Citrix Gateway

Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les appareils mobiles/tablettes

Cette section explique comment configurer le dispositif Citrix Gateway pour utiliser l’authentification RADIUS en tant que principale et l’authentification LDAP comme secondaire avec les appareils mobiles/tablettes.

La configuration présentée dans la section permet toujours à toutes les autres connexions d’utiliser LDAP en premier et RADIUS en second lieu.

Lorsque vous configurez l’authentification à deux facteurs sur l’application Citrix Workspace pour une utilisation avec des appareils mobiles/tablettes, vous devez ajouter l’authentification RSA SecureID (authentification RADIUS) en tant qu’authentification principale. Mais lorsque les utilisateurs reçoivent l’invite pour le nom d’utilisateur et le mot de passe, le code secret sur Receiver, ils placent LDAP en premier et RADIUS comme deuxième informations d’identification. Du point de vue de l’administrateur, il s’agit d’une configuration différente de celle d’une configuration non mobile.

Schéma de configuration

Suivez la procédure suivante pour configurer le dispositif Citrix Gateway afin qu’il utilise l’authentification RADIUS en tant que principale et l’authentification LDAP comme secondaire avec les appareils mobiles/tablettes.

  1. Dans l’utilitaire de configuration, sélectionnez Citrix Gateway > Stratégies > Authentification et créez une stratégie d’authentification pour LDAP et RSA pour les appareils mobiles et non mobiles. Cela est nécessaire pour éviter une condition logique qui peut permettre aux utilisateurs de contourner l’authentification RADIUS.

    Sélectionnez l'authentification

  2. Entrez les détails du serveur LDAP après avoir cliqué sur l’option Ajouter sous l’onglet Serveurs pour LDAP.

    Ajouter un serveur LDAP

  3. Créez une stratégie LDAP pour les appareils mobiles en choisissant le serveur LDAP requis.

    Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
    

    Expression de liaison

  4. Cliquez sur Expression Editor pour créer une stratégie :

    Éditeur d'expressions

  5. Créez une stratégie RADIUS et un serveur RADIUS pour les appareils mobiles.

    • Accédez à l’option RADIUS depuis Citrix Gateway > Stratégies > Authentification > RADIUS. Cliquez sur Ajouter sous l’onglet Serveur.

    Ajouter un serveur

    • Ajoutez les informations requises. Le port par défaut de l’authentification RADIUS est 1812.

    Ajouter des détails sur le serveur

    • Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :

    Expression

  6. Suivez la même étape pour créer une stratégie LDAP pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    Expression de liaison

  7. Créez une stratégie RADIUS pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    Section Expression

  8. Accédez aux propriétés du serveur virtuel Citrix Gateway et cliquez sur l’onglet Authentification . Dans les stratégies d’authentification principales, ajoutez la stratégie RSA_Mobile en priorité supérieure et la stratégie LDAP_NonMobile en tant que priorité secondaire :

    Page Politiques

  9. Dans les stratégies d’authentification secondaires, ajoutez la stratégie LDAP_Mobile en priorité supérieure, puis la stratégie RSA_NonMobile en tant que priorité secondaire :

    Stratégies d'authentification secondaire

    La stratégie de session doit avoir l’index d’informations d’identification d’authentification unique correct, c’est-à-dire qu’il doit s’agir des informations d’identification LDAP. Pour les appareils mobiles, l’ index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire, qui est LDAP.

    Par conséquent, vous avez besoin de deux stratégies de session, l’une pour les appareils mobiles et l’autre pour les appareils non mobiles.

    • Pour les appareils mobiles, la stratégie de session et le profil de session s’affichent comme indiqué dans la capture d’écran suivante. Pour créer une stratégie de session, accédez au serveur virtuel requis et cliquez sur Modifier, accédez à la section Stratégie, puis cliquez sur le signe + :

    Modifier le serveur virtuel

    • Sélectionnez l’option Session dans le menu. Sélectionner la session en tant que stratégie

    • Entrez le nom de stratégie de session souhaité et cliquez sur + pour créer un profil. Pour les appareils mobiles, l’ index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire, qui est LDAP.

    onglet Expérience client

    • Pour les appareils non mobiles, suivez les mêmes étapes. L’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Primary, qui est LDAP.

    L’expression doit être remplacée par :

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver

    Expression

    • Pour créer un profil pour un utilisateur non mobile, cliquez sur le signe +.

    Créer un profil

  10. La figure suivante affiche les stratégies et les profils sous le serveur virtuel requis.

    Politiques et profils

  11. Également sur StoreFront, sous la configuration Citrix Gateway définie pour utiliser « Type d’ouverture de session » = « Jeton de domaine et de sécurité »

    Paramétrage StoreFront 1

    Paramétrage StoreFront 1

Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les appareils mobiles/tablettes