nFactor pour l’authentification de passerelle

Introduction

L’authentification nFactor permet une toute nouvelle série de possibilités en ce qui concerne l’authentification. Les administrateurs utilisant nFactor bénéficient de la flexibilité de l’authentification, de l’autorisation et de l’audit (AAA) lors de la configuration des facteurs d’authentification pour les serveurs virtuels.

Deux banques de polices ou deux facteurs ne restreignent plus un administrateur. Le nombre de banques de polices peut être étendu en fonction de différents besoins. Sur la base de facteurs précédents, nFactor détermine une méthode d’authentification. Des formulaires de connexion dynamiques et des actions en cas d’échec sont possibles à l’aide de nFactor.

Remarque : nFactor n’est pas pris en charge pour Citrix ADC Standard Edition. Il est pris en charge pour Citrix ADC Enterprise Edition et Citrix ADC Platinum Edition.

Cas d’utilisation

L’authentification nFactor active les flux d’authentification dynamiques basés sur le profil utilisateur. Dans certains cas, il pourrait s’agir de flux simples pour être intuitifs pour l’utilisateur. Dans d’autres cas, ils peuvent être couplés avec la sécurisation d’Active Directory ou d’autres serveurs d’authentification. Voici quelques exigences spécifiques à Gateway :

  1. Sélection dynamique du nom d’utilisateur et du mot de passe. Traditionnellement, les clients Citrix (y compris les navigateurs et les récepteurs) utilisent le mot de passe Active Directory (AD) comme premier champ de mot de passe. Le deuxième mot de passe est généralement réservé au mot de passe à temps unique (OTP). Cependant, pour sécuriser les serveurs AD, OTP doit être validé en premier. nFactor peut le faire sans nécessiter de modifications client.

  2. Point de terminaison de l’authentification multi-locataire. Certaines organisations utilisent différents serveurs de passerelle pour les utilisateurs de certificats et non de certificats. Les utilisateurs utilisant leurs propres appareils pour se connecter, les niveaux d’accès de l’utilisateur varient sur Citrix ADC en fonction du périphérique utilisé. Gateway peut répondre à différents besoins d’authentification.

  3. Authentification basée sur l’appartenance au groupe. Certaines organisations obtiennent des propriétés utilisateur à partir de serveurs AD pour déterminer les exigences d’authentification. Les exigences en matière d’authentification peuvent varier selon les utilisateurs individuels.

  4. Cofacteurs d’authentification. Dans certains cas, différentes paires de stratégies d’authentification sont utilisées pour authentifier différents ensembles d’utilisateurs. La fourniture de stratégies de paires augmente l’authentification efficace. Les politiques dépendantes pourraient être élaborées à partir d’un seul flux. De cette façon, des ensembles de politiques indépendants deviennent des flux qui augmentent l’efficacité et réduisent la complexité.

Gestion des réponses d’authentification

Les registres de rappel Citrix Gateway gèrent les réponses d’authentification. Les réponses AAAD (démon d’authentification) et les codes de succès/échecs/erreur/dialogue sont alimentés au handle de rappel. Les codes de succès/échecs/erreur/dialogue ordonnent à Gateway de prendre les mesures appropriées.

Soutien à la clientèle

Le tableau suivant détaille les détails de configuration.

Client Prise en charge de nFactor Point de liaison de stratégie d’authentification EPA
Navigateurs Oui - Authentique Oui
Récepteurs Citrix Non VPN N
Connexion de passerelle Non VPN Oui

Configuration de la ligne de commande

Le serveur virtuel Gateway a besoin d’un serveur virtuel d’authentification nommé en tant qu’attribut. C’est la seule configuration requise pour ce modèle.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>

Le nom AuthnVsName est le nom du serveur virtuel d’authentification. Ce serveur virtuel doit être configuré avec des stratégies d’authentification avancées et est utilisé pour l’authentification nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile> set vpn vserver <name> -authnProfile <name-of-profile>

Où authnProfile est le profil d’authentification créé précédemment.

Défis interop

La plupart des clients Legacy Gateway, ainsi que les clients RFWeb, sont modélisés sur les réponses envoyées par Gateway. Par exemple, une réponse 302 à /vpn/index.html est attendue pour de nombreux clients. En outre, ces clients dépendent de divers cookies de passerelle tels que « pwcount », « NSC_CERT », etc.

Analyse des points de terminaison (EPA)

Étant donné que le sous-système AAA ne prend pas en charge EPA pour nFactor ; pourtant, le serveur virtuel Gateway effectue EPA. Après EPA, les informations d’identification de connexion sont envoyées au serveur virtuel d’authentification à l’aide de l’API susmentionnée. Une fois l’authentification terminée, Gateway poursuit le processus de post-authentification et établit la session utilisateur.

Considérations relatives à la mauvaise configuration

Le client Gateway envoie les informations d’identification utilisateur une seule fois. Gateway obtient une ou deux informations d’identification du client avec la demande de connexion. Dans le mode hérité, il y a un maximum de deux facteurs. Les mots de passe obtenus sont utilisés pour ces facteurs. Cependant, avec nFactor, le nombre de facteurs pouvant être configurés est pratiquement illimité. Les mots de passe obtenus à partir du client Gateway sont réutilisés (selon la configuration) pour les facteurs configurés. Il faut veiller à ce que le mot de passe à usage unique (OTP) ne soit pas réutilisé plusieurs fois. De même, l’administrateur doit s’assurer que le mot de passe réutilisé à un facteur est effectivement applicable à ce facteur.

Définition des clients Citrix

L’option de configuration est fournie pour aider Citrix ADC à déterminer les clients de navigateur par rapport aux clients épais tels que Receiver.

Un jeu de modèles, ns_vpn_client_useragents, est fourni à l’administrateur afin de configurer les modèles pour tous les clients Citrix.

De même, la liaison de la chaîne « Citrix Receiver » au patset ci-dessus pour ignorer tous les clients Citrix qui ont « Citrix Receiver » dans l’User-Agent.

Restriction de nFactor pour la passerelle

nfactor pour l’authentification de la passerelle ne se produira pas si les conditions suivantes sont présentes.

  1. Le profil AuthnProfile n’est pas défini dans Citrix Gateway.

  2. Les stratégies d’authentification avancées ne sont pas liées à l’authentification vserver et le même vserver d’authentification est mentionné dans AuthnProfile.

  3. La chaîne User-Agent dans la requête HTTP correspond aux agents utilisateurs configurés dans le jeu de patset ns_vpn_client_useragents.

Si ces conditions ne sont pas remplies, la stratégie d’authentification classique liée à Gateway est utilisée.

Si un User-Agent, ou une partie de celui-ci est lié au patset susmentionné, les demandes provenant de ces agents utilisateurs ne participent pas au flux nFactor. Par exemple, la commande ci-dessous limite la configuration de tous les navigateurs (en supposant que tous les navigateurs contiennent « Mozilla » dans la chaîne user-agent) :

lier le jeu de patchs ns_vpn_client_useragents Mozilla

LoginsChema

LoginsSchema est une représentation logique du formulaire d’ouverture de session. Le langage XML le définit. La syntaxe de LoginsChema est conforme à la spécification Common Forms Protocol de Citrix.

LoginsSchema définit la « vue » du produit. Un administrateur peut fournir une description personnalisée, un texte d’assistance, etc. du formulaire. Cela inclut les étiquettes du formulaire lui-même. Un client peut fournir un message de réussite/échec décrivant le formulaire présenté à un moment donné.

Connaissances LoginsChema et nFactor requises

Les fichiers LoginsSchema prédéfinis se trouvent dans l’emplacement Citrix ADC suivant /nsconfig/loginschema/loginschema/loginschema/. Ces fichiers LoginSchema préconstruits répondent à des cas d’utilisation courants et peuvent être modifiés pour de légères variations si nécessaire.

En outre, la plupart des cas d’utilisation à facteur unique avec peu de personnalisations n’ont pas besoin de configuration LoginsChema (s).

Il est conseillé à l’administrateur de vérifier la documentation pour les options de configuration supplémentaires qui permettent à Citrix ADC de découvrir les facteurs. Une fois que l’utilisateur a soumis les informations d’identification, l’administrateur peut configurer plusieurs facteurs afin de choisir et traiter avec souplesse les facteurs d’authentification.

Configuration de l’authentification à double facteur sans utiliser LoginsSchema

Citrix ADC détermine automatiquement les exigences à double facteur en fonction de la configuration. Une fois que l’utilisateur présente ces informations d’identification, l’administrateur peut configurer le premier ensemble de stratégies sur le serveur virtuel. Pour chaque stratégie, il pourrait y avoir un « NextFactor » configuré comme un « passthrough ». Un « passthrough » implique que l’Citrix ADC doit traiter l’ouverture de session à l’aide du jeu d’informations d’identification existant sans passer à l’utilisateur. En utilisant des facteurs « passthrough », un administrateur peut piloter par programme le flux d’authentification. Les administrateurs sont invités à lire la spécification nFactor ou les guides de déploiement pour plus de détails. Voir Authentification multi-facteurs (nFactor).

Nom d’utilisateur Expressions de mot de passe

Pour traiter les informations d’identification de connexion, l’administrateur doit configurer LoginsChema. Les cas d’utilisation à facteur unique ou à double facteur avec peu de personnalisations LoginsSchema n’ont pas besoin d’une définition XML spécifiée. LoginsChema possède d’autres propriétés telles que UserExpression et PasswdExpression qui peuvent être utilisées pour modifier le nom d’utilisateur/mot de passe que l’utilisateur présente. Il s’agit d’expressions de stratégie avancées et peuvent également être utilisées pour remplacer l’entrée de l’utilisateur.

Étapes de haut niveau dans la configuration nfactor

Le diagramme suivant illustre les étapes de haut niveau impliquées dans la configuration nfactor.

nfactor-workflow

Configuration de l’interface graphique

Les rubriques suivantes sont décrites dans cette section :

  • Créer un serveur virtuel

  • Créer un serveur virtuel d’authentification

  • Créer un profil CERT d’authentification

  • Créer une stratégie d’authentification

  • Ajouter un serveur d’authentification LDAP

  • Ajouter une stratégie d’authentification LDAP

  • Ajouter un serveur d’authentification Radius

  • Ajouter une stratégie d’authentification de rayon

  • Créer un schéma de connexion d’authentification

  • Créer un libellé de stratégie

Créer un serveur virtuel

  1. Accédez à Citrix Gateway - > Serveurs virtuels.

    image localisée

  2. Cliquez sur le bouton Ajouter pour créer un serveur virtuel d’équilibrage de charge.

    image localisée

  3. Entrez les informations suivantes.

    Nom du paramètre Description des paramètres
    Entrez le nom du serveur virtuel. Nom du serveur virtuel Citrix Gateway. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_) et ne contenir que des caractères alphanumériques ASCII, soulignement, hachage (#), point (.), espace, deux-points ( :), at (@), égal (=) et tiret (-). Peut être modifié après la création du serveur virtuel. La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).
    Entrez le type d’adresse IP du serveur virtuel Sélectionnez une adresse IP ou une option non adressable dans le menu déroulant.
    Entrez l’adresse IP du serveur virtuel. Une adresse IP (Internet Protocol address) est une étiquette numérique attribuée à chaque périphérique participant au réseau informatique qui utilise le protocole Internet pour la communication.
    Entrez le numéro de port du serveur virtuel. Entrez le numéro de port.
    Entrez le profil d’authentification. Entité de profil d’authentification sur le serveur virtuel. Cette entité peut être utilisée pour décharger l’authentification vers AAA vserver pour l’authentification multi-facteurs (nFactor)
    Entrez le profil de serveur RDP. Nom du profil de serveur RDP associé au vserver.
    Entrez le nombre maximal d’utilisateurs. Nombre maximal de sessions utilisateur simultanées autorisées sur ce serveur virtuel. Le nombre réel d’utilisateurs autorisés à ouvrir une session sur ce serveur virtuel dépend du nombre total de licences utilisateur.
    Saisissez le nombre maximal de tentatives de connexion. Nombre maximal de tentatives d’ouverture de session.
    Saisissez le délai d’expiration de la connexion échouée. Nombre de minutes qu’un compte sera verrouillé si l’utilisateur dépasse le nombre maximal de tentatives autorisées.
    Entrez la mise à niveau du plugin Windows EPA. Option pour définir le comportement de mise à niveau du plugin pour Win.
    Entrez la mise à niveau du plugin Linux EPA. Option pour définir le comportement de mise à niveau du plugin pour Linux.
    Entrez la mise à niveau du plugin MAC EPA Option pour définir le comportement de mise à niveau du plugin pour Mac.
    Connectez-vous une fois Cette option active/désactive l’authentification unique transparente pour ce vserver.
    ICA seulement Lorsqu’elle est définie sur ON, cela implique le mode Basic dans lequel l’utilisateur peut ouvrir une session à l’aide de Citrix Receiver ou d’un navigateur et accéder aux applications publiées configurées dans l’environnement Citrix Virtual Apps and Desktops souligné par le paramètre Wihome. Les utilisateurs ne sont pas autorisés à se connecter à l’aide du plug-in Citrix Gateway et les analyses des points de terminaison ne peuvent pas être configurées. Le nombre d’utilisateurs qui peuvent se connecter et accéder aux applications ne sont pas limités par la licence dans ce mode. - Lorsque la valeur OFF est activée, cela implique le mode Smart Access dans lequel l’utilisateur peut se connecter à l’aide de Citrix Receiver ou d’un navigateur ou d’un plug-in Citrix Gateway. L’administrateur peut configurer les analyses des points de terminaison à exécuter sur les systèmes clients, puis utiliser les résultats pour contrôler l’accès aux applications publiées. Dans ce mode, le client peut se connecter à la passerelle dans d’autres modes client, à savoir VPN et CVPN. Le nombre d’utilisateurs qui peuvent se connecter et accéder aux ressources est limité par les licences CCU dans ce mode.
    Activer l’authentification Exiger une authentification pour les utilisateurs qui se connectent à Citrix Gateway.
    Double houblon Utilisez l’appliance Citrix Gateway dans une configuration à double saut. Un déploiement à double saut offre une couche supplémentaire de sécurité pour le réseau interne en utilisant trois pare-feu pour diviser la zone démilitarisée en deux étapes. Un tel déploiement peut avoir une appliance dans la zone DMZ et une appliance dans le réseau sécurisé.
    Flush vers l’état d’arrêt Fermez les connexions existantes lorsque le serveur virtuel est marqué DOWN, ce qui signifie que le serveur a peut-être expiré. La déconnexion des connexions existantes libère des ressources et, dans certains cas, accélère la récupération des configurations d’équilibrage de charge surchargées. Activez ce paramètre sur les serveurs dans lesquels les connexions peuvent être fermées en toute sécurité lorsqu’elles sont marquées DOWN. N’activez pas le vidage de l’état DOWN sur les serveurs qui doivent terminer leurs transactions.
    DTL Cette option démarre/arrête le service de rotation sur le vserver
    Journalisation AppFlow Enregistrez les enregistrements AppFlow qui contiennent des informations standard NetFlow ou IPFIX, telles que les horodatages pour le début et la fin d’un flux, le nombre de paquets et le nombre d’octets. Enregistrez également les enregistrements contenant des informations au niveau de l’application, telles que les adresses Web HTTP, les méthodes de requête HTTP et les codes d’état de réponse, le temps de réponse du serveur et la latence.
    Migration de session proxy ICA Cette option détermine si une session proxy ICA existante est transférée lorsque l’utilisateur ouvre une session à partir d’un autre périphérique.
    Etat L’état actuel du serveur virtuel, comme UP, DOWN, BUSy, etc.
    Activer le certificat de périphérique Indique si la vérification du certificat de périphérique dans le cadre de l’EPA est activée ou désactivée.

    image localisée

  4. Sélectionnez la section Aucun certificat de serveur de la page.

    image localisée

  5. Cliquez sur > pour sélectionner le certificat de serveur.

    image localisée

  6. Sélectionnez le certificat SSL et cliquez sur le bouton Sélectionner .

    image localisée

  7. Cliquez sur Bind.

    image localisée

  8. Si vous voyez un avertissement concernant Aucun chiffrement utilisable, cliquez sur OK

    image localisée

  9. Cliquez sur le bouton Continuer .

    image localisée

  10. Dans la section Authentification, cliquez sur l’icône + en haut à droite.

    image localisée

Créer un serveur virtuel d’authentification

  1. Accédez à Sécurité - > AAA — Trafic d’applications - > Serveurs virtuels.

    image localisée

  2. Cliquez sur le bouton Ajouter.

    image localisée

  3. Complétez les paramètres de base suivants pour créer le serveur virtuel d’authentification.

    Remarque : Les champs obligatoires sont indiqués par un ***** à droite du nom du paramètre.

    a) Entrez le nom du nouveau serveur virtuel d’authentification.

    b) Entrez le type d’adresse IP. Le type d’adresse IP peut être configuré comme non adressable.

    c) Entrez l’ adresse IP. L’adresse IP peut être nulle.

    d) Entrez le type de protocole du serveur virtuel d’authentification.

    e) Entrez le port TCP sur lequel le serveur virtuel accepte les connexions.

    f) Entrez le domaine du cookie d’authentification défini par le serveur virtuel d’authentification.

  4. Cliquez sur OK.

    image localisée

  5. Cliquez sur Aucun certificat de serveur.

    image localisée

  6. Sélectionnez le certificat de serveur souhaité dans la liste déroulante.

    image localisée

  7. Choisissez le certificat SSL souhaité et cliquez sur le bouton Sélectionner .

    Remarque : le serveur virtuel d’authentification n’a pas besoin d’un certificat lié à celui-ci.

    image localisée

  8. Configurez la liaison de certificat de serveur.

    • Cochez la case Certificat de serveur pour SNI pour lier les certkey utilisés pour le traitement SNI.

    • Cliquez sur le bouton Lier.

    image localisée

Créer un profil CERT d’authentification

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Stratégies - > Authentification - > Stratégies de base - > CERT.

    image localisée

  2. Sélectionnez l’onglet Profils, puis sélectionnez Ajouter.

    image localisée

  3. Remplissez les champs suivants pour créer le profil CERT d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    • Nom - Nom du profil de serveur d’authentification de certificat client (action).

    • Deux facteurs : dans ce cas, l’option à deux facteurs est NOOP.

    • Champ Nom d’utilisateur : entrez le champ client-cert à partir duquel le nom d’utilisateur est extrait. Doit être défini sur « Sujet » ou « Émetteur » (inclure les deux ensembles de guillemets doubles).

    • Champ de nom de groupe - entrez le champ client-cert à partir duquel le groupe est extrait. Doit être défini sur « Sujet » ou « Émetteur » (inclure les deux ensembles de guillemets doubles).

    • Groupe d’authentification par défaut - Il s’agit du groupe par défaut choisi lorsque l’authentification réussit en plus des groupes extraits.

  4. Cliquez sur Créer.

    image localisée

Créer une stratégie d’authentification

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Stratégies - > Authentification - > Stratégies avancées - > Stratégie

    image localisée

  2. Cliquez sur le bouton Ajouter

    image localisée

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom : entrez le nom de la stratégie d’authentification avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) livre (#), espace (), at (@), égal à (=), deux-points ( :) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTIFICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - entrez le type de l’action d’authentification.**

    c) Action - entrez le nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Log Action - entrez le nom de l’action messagelog à utiliser lorsqu’une requête correspond à cette stratégie.

    e) Expression - entrez le nom de la règle nommée Citrix ADC, ou une expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur avec le serveur AUTHENTIFICATION.

    f) Commentaires : saisissez tous les commentaires pour conserver les informations relatives à cette politique.

  4. Cliquez sur Créer

    image localisée

Ajouter un serveur d’authentification LDAP

  1. Accédez à Sécurité - > AAA — Trafic d’applications - > Stratégies - > Authentification - > Stratégies de base - > LDAP.

    image localisée

  2. Ajoutez un serveur LDAP en sélectionnant l’onglet Serveur et en sélectionnant le bouton Ajouter .

    image localisée

Ajouter une stratégie d’authentification LDAP

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Stratégies - > Authentification - > Stratégies avancées - > Stratégie.

    image localisée

  2. Cliquez sur Ajouter pour ajouter une stratégie d’authentification.

    image localisée

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom - Nom de la stratégie d’authentification préalable. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTIFICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - Type de l’action d’authentification.

    c) Action - Nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Log Action - Nom de l’action messagelog à utiliser lorsqu’une requête correspond à cette stratégie.

    e) Expression : nom de la règle nommée Citrix ADC, ou expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur avec le serveur AUTHENTIFICATION.

    f) Commentaires - Tout commentaire visant à préserver les informations relatives à cette politique.

  4. Cliquez sur Créer

    image localisée

Ajouter un serveur d’authentification Radius

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Stratégies - > Authentification - > Stratégies de base - > RADIUS.

    image localisée

  2. Pour ajouter un serveur, sélectionnez l’onglet Serveurs et cliquez sur le bouton Ajouter .

    image localisée

  3. Saisissez ce qui suit pour créer un serveur RADIUS d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Saisissez un nom pour l’action Rayon.

    b) Entrez le nom du serveur ou l’adresse IP du serveur attribué au serveur RADIUS.

    c) Entrez le numéro de port sur lequel le serveur RADIUS écoute les connexions.

    d) Entrez la valeur Délai d’expiration en quelques secondes. Il s’agit de la valeur que l’appliance Citrix ADC attend une réponse du serveur RADIUS.

    e) Entrez la clé secrète partagée entre le serveur RADIUS et l’appliance Citrix ADC. La clé secrète est requise pour permettre à l’appliance Citrix ADC de communiquer avec le serveur RADIUS.

    f) Confirmez la clé secrète.

  4. Cliquez sur Créer

    image localisée

Ajouter une stratégie d’authentification de rayon

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Stratégies - > Authentification - > Stratégies avancées - > Stratégie.

    image localisée

  2. Cliquez sur Ajouter pour créer une stratégie d’authentification.

    image localisée

  3. Renseignez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom - Nom de la stratégie d’authentification préalable. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTIFICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - Type de l’action d’authentification.

    c) Action - Nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Log Action - Nom de l’action messagelog à utiliser lorsqu’une requête correspond à cette stratégie.

    e) Expression : nom de la règle nommée Citrix ADC, ou expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur avec le serveur AUTHENTIFICATION.

    f) Commentaires - Tout commentaire visant à préserver les informations relatives à cette politique.

  4. Cliquez sur OK

    image localisée

  5. Vérifiez que votre stratégie d’authentification est répertoriée.

    image localisée

Créer un schéma de connexion d’authentification

  1. Accédez à Sécurité - > AAA — Trafic d’application - > Schéma de connexion.

    image localisée

  2. Sélectionnez l’onglet Profils et cliquez sur le bouton Ajouter .

    image localisée

  3. Remplissez les champs suivants pour créer un schéma de connexion d’authentification :

    a) Entrez le nom : il s’agit du nom du nouveau schéma de connexion.

    b) Entrez le schéma d’authentification - il s’agit du nom du fichier de lecture du schéma d’authentification à envoyer pour l’interface utilisateur de la page de connexion. Ce fichier doit contenir la définition xml des éléments selon Citrix Forms Authentication Protocol pour être en mesure de rendre le formulaire de connexion. Si l’administrateur ne souhaite pas inviter les utilisateurs à fournir des informations d’identification supplémentaires mais continuer avec les informations d’identification obtenues précédemment, alors « noschema » peut être donné en argument. Veuillez noter que cela s’applique uniquement aux LoginsChemas qui sont utilisés avec des facteurs définis par l’utilisateur, et non au facteur serveur virtuel

    c) Entrez l’expression utilisateur - c’est l’expression pour l’extraction du nom d’utilisateur lors de la connexion

    d) Entrez l’ expression de mot de passe - c’est l’expression pour l’extraction de mot de passe lors de la connexion

    e) Entrez l’index des informations d’identification utilisateur - c’est l’index auquel l’utilisateur saisi doit être stocké dans la session.

    f) Entrez l’ index des informations d’identification de mot de passe - il s’agit de l’index auquel le mot de passe entré par l’utilisateur doit être stocké dans la session.

    g) Entrez la force d’authentification - c’est le poids de l’authentification actuelle.

  4. Cliquez sur Créer

    image localisée

    1. Vérifiez que votre profil de schéma de connexion est répertorié.

    image localisée

Créer un libellé de stratégie

Une étiquette de stratégie spécifie les stratégies d’authentification d’un facteur particulier. Chaque étiquette de stratégie correspond à un seul facteur. L’étiquette de stratégie spécifie le formulaire de connexion qui doit être présenté à l’utilisateur. L’étiquette de stratégie doit être liée comme facteur suivant d’une stratégie d’authentification ou d’une autre étiquette de stratégie d’authentification. En règle générale, une étiquette de stratégie inclut des stratégies d’authentification pour un mécanisme d’authentification spécifique. Toutefois, vous pouvez également disposer d’un libellé de stratégie comportant des stratégies d’authentification pour différents mécanismes d’authentification.

  1. Allez dans Sécurité -> AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies avancées -> Étiquette de stratégie.

    image localisée

  2. Cliquez sur le bouton Ajouter.

    image localisée

  3. Remplissez les champs suivants pour créer un libellé de stratégie d’authentification :

    a) Entrez le nom de la nouvelle étiquette de stratégie d’authentification.

    b) Entrez le schéma de connexion associé à l’étiquette de stratégie d’authentification.

    c) Cliquez sur Continuer.

    image localisée

  4. Sélectionnez une stratégie dans le menu déroulant.

    image localisée

  5. Choisissez la stratégie d’authentification souhaitée et cliquez sur le bouton Sélectionner .

    image localisée

  6. Remplissez les champs suivants :

    a) Saisissez la priorité de la liaison de stratégie.

    b) Entrez l’ expression Goto : l’expression spécifie la priorité de la stratégie suivante qui sera évaluée si la règle de stratégie actuelle est évaluée à TRUE.

    image localisée

  7. Sélectionnez la stratégie d’authentification souhaitée et cliquez sur le bouton Sélectionner .

    image localisée

  8. Cliquez sur le bouton Lier.

    image localisée

  9. Cliquez sur Terminé.

    image localisée

  10. Consultez l’étiquette de stratégie d’authentification.

    image localisée