

  4. Cliquez sur Éditeur d’expressions pour créer une stratégie :

    image localisée

  5. Créez une stratégie RADIUS et un serveur RADIUS pour les périphériques mobiles.

    (a) Accédez à l’option RADIUS dans Citrix Gateway > Stratégies > Authentification > RADIUS. Cliquez sur Ajouter sous l’onglet Serveur.

    image localisée

    b) Ajouter les détails requis. Le port par défaut pour l’authentification RADIUS est 1812.

    image localisée

    (c) Pour lier cette politique uniquement aux appareils mobiles, utilisez l’expression suivante :

    image localisée

  6. Suivez la même étape pour créer une stratégie LDAP pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    image localisée

  7. Créez une stratégie RADIUS pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    image localisée

  8. Accédez aux propriétés du serveur virtuel Citrix Gateway et cliquez sur l’onglet Authentification. Dans les stratégies d’authentification principale, ajoutez la stratégie RSA_Mobile comme priorité principale et la stratégie LDAP_NonMobile comme priorité secondaire :

    image localisée

  9. Dans les stratégies d’authentification secondaire, ajoutez la stratégie LDAP_Mobile comme priorité principale, suivie de la stratégie RSA_NonMobile comme priorité secondaire :

    image localisée

    La stratégie de session doit avoir l’index des informations d’identification Single Sign-On correct, c’est-à-dire qu’il doit s’agir des informations d’identification LDAP. Pour les appareils mobiles, l’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire (LDAP).

Par conséquent, vous avez besoin de deux stratégies de session, l’une pour les appareils mobiles et l’autre pour les appareils non mobiles.

(a) Pour les appareils mobiles, la stratégie de session et le profil de session apparaîtront comme indiqué dans la capture d’écran suivante. Pour créer une stratégie de session, accédez au serveur virtuel requis, puis cliquez sur Modifier, accédez à la section Stratégie et cliquez sur + signe :

image localisée

(b) Choisissez l’option Session dans la liste déroulante.

image localisée

(c) Entrez le nom de stratégie de session souhaité et cliquez sur + pour créer un nouveau profil. Pour les appareils mobiles, l’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire (LDAP).

image localisée

d) Pour les appareils non mobiles, suivez les mêmes étapes. Index des informations d’identification sous Profil de session > Expérience client doit être défini sur Principal (LDAP).

L’expression doit être remplacée par :

`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`

image localisée

e) Pour créer un nouveau profil pour un utilisateur non mobile, cliquez sur + signe.

image localisée

  1. Les stratégies et les profils sous le serveur virtuel requis ressembleront à la capture d’écran suivante :

    image localisée

  2. En outre sur StoreFront, sous la configuration de Citrix Gateway définie pour utiliser’Type d’ouverture de session « = » Jeton Domain and Security “

    image localisée

    image localisée

Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les appareils mobiles et tablettes