Guide de validation de concept : authentification NFactor for Citrix Gateway avec certificat de périphérique

Introduction

Les environnements de grande entreprise nécessitent des options d’authentification flexibles pour répondre aux besoins des différents utilisateurs. Avec le certificat de périphérique, couplé aux informations d’identification LDAP, les entreprises obtiennent une authentification multifacteur « quelque chose que vous avez » et « quelque chose que vous savez ». Cela permet aux utilisateurs de vérifier leur identité en toute transparence et d’accéder en toute sécurité à leurs applications et données.

![(Authentification du certificat de périphérique)]/en-us/tech-zone/learn/media/poc-guides_nfactor-citrix-gateway-device-certificate_conceptualarchitecture.png

Aperçu

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il valide un certificat de périphérique en tant que premier facteur à l’aide d’Endpoint Analysis (EPA). Ensuite, il utilise les informations d’identification de domaine de l’utilisateur comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix ADC installé et sous licence
  • Citrix Gateway configuré avec un serveur virtuel accessible en externe lié à un certificat générique
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Active Directory (AD) est disponible dans l’environnement avec l’autorité de certification Microsoft installée
  • Un point de terminaison Windows 10 est joint au domaine et l’application Citrix Workspace est installée
  • L’utilisateur du point de terminaison doit disposer des droits d’administrateur local ou disposer du plug-in Citrix Gateway installé

Reportez-vous à la documentation Citrix pour obtenir la dernière version du produit, les licences et les conditions requises : Certificat de périphérique dans nFactor en tant que composant EPA

Configuration

Tout d’abord, nous nous connectons à l’interface de ligne de commande sur notre Citrix ADC et entrons respectivement les actions d’authentification et les stratégies associées pour EPA et LDAP avec le schéma de connexion. Ensuite, nous nous connectons à notre interface graphique pour construire notre flux NFactor dans l’outil de visualiseur et terminer la configuration d’authentification multifacteur.

Stratégies d’authentification de l’EPA

Ensuite, nous créons l’action EPA pour vérifier le certificat de périphérique, et la stratégie qui le fait référence.

Action 1 de l’EPA - Authact_EPA_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication epaAction authAct_EPA_dcnf -csecexpr "sys.client_expr(\"device-cert_0_0\")"

Politique de l’EPA 1 - AuthPol_EPA_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_EPA_dcnf -rule true -action authAct_EPA_dcnf

Stratégies d’authentification LDAP

Nous créons les actions LDAP et les stratégies qui les référencent.

Pour les actions LDAP, remplissez les champs requis pour créer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • ldapAction - saisissez le nom de l’action.
  • serverIP - entrez le nom de domaine complet ou l’adresse IP du serveur de domaine.
  • serverPort - entrez le port LDAP.
  • ldapBase - entrez la chaîne d’objets de domaine et de conteneurs où les utilisateurs pertinents sont stockés dans votre répertoire.
  • ldapBindDn - saisissez le compte de service utilisé pour interroger les utilisateurs du domaine.
  • ldapBindDnPassword - saisissez le mot de passe de votre compte de service.
  • ldapLoginName - saisissez le type d’objet utilisateur.
  • groupAttrName - saisissez le nom de l’attribut de groupe.
  • subAttributeName - saisissez le nom du sous-attribut.
  • secType - entrez le type de sécurité.
  • ssoNameAttribute - saisissez l’attribut de nom d’authentification unique.

Pour les stratégies LDAP, remplissez les champs requis pour référencer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie.
  • action - entrez le nom de l’action E-mail que nous avons créée ci-dessus.

Pour plus d’informations, voir Stratégies d’authentification LDAP

  1. Connectez-vous d’abord à l’interface de ligne de commande en ouvrant une session SSH à l’adresse NSIP du Citrix ADC et connectez-vous en tant qu’ nsroot administrateur ou utilisateur administrateur équivalent.

Action LDAP 1 - Authact_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication ldapAction authAct_Ldap_dcnf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn wsadmin@workspaces.wwco.net -ldapBindDnPassword xyz123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2021_03_23_19_58 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

Stratégie LDAP 1 - AuthPol_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_LDAP_dcnf -rule true -action authAct_Ldap_dcnf

Schéma de connexion

Ensuite, nous créons des schémas de connexion utilisés avec chaque facteur.

LSchema 1 - LSchema_EPA_DCNF

Le facteur EPA ne nécessite pas de schéma de connexion.

LSchema 2 - LSchema_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication loginSchema ls_ldap_dcnf -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml"

Certificats

Certificat domaine

Dans ce PDC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory et il correspond également au nom de domaine complet que nous utilisons pour accéder au serveur virtuel de passerelle (gateway.workspaces.wwco.net)

  1. Connectez-vous à l’interface graphique Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine et les autorités de certification sont installés et liés. Voir Certificats SSL Citrix ADC pour plus d’informations.

Certificat d’appareil

Il existe de nombreux systèmes et options pour la gestion des certificats d’utilisateur et d’appareil. Dans ce POC, nous utilisons l’autorité de certification Microsoft installée sur notre serveur Active Directory. Nous avons également notre point de terminaison Windows 10 joint au domaine.

  1. Dans le menu Démarrer sur notre domaine joint Windows 10 point de terminaison, nous entrons mmc, cliquez avec le bouton droit et exécutez en tant qu’administrateur
  2. Sélectionnez Fichier > Ajouter/Supprimer, sélectionnez Certificats, sélectionnez la flèche pour le déplacer vers le volet Composant logiciel enfichable sélectionné, sélectionnez Compte d’ordinateur, Suivant, Ordinateur local, Terminer et cliquez sur OK
  3. Ouvrez le dossier personnel, cliquez avec le bouton droit sur le dossier Certificats > Toutes les tâches > Demander un nouveau certificat Certificat d'appareil
  4. Cliquez sur Suivant jusqu’à ce que des types de certificats vous soient proposés, sélectionnez Ordinateur, puis cliquez sur Inscrire, puis Terminer
  5. Double-cliquez sur le certificat qu’il a installé, sélectionnez l’onglet Chemin de certification, sélectionnez l’autorité de certification racine en haut, puis cliquez sur Afficher le certificat. (Remarque : Nous pouvons exporter l’autorité de certification à partir du serveur Active Directory, mais pour le POC, nous pouvons éliminer les étapes en le faisant ici)
  6. Dans la fenêtre contextuelle, sélectionnez l’onglet Détails, sélectionnez Copier dans le fichier, cliquez sur Suivant, cliquez sur Suivant (pour accepter le codage DER)
  7. Sélectionnez Parcourir et entrez un nom de fichier, sélectionnez Enregistrer, sélectionnez suivant et sélectionnez Terminer pour stocker le fichier de certificat de l’autorité de certification. Certificat d'appareil
  8. Maintenant, nous allons l’importer dans l’ADC en naviguant vers **Traffic Management > SSL> Certificats > Certificats d’autorité de certification
  9. Cliquez sur Installer, nous saisissons le nom DeviceCertificateCA, sélectionnez Choisir le fichier, Local, puis sélectionnez le fichier, Ouvrir et cliquez sur Installer Certificat d'appareil

Visualiseur nFactor

  1. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur

Factor1_Epa_dcnf

  1. Saisissez Factor1_Epa_dcnf et sélectionnez créer
  2. Dans la même zone, sélectionnez Ajouter une stratégie
  3. Sélectionnez la politique de l’EPA authPol_EPA_dcnf
  4. Sélectionnez Ajouter
  5. Sélectionnez le signe plus vert en regard de la authPol_EPA_dcnf stratégie pour créer un autre facteur

Factor2_Ldap_dcnf

  1. Entrez Factor2_Ldap_dcnf
  2. Sélectionnez Créer
  3. Dans la même zone, sélectionnez Ajouter un schéma
  4. Sélectionner ls_ldap_dcnf
  5. Dans la même zone, sélectionnez Ajouter une stratégie
  6. Sélectionner authPol_LDAP_dcnf
  7. Sous Goto Expression, sélectionnez END

Certificat d'appareil

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Accédez ensuite à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique. Nous entrons DC_AuthVserver
    • Type d’adresse IP - Non Addressable
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le Factor1_Epa_dcnf flux créé précédemment
  6. Cliquez sur Sélectionner, suivi de Lier, suivi de Continuer Certificat d'appareil

Citrix Gateway - serveur virtuel

  1. Accédez ensuite à Citrix Gateway > Serveurs virtuels
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Sous Paramètres de base, sélectionnez l’icône de crayon à modifier, puis sélectionnez plus en bas
  5. En bas à droite, sous Device Cert CA, sélectionnez Ajouter, puis cliquez sur le signe plus (+) en regard du DeviceCertificateca suivi de OK Certificat d'appareil
  6. Maintenant, sous Certificat, sélectionnez Certificat CA, Ajouter une liaison, sélectionnez la flèche vers la droite sous Select CA Cert et sélectionnez DeviceCertificateca suivi de Bind and Close Certificat d'appareil
  7. Si vous avez actuellement une stratégie LDAP liée, naviguez sous Authentification de base - Authentification primaire, sélectionnez Stratégie LDAP. Vérifiez ensuite la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  8. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  9. Sélectionnez Ajouter
  10. Entrez un nom. Nous entrons DC_AuthProfile
  11. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé DC_AuthVserver
  12. Cliquez sur Sélectionner, puis sur Créer
  13. Cliquez sur OK et vérifiez que le profil d’authentification du serveur virtuel est maintenant sélectionné alors que la stratégie d’authentification de base a été supprimée. Certificat d'appareil
  14. Cliquez sur Terminé

Vérification du point de terminaison utilisateur

Nous testons l’authentification en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Sélectionnez Télécharger si le plug-in EPA n’a pas été installé.
  3. Sinon, sélectionnez Oui lorsque le plug-in EPA vous invite à analyser (vous pouvez également sélectionner Toujours à analyser automatiquement). Par la suite, il analyse les certificats de périphérique. Certificat d'appareil
  4. Si vous disposez de plusieurs certificats de périphérique, il vous invite à sélectionner celui qui convient pour vous authentifier, sinon il affiche une invite d’ouverture de session.
  5. Entrez le nom d’utilisateur et le mot de passe du domaine. Certificat d'appareil
  6. Sélectionnez le bureau virtuel à partir des ressources disponibles dans leur espace de travail et vérifiez un lancement réussi. Certificat d'appareil

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les certificats de périphérique permettent aux entreprises d’ajouter en toute transparence un deuxième facteur d’authentification aux informations d’identification de l’utilisateur, tout en conservant une bonne expérience utilisateur tout en améliorant la sécurité.

Références

Pour plus d’informations, reportez-vous à :

Comment faire pour configurer le certificat de périphérique sur Citrix Gateway pour l’authentification - Apprenez à implémenter un répondeur OSCP pour vérifier l’état de révocation de certificat.

Présentation et configuration de la journalisation détaillée de l’EPA sur NetScaler Gateway - vérifiez que nsepa.txt sur le point de terminaison enregistre l’autorité de certification correcte dans la liste qui est téléchargée. « Netscaler a envoyé la liste de l’autorité de certification autorisée pour le certificat de périphérique. «  Si vous ne vérifiez pas que vous avez importé et lié le bon, qui a émis le certificat de périphérique, au vServer Gateway.

Commandes Citrix ADC to Find the Policy Hits for Citrix Gateway Session Policies - En savoir plus sur les commandes CLI comme nsconmsg -d current -g _hits le suivi de la stratégie hits pour faciliter le dépannage.

Guide de validation de concept : authentification NFactor for Citrix Gateway avec certificat de périphérique