Guide PoC : Authentification nFactor pour Citrix Gateway avec certificat de périphérique

Introduction

Les environnements de grande entreprise nécessitent des options d’authentification flexibles pour répondre aux besoins des différents utilisateurs. Avec le certificat de périphérique, couplé aux informations d’identification LDAP, les entreprises obtiennent une authentification multifacteur « quelque chose que vous avez » et « quelque chose que vous savez ». Cela permet aux utilisateurs de vérifier leur identité en toute transparence et d’accéder en toute sécurité à leurs applications et données.

Authentification par certificat

Vue d’ensemble

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Il valide un certificat de périphérique en tant que premier facteur à l’aide d’Endpoint Analysis (EPA). Ensuite, il utilise les informations d’identification de domaine de l’utilisateur comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix ADC installé et sous licence
  • Citrix Gateway configuré avec un serveur virtuel accessible en externe lié à un certificat générique
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Active Directory (AD) est disponible dans l’environnement avec l’autorité de certification Microsoft installée
  • Un point de terminaison Windows 10 est joint au domaine et l’application Citrix Workspace est installée
  • L’utilisateur du point de terminaison doit disposer des droits d’administrateur local ou disposer du plug-in Citrix Gateway installé

Reportez-vous à la documentation Citrix pour obtenir la dernière version du produit, les licences et les informations requises : Device certificate in nFactor as an EPA component

Configuration

Tout d’abord, nous nous connectons à l’interface de ligne de commande sur notre Citrix ADC et entrons respectivement les actions d’authentification et les stratégies associées pour EPA et LDAP avec le schéma de connexion. Ensuite, nous nous connectons à notre interface graphique pour construire notre flux NFactor dans l’outil de visualiseur et terminer la configuration d’authentification multifacteur.

Stratégies d’authentification de l’EPA

Ensuite, nous créons l’action EPA pour vérifier le certificat de périphérique, et la stratégie qui le fait référence.

Action 1 de l’EPA - Authact_EPA_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication epaAction authAct_EPA_dcnf -csecexpr "sys.client_expr(\"device-cert_0_0\")"

Stratégie de l’EPA 1 - AuthPol_EPA_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_EPA_dcnf -rule true -action authAct_EPA_dcnf

Stratégies d’authentification LDAP

Nous créons les actions LDAP et les stratégies qui les référencent.

Pour les actions LDAP, remplissez les champs requis pour créer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • ldapAction - saisissez le nom de l’action.
  • serverIP - entrez le nom de domaine complet ou l’adresse IP du serveur de domaine.
  • serverPort - entrez le port LDAP.
  • ldapBase - entrez la chaîne d’objets de domaine et de conteneurs où les utilisateurs pertinents sont stockés dans votre répertoire.
  • ldapBindDn - saisissez le compte de service utilisé pour interroger les utilisateurs du domaine.
  • ldapBindDnPassword - saisissez le mot de passe de votre compte de service.
  • ldapLoginName - saisissez le type d’objet utilisateur.
  • groupAttrName - saisissez le nom de l’attribut de groupe.
  • subAttributeName - saisissez le nom du sous-attribut.
  • secType - entrez le type de sécurité.
  • ssoNameAttribute - saisissez l’attribut de nom d’authentification unique.

Pour les stratégies LDAP, remplissez les champs requis pour référencer l’action LDAP dans une chaîne et collez-la dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie.
  • action - entrez le nom de l’action E-mail que nous avons créée ci-dessus.

Pour plus d’informations, voir Stratégies d’authentification LDAP.

  1. Connectez-vous d’abord à l’interface de ligne de commande en ouvrant une session SSH à l’adresse NSIP du Citrix ADC et connectez-vous en tant qu’ nsroot administrateur ou utilisateur administrateur équivalent.

Action LDAP 1 - Authact_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication ldapAction authAct_Ldap_dcnf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn wsadmin@workspaces.wwco.net -ldapBindDnPassword xyz123 -encrypted -encryptmethod ENCMTHD_3 -kek -suffix 2021_03_23_19_58 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

Stratégie LDAP 1 - AuthPol_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication Policy authPol_LDAP_dcnf -rule true -action authAct_Ldap_dcnf

Schéma de connexion

Ensuite, nous créons des schémas de connexion utilisés avec chaque facteur.

LSchema 1 - LSchema_EPA_DCNF

Le facteur EPA ne nécessite pas de schéma de connexion.

LSchema 2 - LSchema_LDAP_DCNF

Mettez à jour les champs suivants pour votre environnement et copiez-collez la chaîne dans l’interface de ligne de commande : add authentication loginSchema ls_ldap_dcnf -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml"

Certificats

Certificat domaine

Dans ce PDC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory et il correspond également au nom de domaine complet que nous utilisons pour accéder au serveur virtuel de passerelle (gateway.workspaces.wwco.net)

  1. Connectez-vous à l’interface graphique Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine et les autorités de certification sont installés et liés. Consultez Certificats SSL Citrix ADC pour plus d’informations.

Certificat d’appareil

Il existe de nombreux systèmes et options pour la gestion des certificats d’utilisateur et d’appareil. Dans ce POC, nous utilisons l’autorité de certification Microsoft installée sur notre serveur Active Directory. Nous avons également notre point de terminaison Windows 10 joint au domaine.

  1. Dans le menu Démarrer sur notre domaine joint Windows 10 point de terminaison, entrez mmc, cliquez avec le bouton droit et exécutez en tant qu’administrateur
  2. Sélectionnez Fichier > Ajouter/Supprimer, sélectionnez Certificats, sélectionnez la flèche pour le déplacer vers le volet Composant logiciel enfichable sélectionné, sélectionnez Compte d’ordinateur, Suivant, Ordinateur local, Terminer et cliquez sur OK
  3. Ouvrez le dossier Personnel, cliquez avec le bouton droit sur le dossier Certificats > Toutes les tâches > Demander un nouveau certificat de périphérique de certificat
  4. Cliquez sur Suivant jusqu’à ce que des types de certificats vous soient proposés, sélectionnez Ordinateur, puis cliquez sur Inscrire, puis Terminer
  5. Double-cliquez sur le certificat qu’il a installé, sélectionnez l’onglet Chemin de certification, sélectionnez l’autorité de certification racine en haut, puis cliquez sur Afficher le certificat. (Remarque : Nous pouvons exporter l’autorité de certification à partir du serveur Active Directory, mais pour le POC, nous pouvons éliminer les étapes en le faisant ici)
  6. Dans la fenêtre contextuelle, sélectionnez l’onglet Détails, sélectionnez Copier dans le fichier, cliquez sur Suivant, cliquez sur Suivant (pour accepter le codage DER)
  7. Sélectionnez Parcourir et entrez un nom de fichier, sélectionnez Enregistrer, sélectionnez suivant et sélectionnez Terminer pour stocker le fichier de certificat de l’autorité de certification. Certificat d'appareil
  8. Maintenant, nous allons l’importer dans l’ADC en naviguant vers **Traffic Management > SSL> Certificats > Certificats d’autorité de certification
  9. Cliquez sur Installer, entrez le nom DeviceCertificateCA, sélectionnez Chose File, Local, puis sélectionnez le fichier, Open et cliquez sur Install Device Certificate

Visualiseur nFactor

  1. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  2. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur

Factor1_Epa_dcnf

  1. Entrez Factor1_Epa_dcnf et sélectionnez Créer
  2. Dans la même zone, sélectionnez Ajouter une stratégie
  3. Sélectionnez la stratégie de l’EPA authPol_EPA_dcnf
  4. Sélectionnez Ajouter
  5. Sélectionnez le signe plus vert en regard de la authPol_EPA_dcnf stratégie pour créer un autre facteur

Factor2_Ldap_dcnf

  1. Entrez Factor2_Ldap_dcnf
  2. Sélectionnez Créer
  3. Dans la même zone, sélectionnez Ajouter un schéma
  4. Sélectionnez ls_ldap_dcnf
  5. Dans la même zone, sélectionnez Ajouter une stratégie
  6. Sélectionnez authPol_LDAP_dcnf
  7. Sous Goto Expression, sélectionnez END

Certificat d'appareil

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Accédez ensuite à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique. Nous entrons DC_AuthVserver
    • Type d’adresse IP - Non Addressable
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le Factor1_Epa_dcnf flux créé précédemment
  6. Cliquez sur Select, puis sur Bind, puis sur Continue Device Certificate

Citrix Gateway - serveur virtuel

  1. Accédez ensuite à Citrix Gateway > Serveurs virtuels
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Sous Paramètres de base, sélectionnez l’icône de crayon à modifier, puis sélectionnez plus en bas
  5. En bas à droite, sous Device Cert CA, sélectionnez Ajouter, puis cliquez sur le signe plus (+) en regard de DeviceCertificate.CA, suivi de OK Device Certificate.
  6. Maintenant, sous Certificat, sélectionnez Certificat CA, Ajouter une liaison, sélectionnez la flèche droite sous Select CA Cert et sélectionnez DeviceCertificate.ca suivi de Bind and Close Device Certificate
  7. Si vous avez actuellement une stratégie LDAP liée, naviguez sous Authentification de base - Authentification primaire, sélectionnez Stratégie LDAP. Vérifiez ensuite la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  8. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  9. Sélectionnez Ajouter
  10. Entrez un nom. Nous entrons DC_AuthProfile
  11. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé DC_AuthVserver
  12. Cliquez sur Sélectionner, puis sur Créer
  13. Cliquez sur OK et vérifiez que le serveur virtuel possède maintenant un profil d’authentification sélectionné alors que la stratégie d’authentification de base a été supprimée.
  14. Cliquez sur Terminé

Vérification du point de terminaison utilisateur

Nous testons l’authentification en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Sélectionnez Télécharger si le plug-in EPA n’a pas été installé.
  3. Sinon, sélectionnez Oui lorsque le plug-in EPA vous invite à analyser (vous pouvez également sélectionner Toujours à analyser automatiquement). Par la suite, il analyse les certificats de périphérique. Certificat d'appareil
  4. Si vous disposez de plusieurs certificats de périphérique, il vous invite à sélectionner celui qui convient pour vous authentifier, sinon il affiche une invite d’ouverture de session.
  5. Entrez le nom d’utilisateur et le mot de passe du domaine. Certificat d'appareil
  6. Sélectionnez le bureau virtuel à partir des ressources disponibles dans leur espace de travail et vérifiez un lancement réussi. Certificat d'appareil

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur posture de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les certificats de périphérique permettent aux entreprises d’ajouter en toute transparence un deuxième facteur d’authentification aux informations d’identification de l’utilisateur, tout en conservant une bonne expérience utilisateur tout en améliorant la sécurité.

Références

Pour plus d’informations, reportez-vous à :

How to Configure Device Certificate on Citrix Gateway for Authentication - Découvrez comment implémenter un répondeur OSCP pour vérifier l’état de révocation de certificat.

Présentation et configuration de la journalisation détaillée EPA sur NetScaler Gateway  : vérifiez que le fichier nsepa.txt sur le terminal enregistre l’autorité de certification correcte dans la liste téléchargée. « Netscaler a envoyé la liste de l’autorité de certification autorisée pour le certificat de périphérique. » Si vous ne vérifiez pas que vous avez importé et lié le bon, qui a émis le certificat de périphérique, au vServer Gateway.

Commandes Citrix ADC to Find the Policy Hits for Citrix Gateway Session Policies - En savoir plus sur les commandes CLI comme nsconmsg -d current -g _hits le suivi de la stratégie hits pour faciliter le dépannage.

Guide PoC : Authentification nFactor pour Citrix Gateway avec certificat de périphérique