nFactor pour l’authentification de passerelle

Introduction

L’authentification nFactor permet une toute nouvelle série de possibilités en matière d’authentification. Les administrateurs utilisant nFactor bénéficient de la flexibilité de l’authentification, de l’autorisation et de l’audit lors de la configuration des facteurs d’authentification pour les serveurs virtuels.

Deux banques de stratégies ou deux facteurs ne limitent plus un administrateur. Le nombre de banques de polices peut être étendu pour répondre à différents besoins. Sur la base de facteurs précédents, nFactor détermine une méthode d’authentification. Les formulaires de connexion dynamiques et les actions en cas d’échec sont possibles à l’aide de nFactor.

Remarque : nFactor n’est pas pris en charge pour Citrix ADC Standard Edition. Il est pris en charge pour Citrix ADC Advanced Edition et Citrix ADC Premium Edition.

Cas d’utilisation

L’authentification nFactor permet des flux d’authentification dynamiques basés sur le profil utilisateur. Parfois, ces flux peuvent être simples pour être intuitifs pour l’utilisateur. Dans d’autres cas, ils peuvent être couplés à la sécurisation d’Active Directory ou d’autres serveurs d’authentification. Voici quelques exigences spécifiques à Gateway :

  1. Sélection dynamique du nom d’utilisateur et du mot de passe. Traditionnellement, les clients Citrix (y compris les navigateurs et les récepteurs) utilisent le mot de passe Active Directory (AD) comme premier champ de mot de passe. Le second mot de passe est réservé au mot de passe à temps unique (OTP). Toutefois, pour sécuriser les serveurs AD, OTP doit d’abord être validé. nFactor peut le faire sans nécessiter de modifications du client.

  2. Point de fin de l’authentification multi-locataires. Certaines organisations utilisent des serveurs Gateway différents pour les utilisateurs de certificats et non de certificats. Avec les utilisateurs utilisant leurs propres appareils pour se connecter, les niveaux d’accès de l’utilisateur varient selon Citrix ADC en fonction de l’appareil utilisé. Gateway peut répondre à différents besoins d’authentification.

  3. Authentification basée sur l’appartenance au groupe. Certaines organisations obtiennent des propriétés utilisateur à partir de serveurs AD pour déterminer les exigences d’authentification. Les exigences d’authentification peuvent être modifiées pour chaque utilisateur.

  4. Cofacteurs d’authentification. Parfois, différentes paires de stratégies d’authentification sont utilisées pour authentifier différents ensembles d’utilisateurs. La fourniture de stratégies de paires augmente l’efficacité de l’authentification. Les stratégies dépendantes peuvent être élaborées à partir d’un seul flux. De cette façon, des ensembles de politiques indépendants deviennent des flux propres qui augmentent l’efficacité et réduisent la complexité.

Gestion des réponses d’authentification

Les registres de rappel Citrix Gateway gèrent les réponses d’authentification. Les réponses AAAD (démon d’authentification) et les codes de succès/failure/erreur/dialogue sont transmises au handle de rappel. Les codes succès/échecs/erreur/dialogue ordonnent à Gateway de prendre les mesures appropriées.

Soutien aux clients

Le tableau suivant détaille les détails de configuration.

Client Prise en charge de nFactor Point de liaison de stratégie d’authentification EPA
Navigateurs Oui Authentification Oui
Application Citrix Workspace Non VPN N
Module externe de passerelle Non VPN Oui

Configuration de la ligne de commande

Le serveur virtuel Gateway a besoin d’un serveur virtuel d’authentification nommé en tant qu’attribut. Il s’agit de la seule configuration requise pour ce modèle.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>

AuthNVSName est le nom du serveur virtuel d’authentification. Ce serveur virtuel doit être configuré avec des stratégies d’authentification avancées et est utilisé pour l’authentification nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>

Où authnProfile est le profil d’authentification créé précédemment.

Défis interopérables

La plupart des clients de passerelle héritée, en plus des clients RFWeb, sont modélisés sur les réponses envoyées par Gateway. Par exemple, une réponse 302 à /vpn/index.html est attendue pour de nombreux clients. De plus, ces clients dépendent de divers cookies Gateway tels que « pwcount », « NSC_CERT », etc.

Analyse des points de terminaison (EPA)

Étant donné que le sous-système d’authentification, d’autorisation et d’audit ne prend pas en charge EPA pour nFactor ; pourtant, le serveur virtuel Gateway exécute EPA. Après EPA, les informations d’identification de connexion sont envoyées au serveur virtuel d’authentification à l’aide de l’API mentionnée précédemment. Une fois l’authentification terminée, Gateway poursuit le processus de post-authentification et établit la session utilisateur.

Considérations relatives à la mauvaise configuration

Le client Gateway envoie les informations d’identification de l’utilisateur une seule fois. Gateway obtient une ou deux informations d’identification du client avec la demande de connexion. Dans le mode hérité, il y a un maximum de deux facteurs. Les mots de passe obtenus sont utilisés pour ces facteurs. Cependant, avec nFactor, le nombre de facteurs qui peuvent être configurés est pratiquement illimité. Les mots de passe obtenus à partir du client Gateway sont réutilisés (selon la configuration) pour les facteurs configurés. Il faut veiller à ce que le mot de passe unique (OTP) ne soit pas réutilisé plusieurs fois. De même, l’administrateur doit s’assurer que le mot de passe réutilisé à un facteur est effectivement applicable à ce facteur.

Définition de clients Citrix

L’option de configuration est fournie pour aider Citrix ADC à déterminer les clients du navigateur par rapport aux clients épais tels que Receiver.

Un jeu de motifs, ns_vpn_client_useragents, est fourni pour permettre à l’administrateur de configurer des modèles pour tous les clients Citrix.

De même, lier la chaîne « Citrix Receiver » au jeu de patset ci-dessus pour ignorer tous les clients Citrix qui ont « Citrix Receiver » dans l’agent utilisateur.

Restriction de nFactor pour la passerelle

nFactor for Gateway authentification ne se produira pas si les conditions suivantes sont présentes.

  1. Le profil AuthnProfile n’est pas défini sur Citrix Gateway.

  2. Les stratégies d’authentification avancées ne sont pas liées au serveur virtuel d’authentification et le même serveur virtuel d’authentification est mentionné dans AuthnProfile.

  3. La chaîne User-Agent dans la requête HTTP correspond aux agents utilisateurs configurés dans patset ns_vpn_client_useragents.

Si ces conditions ne sont pas remplies, la stratégie d’authentification classique liée à Gateway est utilisée.

Si un agent utilisateur, ou une partie de celui-ci est lié au patset susmentionné, les demandes provenant de ces agents utilisateurs ne participent pas au flux nFactor. Par exemple, la commande ci-dessous restreint la configuration de tous les navigateurs (en supposant que tous les navigateurs contiennent « Mozilla » dans la chaîne user-agent) :

jeu de patchs bind ns_vpn_client_useragents Mozilla

LoginsChema

LoginsSchema est une représentation logique du formulaire d’ouverture de session. Le langage XML le définit. La syntaxe de LoginsSchema est conforme à la spécification Common Forms Protocol de Citrix.

LoginsSchema définit la « vue » du produit. Un administrateur peut fournir une description personnalisée, un texte d’aide, etc. du formulaire. Cela inclut les étiquettes du formulaire lui-même. Un client peut fournir un message de succès/échec décrivant le formulaire présenté à un point donné.

Connaissances LoginsSchema et nFactor requises

Les fichiers LoginsSchema prédéfinis se trouvent dans l’emplacement Citrix ADC suivant /nsconfig/loginschema/loginschema/loginschema/. Ces fichiers LoginsSchema préconstruits répondent aux cas d’utilisation courants et peuvent être modifiés pour de légères variations si nécessaire.

En outre, la plupart des cas d’utilisation à facteur unique avec peu de personnalisations n’ont pas besoin de configuration LoginsSchema (s).

Il est conseillé à l’administrateur de vérifier la documentation pour les options de configuration supplémentaires qui permettent à Citrix ADC de découvrir les facteurs. Une fois que l’utilisateur a soumis les informations d’identification, l’administrateur peut configurer plusieurs facteurs pour choisir et traiter avec souplesse les facteurs d’authentification.

Configuration de l’authentification à double facteur sans utiliser LoginsSchema

Citrix ADC détermine automatiquement les exigences à double facteur en fonction de la configuration. Une fois que l’utilisateur présente ces informations d’identification, l’administrateur peut configurer le premier ensemble de stratégies sur le serveur virtuel. Dans chaque stratégie, il peut y avoir un « NextFactor » configuré comme un « passthrough ». Un « passthrough » implique que Citrix ADC doit traiter l’ouverture de session à l’aide du jeu d’informations d’identification existant sans passer à l’utilisateur. En utilisant des facteurs « passthrough », un administrateur peut piloter par programme le flux d’authentification. Les administrateurs sont invités à lire la spécification nFactor ou les guides de déploiement pour plus de détails. Voir Authentification multifacteur (nFactor).

Nom d’utilisateur Expressions de mot de passe

Pour traiter les informations d’identification de connexion, l’administrateur doit configurer LoginsSchema. Les cas d’utilisation à facteur unique ou à double facteur avec peu de personnalisations LoginsSchema n’ont pas besoin d’une définition XML spécifiée. Le LoginsSchema possède d’autres propriétés telles que userExpression et passwdExpression qui peuvent être utilisées pour modifier le nom d’utilisateur/mot de passe que l’utilisateur présente. Il s’agit d’expressions de stratégie avancées et peuvent également être utilisées pour remplacer l’entrée utilisateur.

Étapes de haut niveau dans la configuration de nFactor

Le diagramme suivant illustre les étapes de haut niveau impliquées dans la configuration de nFactor.

nfactor-workflow

Configuration de l’interface graphique

Les rubriques suivantes sont décrites dans cette section :

  • Créer un serveur virtuel

  • Créer un serveur virtuel d’authentification

  • Créer un profil CERT d’authentification

  • Créer une stratégie d’authentification

  • Ajouter un serveur d’authentification LDAP

  • Ajouter une stratégie d’authentification LDAP

  • Ajouter un serveur d’authentification Radius

  • Ajouter une stratégie d’authentification par rayon

  • Créer un schéma de connexion d’authentification

  • Créer une étiquette de stratégie

Créer un serveur virtuel

  1. Accédez à Citrix Gateway -> Serveurs virtuels.

    image localisée

  2. Cliquez sur le bouton Ajouter pour créer un serveur virtuel d’équilibrage de charge.

    image localisée

  3. Entrez les informations suivantes.

    Nom du paramètre Description des paramètres
    Entrez le nom du serveur virtuel. Nom du serveur virtuel Citrix Gateway. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points (:), arobase (@), égal à (=) et un trait d’union (-). Peut être modifié après la création du serveur virtuel. La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, « mon serveur » ou « mon serveur »).
    Entrez le type d’adresse IP du serveur virtuel Sélectionnez une option Adresse IP ou Non adressable dans le menu déroulant.
    Entrez l’adresse IP du serveur virtuel. Une adresse IP (Internet Protocol address) est une étiquette numérique attribuée à chaque périphérique participant au réseau informatique qui utilise le protocole Internet pour la communication.
    Entrez le numéro de port du serveur virtuel. Entrez le numéro de port.
    Entrez le profil d’authentification. Entité de profil d’authentification sur le serveur virtuel. Cette entité peut être utilisée pour décharger l’authentification vers l’authentification, l’autorisation et l’audit du serveur virtuel pour l’authentification multifacteur (nFactor)
    Entrez le profil de serveur RDP. Nom du profil de serveur RDP associé au serveur virtuel.
    Entrez le nombre maximal d’utilisateurs. Nombre maximal de sessions utilisateur simultanées autorisées sur ce serveur virtuel. Le nombre réel d’utilisateurs autorisés à se connecter à ce serveur virtuel dépend du nombre total de licences utilisateur.
    Entrez le nombre maximal de tentatives de connexion. Nombre maximal de tentatives d’ouverture de session.
    Entrez le délai d’expiration de la connexion échouée. Nombre de minutes pendant lesquelles un compte sera verrouillé si l’utilisateur dépasse le maximum de tentatives autorisées.
    Entrez le plug-in Windows EPA Upgrade. Option permettant de définir le comportement de mise à niveau du plug-in pour Win.
    Entrez la mise à niveau du plug-in EPA Linux. Option permettant de définir le comportement de mise à niveau du plug-in pour Linux.
    Entrez dans la mise à niveau du plug-in MAC EPA Option permettant de définir le comportement de mise à niveau du plug-in pour Mac.
    Se connecter une fois Cette option active/désactive l’authentification unique transparente pour ce serveur virtuel.
    ICA seulement Lorsqu’elle est définie sur ON, elle implique le mode de base où l’utilisateur peut ouvrir une session à l’aide de l’application Citrix Workspace ou d’un navigateur et accéder aux applications publiées configurées dans l’environnement Citrix Virtual Apps and Desktops souligné par le paramètre Wihome. Les utilisateurs ne sont pas autorisés à se connecter à l’aide du plug-in Citrix Gateway et les analyses des points de terminaison ne peuvent pas être configurées. Le nombre d’utilisateurs qui peuvent se connecter et accéder aux applications ne sont pas limités par la licence dans ce mode. - Lorsqu’il est défini sur OFF, cela implique le mode SmartAccess où l’utilisateur peut ouvrir une session à l’aide de l’application Citrix Workspace ou d’un navigateur ou d’un plug-in Citrix Gateway. L’administrateur peut configurer les analyses des points de terminaison à exécuter sur les systèmes clients, puis utiliser les résultats pour contrôler l’accès aux applications publiées. Dans ce mode, le client peut se connecter à la Gateway dans d’autres modes client, à savoir VPN et CVPN. Le nombre d’utilisateurs qui peuvent se connecter et accéder aux ressources est limité par les licences CCU dans ce mode.
    Activer l’authentification Exiger l’authentification pour les utilisateurs qui se connectent à Citrix Gateway.
    Double houblon Utilisez l’appliance Citrix Gateway dans une configuration à double saut. Un déploiement à double saut fournit une couche supplémentaire de sécurité pour le réseau interne en utilisant trois pare-feu pour diviser la DMZ en deux étapes. Un tel déploiement peut comporter une appliance dans la zone DMZ et une appliance dans le réseau sécurisé.
    Down State Flush Fermez les connexions existantes lorsque le serveur virtuel est marqué comme DOWN, ce qui signifie que le serveur a peut-être expiré. La déconnexion des connexions existantes libère des ressources et, dans certains cas, accélère la récupération des configurations d’équilibrage de charge surchargées. Activez ce paramètre sur les serveurs dans lesquels les connexions peuvent être fermées en toute sécurité lorsqu’elles sont marquées comme DOWN. N’activez pas le vidage d’état DOWN sur les serveurs qui doivent terminer leurs transactions.
    DTLS Cette option démarrer/arrête le service de tournage sur le serveur virtuel
    Journalisation de AppFlow Enregistrer les enregistrements AppFlow qui contiennent des informations standard NetFlow ou IPFIX, telles que les horodatages pour le début et la fin d’un flux, le nombre de paquets et le nombre d’octets. Enregistrer également les enregistrements contenant des informations au niveau de l’application, telles que les adresses Web HTTP, les méthodes de requête HTTP et les codes d’état de réponse, le temps de réponse du serveur et la latence.
    Migration de session proxy ICA Cette option détermine si une session proxy ICA existante est transférée lorsque l’utilisateur ouvre une session à partir d’un autre périphérique.
    État État actuel du serveur virtuel, comme UP, DOWN, BUSY, etc.
    Activer le certificat de périphérique Indique si la vérification du certificat de l’appareil dans le cadre de l’EPA est activée ou désactivée.

    image localisée

  4. Sélectionnez la section Aucun certificat de serveur de la page.

    image localisée

  5. Cliquez sur > pour sélectionner le certificat de serveur.

    image localisée

  6. Sélectionnez le certificat SSL et cliquez sur le bouton Sélectionner .

    image localisée

  7. Cliquez sur Bind.

    image localisée

  8. Si un avertissement s’affiche sur Aucun chiffrement utilisable, cliquez sur OK

    image localisée

  9. Cliquez sur le bouton Continuer .

    image localisée

  10. Dans la section Authentification, cliquez sur l’icône + en haut à droite.

    image localisée

Créer un serveur virtuel d’authentification

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’applications -> Serveurs virtuels.

    image localisée

  2. Cliquez sur le bouton Add.

    image localisée

  3. Complétez les paramètres de base suivants pour créer le serveur virtuel d’authentification.

    Remarque : Les champs obligatoires sont indiqués par * à droite du nom du paramètre.

    a) Entrez le nom du nouveau serveur virtuel d’authentification.

    b) Entrez le type d’adresse IP. Le type d’adresse IP peut être configuré comme non adressable.

    c) Entrez l’adresse IP. L’adresse IP peut être nulle.

    d) Entrez le type de protocole du serveur virtuel d’authentification.

    e) Entrez le port TCP sur lequel le serveur virtuel accepte les connexions.

    f) Entrez le domaine du cookie d’authentification défini par le serveur virtuel d’authentification.

  4. Cliquez sur OK.

    image localisée

  5. Cliquez sur Aucun certificat de serveur.

    image localisée

  6. Sélectionnez le certificat de serveur souhaité dans la liste.

    image localisée

  7. Choisissez le certificat SSL souhaité et cliquez sur le bouton Sélectionner .

    Remarque : Le serveur virtuel d’authentification n’a pas besoin d’un certificat lié à celui-ci.

    image localisée

  8. Configurez la liaison de certificat du serveur.

    • Cochez la case Certificat de serveur pour SNI pour lier les clés de certification utilisées pour le traitement SNI.

    • Cliquez sur le bouton Lier.

    image localisée

Créer un profil CERT d’authentification

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies de base -> CERT.

    image localisée

  2. Sélectionnez l’onglet Profils, puis Ajouter.

    image localisée

  3. Remplissez les champs suivants pour créer le profil CERT d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    • Nom - Nom du profil du serveur d’authentification du certificat client (action).

    • Deux facteurs : dans ce cas, l’option d’authentification à deux facteurs est NOOP.

    • Champ Nom d’utilisateur : saisissez le champ client-cert à partir duquel le nom d’utilisateur est extrait. Doit être défini sur « Sujet » ou « Émetteur » (inclure les deux ensembles de guillemets doubles).

    • Champ de nom de groupe : saisissez le champ client-cert à partir duquel le groupe est extrait. Doit être défini sur « Sujet » ou « Émetteur » (inclure les deux ensembles de guillemets doubles).

    • Groupe d’authentification par défaut - Il s’agit du groupe par défaut choisi lorsque l’authentification réussit en plus des groupes extraits.

  4. Cliquez sur Créer.

    image localisée

Créer une stratégie d’authentification

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies avancées -> Stratégie.

    image localisée

  2. Sélectionnez le bouton Ajouter

    image localisée

  3. Complétez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom : saisissez le nom de la stratégie AUTHENTICATION avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - entrez le type de l’action d’authentification.

    c) Action - entrez le nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action du journal : entrez le nom de l’action du journal des messages à utiliser lorsqu’une demande correspond à cette stratégie.

    e) Expression - entrez le nom de la règle nommée Citrix ADC, ou une expression de syntaxe par défaut, utilisée par la stratégie pour déterminer s’il faut tenter d’authentifier l’utilisateur auprès du serveur AUTHENTIFICATION.

    f) Commentaires : saisissez tous les commentaires pour conserver les informations relatives à cette politique.

  4. Cliquez sur Créer

    image localisée

Ajouter un serveur d’authentification LDAP

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies de base -> LDAP.

    image localisée

  2. Ajoutez un serveur LDAP en sélectionnant l’onglet Serveur et en sélectionnant le bouton Ajouter .

    image localisée

Ajouter une stratégie d’authentification LDAP

  1. Allez dans Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies avancées -> Stratégie.

    image localisée

  2. Cliquez sur Ajouter pour ajouter une stratégie d’authentification.

    image localisée

  3. Complétez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom - Nom de la stratégie AUTHENTICATION avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - Type de l’action d’authentification.

    c) Action - Nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action du journal - Nom de l’action du journal des messages à utiliser lorsqu’une requête correspond à cette stratégie.

    e) Expression - nom de la règle nommée Citrix ADC, ou expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur avec le serveur AUTHENTICATION.

    f) Commentaires - Tout commentaire visant à préserver l’information sur cette stratégie.

  4. Cliquez sur Créer

    image localisée

Ajouter un serveur d’authentification RADIUS

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies de base -> RADIUS.

    image localisée

  2. Pour ajouter un serveur, sélectionnez l’onglet Serveurs et cliquez sur le bouton Ajouter .

    image localisée

  3. Entrez ce qui suit pour créer un serveur RADIUS d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Entrez un nom pour l’action RADIUS.

    b) Entrez le nom du serveur ou l’adresse IP du serveur attribué au serveur RADIUS.

    c) Entrez le numéro de port sur lequel le serveur RADIUS écoute les connexions.

    d) Entrez la valeur du délai d’expiration en quelques secondes. Il s’agit de la valeur que l’appliance Citrix ADC attend une réponse du serveur RADIUS.

    e) Entrez la clé secrète partagée entre le serveur RADIUS et l’appliance Citrix ADC. La clé secrète est requise pour permettre à l’appliance Citrix ADC de communiquer avec le serveur RADIUS.

    f) Confirmez la clé secrète.

  4. Cliquez sur Créer

    image localisée

Ajouter une stratégie d’authentification RADIUS

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies avancées -> Stratégie.

    image localisée

  2. Cliquez sur Ajouter pour créer une stratégie d’authentification.

    image localisée

  3. Complétez les informations suivantes pour créer une stratégie d’authentification. Les champs obligatoires sont indiqués par un * à droite du nom du paramètre.

    a) Nom - Nom de la stratégie AUTHENTICATION avancée. Doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et ne contenir que des lettres, des chiffres et des traits d’union (-), point (.) dièse (#), espace ( ), arobase (@), égal (=), deux-points (:) et trait de soulignement. Impossible de modifier une fois la stratégie AUTHENTICATION créée.

    La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom inclut un ou plusieurs espaces, placez le nom entre guillemets doubles ou simples (par exemple, “ma stratégie d’authentification” ou ‘ma stratégie d’authentification’).

    b) Type d’action - Type de l’action d’authentification.

    c) Action - Nom de l’action d’authentification à effectuer si la stratégie correspond.

    d) Action du journal - Nom de l’action du journal des messages à utiliser lorsqu’une requête correspond à cette stratégie.

    e) Expression - nom de la règle nommée Citrix ADC, ou expression de syntaxe par défaut, que la stratégie utilise pour déterminer s’il faut tenter d’authentifier l’utilisateur avec le serveur AUTHENTICATION.

    f) Commentaires - Tout commentaire visant à préserver l’information sur cette stratégie.

  4. Cliquez sur OK.

    image localisée

  5. Vérifiez que votre stratégie d’authentification est répertoriée.

    image localisée

Créer un schéma de connexion d’authentification

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Schéma de connexion.

    image localisée

  2. Sélectionnez l’onglet Profils et cliquez sur le bouton Ajouter .

    image localisée

  3. Remplissez les champs suivants pour créer un schéma de connexion d’authentification :

    a) Entrez le nom : il s’agit du nom du nouveau schéma de connexion.

    b) Entrez le schéma d’authentification - c’est le nom du fichier pour la lecture du schéma d’authentification à envoyer pour l’interface utilisateur de la page de connexion. Ce fichier doit contenir la définition xml des éléments selon Citrix Forms Authentication Protocol pour pouvoir rendre le formulaire de connexion. Si l’administrateur ne souhaite pas inviter les utilisateurs à fournir des informations d’identification supplémentaires mais continuer avec les informations d’identification précédemment obtenues, alors « noschema » peut être donné comme argument. Veuillez noter que cela s’applique uniquement aux LoginsChemas qui sont utilisés avec des facteurs définis par l’utilisateur, et non au facteur serveur virtuel

    c) Entrez l’expression utilisateur - c’est l’expression pour l’extraction du nom d’utilisateur lors de la connexion

    d) Entrez l’expression de mot de passe - c’est l’expression pour l’extraction du mot de passe lors de la connexion

    e) Entrez l’index des informations d’identification de l’utilisateur - il s’agit de l’index auquel le nom d’utilisateur saisi doit être stocké dans la session.

    f) Entrez l’index des informations d’identification de mot de passe - il s’agit de l’index auquel le mot de passe entré par l’utilisateur doit être stocké dans la session.

    g) Entrez l’intensité de l’authentification - il s’agit du poids de l’authentification actuelle.

  4. Cliquez sur Créer

    image localisée

    1. Vérifiez que votre profil de schéma de connexion est répertorié.

    image localisée

Créer une étiquette de stratégie

Une étiquette de stratégie spécifie les stratégies d’authentification pour un facteur particulier. Chaque étiquette de stratégie correspond à un seul facteur. L’étiquette de stratégie spécifie le formulaire de connexion qui doit être présenté à l’utilisateur. L’étiquette de stratégie doit être liée comme facteur suivant d’une stratégie d’authentification ou d’une autre étiquette de stratégie d’authentification. En règle générale, une étiquette de stratégie inclut des stratégies d’authentification pour un mécanisme d’authentification spécifique. Toutefois, vous pouvez également avoir une étiquette de stratégie comportant des stratégies d’authentification pour différents mécanismes d’authentification.

  1. Accédez à Sécurité -> Citrix ADC AAA — Trafic d’application -> Stratégies -> Authentification -> Stratégies avancées -> Étiquette de stratégie.

    image localisée

  2. Cliquez sur le bouton Add.

    image localisée

  3. Remplissez les champs suivants pour créer une étiquette de stratégie d’authentification :

    a) Entrez le nom de la nouvelle étiquette de stratégie d’authentification.

    b) Entrez le schéma de connexion associé à l’étiquette de stratégie d’authentification.

    c) Cliquez sur Continuer.

    image localisée

  4. Sélectionnez une stratégie dans le menu déroulant.

    image localisée

  5. Choisissez la stratégie d’authentification souhaitée et cliquez sur le bouton Sélectionner .

    image localisée

  6. Renseignez les champs suivants :

    a) Entrez la priorité de la politique contraignante.

    b) Entrez l’expression Goto — l’expression spécifie la priorité de la stratégie suivante qui sera évaluée si la règle de stratégie actuelle est évaluée à TRUE.

    image localisée

  7. Sélectionnez la stratégie d’authentification souhaitée et cliquez sur le bouton Sélectionner .

    image localisée

  8. Cliquez sur le bouton Lier.

    image localisée

  9. Cliquez sur Terminé.

    image localisée

  10. Vérifiez l’étiquette de stratégie d’authentification.

    image localisée

Configuration de reCAPTCHA pour l’authentification nFactor

À partir de Citrix ADC version 12.1 build 50.x, Citrix Gateway prend en charge une nouvelle action de première classe ‘CaptChaAction’ qui simplifie la configuration de Captcha. Comme Captcha est un premier recours collectif, il peut être un facteur qui lui est propre. Vous pouvez injecter Captcha n’importe où dans le flux nFactor.

Auparavant, vous deviez écrire des stratégies WebAuth personnalisées avec des modifications à l’interface utilisateur RFWeb. Avec l’introduction de CaptChaAction, vous n’avez pas à modifier le JavaScript.

Important

Si Captcha est utilisé avec les champs de nom d’utilisateur ou de mot de passe dans le schéma, le bouton d’envoi est désactivé jusqu’à ce que Captcha soit atteint.

Configuration Captcha

La configuration Captcha comporte deux parties.

  1. Configuration sur Google pour enregistrer Captcha.
  2. Configuration sur l’appliance Citrix ADC pour utiliser Captcha dans le cadre du flux de connexion.

Configuration Captcha sur Google

Enregistrez un domaine pour Captcha à https://www.google.com/recaptcha/admin#list.

  1. Lorsque vous accédez à cette page, l’écran suivant apparaît.

    image localisée

    Remarque

    Utilisez reCAPTCHA v2 uniquement. Invisible reCAPTCHA est toujours en avant-première technologique.

  2. Après l’enregistrement d’un domaine, les « SiteKey » et « SecretKey » s’affichent.

    image localisée

    Remarque

    Les « SiteKey » et « SecretKey » sont grisés pour des raisons de sécurité. « SecretKey » doit être gardé en sécurité.

Configuration Captcha sur l’appliance Citrix ADC

La configuration Captcha sur l’appliance Citrix ADC peut être divisée en trois parties :

  • Afficher l’écran Captcha
  • Publier la réponse Captcha sur le serveur Google
  • La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)

Afficher l’écran Captcha

La personnalisation du formulaire de connexion se fait via le loginschema SingleAuthCaptcha.xml. Cette personnalisation est spécifiée au serveur virtuel d’authentification et est envoyée à l’interface utilisateur pour le rendu du formulaire de connexion. Le schéma de connexion intégré, SingleAuthCaptcha.xml, se trouve dans le répertoire /NSConfig/LoginsChema/LoginsChema sur l’appliance Citrix ADC.

Important

  • En fonction de votre cas d’utilisation et de différents schémas, vous pouvez modifier le schéma existant. Par exemple, si vous n’avez besoin que du facteur Captcha (sans nom d’utilisateur ni mot de passe) ou d’une double authentification avec Captcha.
  • Si des modifications personnalisées sont effectuées ou si le fichier est renommé, Citrix recommande de copier tous les LoginsChemas du répertoire /nsconfig/loginschema/loginschema vers le répertoire parent, /nsconfig/loginschema.

Pour configurer l’affichage de Captcha à l’aide de la CLI

  • add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
  • add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
  • add authentication vserver auth SSL <IP> <Port>
  • add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
  • bind ssl vserver auth -certkey vserver-cert
  • bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END

Publier la réponse Captcha sur le serveur Google

Après avoir configuré le Captcha qui doit être affiché aux utilisateurs, les administrateurs publient la configuration au serveur Google pour vérifier la réponse Captcha du navigateur.

Pour vérifier la réponse de Captcha à partir du navigateur
  • add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
  • add authentication policy myrecaptcha -rule true -action myrecaptcha
  • bind authentication vserver auth -policy myrecaptcha -priority 1

Les commandes suivantes sont nécessaires pour configurer si l’authentification AD est souhaitée. Sinon, vous pouvez ignorer cette étape.

  • add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
  • add authenticationpolicy ldap-new -rule true -action ldap-new

La configuration LDAP est le deuxième facteur pour l’ouverture de session utilisateur (facultatif)

L’authentification LDAP se produit après Captcha, vous l’ajoutez au deuxième facteur.

  • add authentication policylabel second-factor
  • bind authentication policylabel second-factor -policy ldap-new -priority 10
  • bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor

L’administrateur doit ajouter des serveurs virtuels appropriés selon que le serveur virtuel d’équilibrage de charge ou l’appliance Citrix Gateway est utilisé pour l’accès. L’administrateur doit configurer la commande suivante si le serveur virtuel d’équilibrage de charge est requis :

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -AuthenticationHost nssp.aaatm.com`

nssp.aaatm.com — Résout à l’authentification du serveur virtuel.

Validation par l’utilisateur de Captcha

Une fois que vous avez configuré toutes les étapes mentionnées dans les sections précédentes, vous devez voir les captures d’écran de l’interface utilisateur ci-dessous.

  1. Une fois que le serveur virtuel d’authentification charge la page de connexion, l’écran d’ouverture de session s’affiche. L’ouverture de session est désactivée jusqu’à ce que Captcha soit terminé.

    image localisée

  2. Sélectionnez Je ne suis pas une option de robot. Le widget Captcha est affiché.

    image localisée

  3. Vous naviguez à travers les séries d’images Captcha, avant que la page de fin ne soit affichée.
  4. Entrez les informations d’identification AD, activez la case à cocher Je ne suis pas un robot et cliquez sur Connexion . Si l’authentification réussit, vous êtes redirigé vers la ressource souhaitée.

    image localisée

    Remarques

    • Si Captcha est utilisé avec l’authentification AD, le bouton Envoyer pour les informations d’identification est désactivé jusqu’à ce que Captcha soit terminé.
    • Le Captcha se produit dans un facteur qui lui est propre. Par conséquent, toute validation ultérieure comme AD doit se produire dans le « nextfactor » de Captcha.