Configuration du retour de mot de passe avec RADIUS

Vous pouvez remplacer les mots de passe de domaine par un mot de passe unique généré par un jeton à partir d’un serveur RADIUS. Lorsque les utilisateurs ouvrent une session sur Citrix Gateway, ils saisissent un numéro d’identification personnel (PIN) et le code d’accès du jeton. Une fois Citrix Gateway validé ses informations d’identification, le serveur RADIUS renvoie le mot de passe Windows de l’utilisateur à Citrix Gateway. Citrix Gateway accepte la réponse du serveur, puis utilise le mot de passe renvoyé pour l’authentification unique au lieu d’utiliser le code d’accès tapé par les utilisateurs lors de l’ouverture de session. Cette fonction de retour de mot de passe avec RADIUS vous permet de configurer l’authentification unique sans demander aux utilisateurs de rappeler leur mot de passe Windows.

Lorsque les utilisateurs ouvrent une session à l’aide du retour de mot de passe, ils peuvent accéder à toutes les ressources réseau autorisées dans le réseau interne, y compris Citrix Endpoint Management, StoreFront et l’interface Web.

Pour activer l’authentification unique à l’aide des mots de passe retournés, vous configurez une stratégie d’authentification RADIUS sur Citrix Gateway à l’aide des paramètres Identificateur fournisseur de mot de passe et Type d’attribut de mot de passe. Ces deux paramètres retournent le mot de passe Windows de l’utilisateur à Citrix Gateway.

Citrix Gateway prend en charge Imprivata OneSign. La version minimale requise d’Imprivata OneSign est 4.0 avec le Service Pack 3. L’identifiant fournisseur de mot de passe par défaut pour Imprivata OneSign est 398. Le code de type d’attribut de mot de passe par défaut pour Imprivata OneSign est 5.

Vous pouvez utiliser d’autres serveurs RADIUS pour le retour de mot de passe, tels que RSA, Cisco ou Microsoft. Vous devez configurer le serveur RADIUS pour renvoyer le mot de passe de connexion unique utilisateur dans une paire de valeurs attributaires spécifique au fournisseur. Dans une stratégie d’authentification Citrix Gateway, vous devez ajouter les paramètres Identificateur fournisseur de mot de passe et Type d’attribut de mot de passe pour ces serveurs.

Vous trouverez une liste complète des identifiants de fournisseur sur la pageSite Web de l’Autorité des numéros attribués à Internet (IANA). Par exemple, l’identificateur fournisseur pour la sécurité RSA est 2197, pour Microsoft, il est 311, et pour Cisco Systems, il est 9. L’attribut spécifique au fournisseur pris en charge par un fournisseur doit être confirmé auprès du fournisseur. Par exemple, Microsoft a publié une liste d’attributs spécifiques au fournisseur à l’adresseAttributs RADIUS spécifiques au fournisseur Microsoft.

Vous pouvez sélectionner l’un des attributs spécifiques au fournisseur pour stocker le mot de passe d’authentification unique pour les utilisateurs sur le serveur RADIUS du fournisseur. Si vous configurez Citrix Gateway avec l’identificateur fournisseur et l’attribut où le mot de passe utilisateur est stocké sur le serveur RADIUS, Citrix Gateway demande la valeur de l’attribut dans le paquet de demande d’accès envoyé au serveur RADIUS. Si le serveur RADIUS répond avec la paire attribut-valeur correspondante dans le paquet Access-Accepter, le retour du mot de passe fonctionne quel que soit le serveur RADIUS que vous utilisez.

Pour configurer l’authentification unique à l’aide des mots de passe retournés :

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez Citrix Gateway > Stratégies > Authentification.
  2. Dans le volet de navigation, cliquez sur RADIUS.
  3. Dans le volet d’informations, cliquez sur Ajouter.
  4. Dans la boîte de dialogue Créer une stratégie d’authentification, dans Nom, tapez un nom pour la stratégie.
  5. En regard de Serveur, cliquez sur Nouveau.
  6. Dans Nom, tapez le nom du serveur.
  7. Configurez les paramètres du serveur RADIUS.
  8. Dans Identifiant fournisseur de mot de passe, tapez l’identificateur fournisseur renvoyé par le serveur RADIUS. Cet identifiant doit avoir une valeur minimale de 1.
  9. Dans Type d’attribut de mot de passe, tapez le type d’attribut renvoyé par le serveur RADIUS dans le code AVP spécifique au fournisseur. La valeur peut varier de 1 à 255.
  10. Dans la boîte de dialogue Créer une stratégie d’authentification, en regard d’Expressions nommées, sélectionnez l’expression, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.

Configuration du retour de mot de passe avec RADIUS