Configuration des certificats client et de l’authentification à deux facteurs LDAP

Vous pouvez utiliser un certificat client sécurisé avec authentification et autorisation LDAP, par exemple en utilisant l’authentification par carte à puce avec LDAP. L’utilisateur ouvre une session, puis le nom d’utilisateur est extrait du certificat client. Le certificat client est la forme principale d’authentification et LDAP est le formulaire secondaire. L’authentification de certificat client doit avoir la priorité sur la stratégie d’authentification LDAP. Lorsque vous définissez la priorité des stratégies, affectez un nombre inférieur à la stratégie d’authentification de certificat client que le numéro que vous affectez à la stratégie d’authentification LDAP.

Pour utiliser un certificat client, vous devez disposer d’une autorité de certification (CA) d’entreprise, telle que les services de certificats dans Windows Server 2008, s’exécutant sur le même ordinateur qui exécute Active Directory. Vous pouvez utiliser l’autorité de certification pour créer un certificat client.

Pour utiliser un certificat client avec authentification et autorisation LDAP, il doit s’agir d’un certificat sécurisé qui utilise SSL (Secure Sockets Layer). Pour utiliser des certificats client sécurisés pour LDAP, installez le certificat client sur la machine utilisateur et installez un certificat racine correspondant sur Citrix Gateway.

Avant de configurer un certificat client, procédez comme suit :

  • Créez un serveur virtuel.
  • Créez une stratégie d’authentification LDAP pour le serveur LDAP.
  • Définissez l’expression de la stratégie LDAP sur Valeur True.

Pour configurer l’authentification de certificat client avec LDAP

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez Citrix Gateway > Stratégies > Authentification.
  2. Dans le volet de navigation, sous Authentification, cliquez sur Cert.
  3. Dans le volet d’informations, cliquez sur Ajouter.
  4. Dans Nom, tapez un nom pour la stratégie.
  5. Dans Type d’authentification, sélectionnez Cert.
  6. En regard de Serveur, cliquez sur Nouveau.
  7. Dans Nom, tapez un nom pour le serveur, puis cliquez sur Créer.
  8. Dans la boîte de dialogue Créer un serveur d’authentification, dans Nom, tapez le nom du serveur.
  9. En regard de Deux facteurs, sélectionnez ON.
  10. Dans le champ Nom d’utilisateur, sélectionnez Objet : CN, puis cliquez sur Créer.
  11. Dans la boîte de dialogue Créer une stratégie d’authentification, en regard d’Expressions nommées, sélectionnez Valeur True, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Après avoir créé la stratégie d’authentification de certificat, liez la stratégie au serveur virtuel. Après avoir lié la stratégie d’authentification de certificat, liez la stratégie d’authentification LDAP au serveur virtuel.

Important : vous devez lier la stratégie d’authentification de certificat au serveur virtuel avant de lier la stratégie d’authentification LDAP au serveur virtuel.

Pour installer un certificat racine sur Citrix Gateway

Après avoir créé la stratégie d’authentification de certificat, vous téléchargez et installez un certificat racine à partir de votre autorité de certification au format Base64 et l’enregistrez sur votre ordinateur. Vous pouvez ensuite télécharger le certificat racine vers Citrix Gateway.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
  2. Dans le volet d’informations, cliquez sur Installer.
  3. Dans Certificat - Nom de la paire de clés, tapez un nom pour le certificat.
  4. Dans Nom du fichier de certificat, cliquez sur Parcourir et dans la liste déroulante, sélectionnez Appliance ou Local.
  5. Accédez au certificat racine, cliquez sur Ouvrir, puis cliquez sur Installer.

Pour ajouter un certificat racine à un serveur virtuel

Après avoir installé le certificat racine sur Citrix Gateway, ajoutez le certificat au magasin de certificats du serveur virtuel.

Important : Lorsque vous ajoutez le certificat racine au serveur virtuel pour l’authentification par carte à puce, vous devez sélectionner le certificat dans la liste déroulante Sélectionner un certificat d’autorité de certification, comme illustré dans la figure suivante.

Figure 1. Ajout d’un certificat racine en tant qu’autorité de certification

image localisée

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Serveurs virtuels.

  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.

  3. Sous l’onglet Certificats, sous Disponible, sélectionnez le certificat, en regard de Ajouter, dans la liste déroulante, cliquez en tant qu’autorité de certification, puis cliquez sur OK.

  4. Répétez l’étape 2.

  5. Sous l’onglet Certificats, cliquez sur Paramètres SSL.

  6. Sous Autres, sélectionnez Authentification du client.

  7. Sous Autres, en regard de Certificat client, sélectionnez Facultatif, puis cliquez deux fois sur OK.

  8. Après avoir configuré le certificat client, testez l’authentification en vous connectant à Citrix Gateway avec le plug-in Citrix Gateway. Si plusieurs certificats sont installés, vous recevez une invite vous demandant de sélectionner le certificat approprié. Après avoir sélectionné le certificat, l’écran d’ouverture de session apparaît avec le nom d’utilisateur renseigné avec les informations obtenues à partir du certificat. Tapez le mot de passe, puis cliquez sur Connexion.

Si vous ne voyez pas le nom d’utilisateur correct dans le champ Nom d’utilisateur de l’écran d’ouverture de session, vérifiez les comptes d’utilisateurs et les groupes dans votre répertoire LDAP. Les groupes définis sur Citrix Gateway doivent être les mêmes que ceux du répertoire LDAP. Dans Active Directory, configurez des groupes au niveau racine du domaine. Si vous créez des groupes Active Directory qui ne sont pas au niveau racine du domaine, une lecture incorrecte du certificat client peut résulter.

Si les utilisateurs et les groupes ne sont pas au niveau racine du domaine, la page d’ouverture de session Citrix Gateway affiche le nom d’utilisateur configuré dans Active Directory. Par exemple, dans Active Directory, vous avez un dossier appelé Utilisateurs et le certificat indique CN = Utilisateurs. Dans la page d’ouverture de session, dans Nom d’utilisateur, le mot Utilisateurs apparaît.

Si vous ne souhaitez pas déplacer vos comptes de groupe et d’utilisateurs au niveau du domaine racine, lorsque vous configurez le serveur d’authentification de certificats sur Citrix Gateway, laissez vides Champs Nom d’utilisateur et Nom de groupe.