Guide de validation de concept : authentification NFactor for Citrix Gateway avec Email OTP

Introduction

La mise en œuvre de l’authentification multifacteur est l’un des meilleurs moyens de vérifier l’identité et d’améliorer la posture de sécurité. Email OTP est un moyen pratique d’implémenter un autre facteur en utilisant le système de messagerie facilement accessible. Il permet aux utilisateurs de recevoir, copier et coller des codes de validation d’authentification, dans leur formulaire d’authentification de passerelle, à partir de leur client de messagerie sur n’importe quel appareil.

Citrix Gateway prend en charge l’authentification Email OTP et peut fournir une authentification pour divers services, y compris les services Web, VPN et Citrix Virtual Apps and Desktops. Dans ce guide POC, nous démontrons son utilisation pour l’authentification dans un environnement Citrix Virtual Apps and Desktops.

Courriel OTP

Aperçu

Ce guide explique comment implémenter un environnement Proof of Concept à l’aide de l’authentification à deux facteurs avec Citrix Gateway. Le guide utilise LDAP pour valider les informations d’identification Active Directory comme premier facteur et utiliser Email OTP comme deuxième facteur. Il utilise un bureau virtuel Citrix Virtual Apps and Desktops publié pour valider la connectivité.

Il émet des hypothèses sur l’installation et la configuration terminées des composants suivants :

  • Citrix Gateway installé, sous licence et configuration avec un serveur virtuel accessible en externe lié à un certificat générique
  • Citrix Gateway intégré à un environnement Citrix Virtual Apps and Desktops qui utilise LDAP pour l’authentification
  • Accès au serveur SMTP avec possibilité de se connecter avec le nom d’utilisateur et le mot de passe pour les e-mails d’origine
  • Point de terminaison avec l’application Citrix Workspace installée
  • Active Directory (AD) est disponible dans l’environnement

Reportez-vous à la documentation Citrix pour connaître la dernière version du produit et les conditions requises en matière de licence : Authentification OTP par e-mail

Citrix Gateway

Tout d’abord, nous allons nous connecter à l’interface de ligne de commande sur notre passerelle et entrer les actions d’authentification et les stratégies associées pour LDAP et e-mail respectivement. Ensuite, nous nous connecterons à notre interface graphique pour construire notre flux nFactor dans l’outil de visualiseur et terminer la configuration d’authentification multifacteur.

Stratégies d’authentification

Nous créons l’action LDAP et la stratégie qui la fait référence, qui est le premier facteur d’authentification. Ensuite, nous créons l’action E-mail, et la stratégie qui le fait référence, qui est le deuxième facteur d’authentification.

Connectez-vous d’abord à l’interface de ligne de commande en ouvrant une session SSH l’adresse NSIP du Citrix ADC et connectez-vous en tant qu’administrateur nsroot.

Action LDAP

Remplissez les champs suivants pour créer l’action LDAP et collez la chaîne complétée dans l’interface de ligne de commande :

  • ldapAction - saisissez le nom de l’action. Nous entrons authAct_LDAP_eotp
  • serverIP - entrez le nom de domaine complet ou l’adresse IP du serveur de domaine. Nous entrons 192.0.2.50 pour l’adresse IP privée du serveur de domaine dans notre environnement
  • serverPort - entrez le port LDAP. Nous entrons 636 pour le port LDAP sécurisé
  • ldapBase - entrez la chaîne d’objets de domaine et de conteneurs où les utilisateurs pertinents sont stockés dans votre répertoire. Nous entrons "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net"
  • ldapBindDn - saisissez le compte de service utilisé pour interroger les utilisateurs du domaine. Nous entrons workspacessrv@workspaces.wwco.net
  • ldapBindDnPassword - saisissez le mot de passe de votre compte de service. Le mot de passe est chiffré par Citrix ADC par défaut
  • ldapLoginName - saisissez le type d’objet utilisateur. Nous entrons userPrincipalName
  • groupAttrName - saisissez le nom de l’attribut de groupe. Nous entrons memberOf
  • subAttributeName - saisissez le nom du sous-attribut. Nous entrons cn
  • secType - entrez le type de sécurité. Nous entrons SSL
  • ssoNameAttribute - saisissez l’attribut de nom d’authentification unique. Nous entrons userPrincipalName
  • defaultAuthenticationGroup - saisissez le groupe d’authentification par défaut. Nous entrons Email-OTP
  • alternateEmailAttr - saisissez l’attribut d’objet de domaine utilisateur où leur adresse e-mail peut être récupérée. Nous entrons otherMailbox

Une fois que vous avez construit la chaîne complète pour votre environnement, copiez-la et collez-la dans l’interface de ligne de commande : add authentication ldapAction authAct_LDAP_eotp -serverIP 192.0.2.50 -serverPort 636 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword your_service_account_password -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

Il existe une variété d’outils qui peuvent être utilisés pour renseigner les attributs d’objet utilisateur Active Directory. Pour le POC, nous utilisons ADSI edit, à partir de ‘Gestionnaire de serveur > Tools’, pour ajouter manuellement une adresse e-mail pour utilisateur1 à son attribut ‘OtherMailbox’.

Courriel OTP

Stratégie LDAP

Remplissez les champs suivants pour créer l’action LDAP et collez la chaîne complétée dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie. Nous entrons authPol_LDAP_eotp
  • action - entrez le nom de l’action E-mail que nous avons créée ci-dessus. Nous entrons authAct_LDAP_eotp

Une fois que vous avez construit la chaîne complète pour votre environnement, copiez-la et collez-la dans l’interface CLI : add authentication Policy authPol_LDAP_eotp -rule true -action authAct_LDAP_eotp LDAP Pour plus d’informations, voir Stratégies d’authentification LDAP

Action par e-mail

Remplissez les champs suivants pour créer l’action E-mail et coller la chaîne complétée dans l’interface de ligne de commande :

  • emailAction - saisissez le nom de l’action. Nous entrons authAct_Email_eotp
  • userName - entrez l’utilisateur, ou le compte de service, qui se connectera au serveur de messagerie. Nous entrons workspacessrv@workspaces.wwco.net
  • password - saisissez le mot de passe de votre compte de service pour vous connecter au serveur de messagerie. Le mot de passe sera chiffré par Citrix ADC par défaut
  • serverURL - entrez le nom de domaine complet ou l’adresse IP du serveur de messagerie. Nous entrons "smtps://192.0.2.40:587"
  • content - saisissez le message utilisateur à côté du champ pour entrer le code e-mail. Nous entrons "Your OTP is $code"
  • time out - saisissez le nombre de secondes pendant lesquelles le code e-mail est valide. Nous entrons 60
  • emailAddress - saisissez l’objet LDAP à rechercher l’adresse e-mail de l’utilisateur. Nous entrons "aaa.user.attribute(\"alternate_mail\")"

Une fois que vous avez construit la chaîne complète pour votre environnement, copiez-la et collez-la dans l’interface de ligne de commande : add authentication emailAction authAct_Email_eotp -userName workspacessrv@workspaces.wwco.net -password your_service_account_password -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

Stratégie de messagerie

Remplissez les champs suivants pour créer la stratégie E-mail et collez la chaîne complétée dans l’interface de ligne de commande :

  • Policy - saisissez le nom de la stratégie. Nous entrons authPol_Email_eotp
  • action - entrez le nom de l’action E-mail que nous avons créée ci-dessus. Nous entrons authAct_Email_eotp

Une fois que vous avez construit la chaîne complète pour votre environnement, copiez-la et collez-la dans l’interface CLI : add authentication Policy authPol_Email_eotp -rule true -action authAct_Email_eotp Adresse électronique Pour plus d’informations, voir Stratégies d’authentification de messagerie

nFactor

  1. Connectez-vous à l’interface utilisateur Citrix ADC
  2. Accédez à Gestion du trafic > SSL> Certificats > Tous les certificats pour vérifier que votre certificat de domaine est installé. Dans cet exemple POC, nous avons utilisé un certificat générique correspondant à notre domaine Active Directory. Consultez Certificats SSL Citrix ADC pour de plus amples informations.
  3. Suivant accédez à Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  4. Sélectionnez Ajouter et sélectionnez le signe plus dans la zone Facteur
  5. Saisissez nFactor_EmailOTP et sélectionnez créer Courriel OTP
  6. Sélectionnez Ajouter un schéma et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
  7. Entrez lschema_SingleAuth
  8. Sous Schéma d’authentification, sélectionnez l’icône de crayon pour modifier la sélection de schéma
  9. Sous Fichiers de schéma, sélectionnez Loginschema, accédez à Loginschema, puis sélectionnez SingleAuth.xml
  10. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK Courriel OTP
  11. Dans la même zone, sélectionnez Ajouter une stratégie
  12. Sélectionnez la stratégie LDAP que nous avons créée. Nous utilisons authPol_LDAP_eotp
  13. Sélectionnez Ajouter
  14. Sélectionnez le signe plus vert en regard de la authPol_LDAP_eotp stratégie pour créer un facteur
  15. Entrer factor_Email ce facteur utilisera le code e-mail pour effectuer l’authentification du 2e facteur
  16. Sélectionnez Créer
  17. Dans la même zone, sélectionnez Ajouter une stratégie
  18. Sélectionnez la stratégie de messagerie que nous avons créée. Nous utilisons authPol_Email_eotp
  19. Sous Goto Expression, sélectionnez END
  20. Sélectionnez Ajouter
  21. Maintenant, nous avons terminé la configuration du flux nFactor et nous pouvons cliquer sur Terminé Courriel OTP

Serveur virtuel d’authentification, d’autorisation et d’audit Citrix ADC (Citrix ADC AAA)

  1. Accédez ensuite à Sécurité > AAA - Trafic des applications > Serveurs virtuels et sélectionnez Ajouter
  2. Entrez les champs suivants et cliquez sur OK :
    • Nom - une valeur unique. Nous entrons ‘Emailotp_AuthvServer’
    • Type d’adresse IP - Non Addressable
  3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer.
  4. Sélectionner Aucun flux nFactor
  5. Sous Sélectionner nFactor Flow, cliquez sur la flèche droite, sélectionnez le nFactor_EmailOTP flux créé précédemment
  6. Cliquez sur Sélectionner, suivi de Lier EMAIL OTP
  7. Cliquez sur Continuer, suivi de Terminé

Citrix Gateway - serveur virtuel

  1. Accédez ensuite à Citrix Gateway > Serveurs virtuels
  2. Sélectionnez votre serveur virtuel existant qui fournit un accès proxy à votre environnement Citrix Virtual Apps and Desktops
  3. Sélectionner Modifier
  4. Si vous avez actuellement une stratégie LDAP liée, naviguez sous Authentification de base - Authentification primaire, sélectionnez Stratégie LDAP. Vérifiez ensuite la stratégie, sélectionnez Délier, Oui pour confirmer, puis Fermer
  5. Dans le menu Paramètres avancés à droite, sélectionnez Profil d’authentification
  6. Sélectionnez Ajouter
  7. Entrez un nom. Nous entrons EmailOTP_auth_profile
  8. Sous Authentification serveur virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons créé EmailOTP_Auth_Vserver
  9. Cliquez sur Sélectionner, puis sur Créer
  10. Cliquez sur OK et vérifiez que le profil d’authentification du serveur virtuel est maintenant sélectionné alors que la stratégie d’authentification de base a été supprimée. Authentification OTP par e-mail
  11. Cliquez sur Terminé

Point de terminaison utilisateur

Maintenant, nous testons Email OTP en nous authentifiant dans notre environnement Citrix Virtual Apps and Desktops.

  1. Ouvrez un navigateur et accédez au nom de domaine complet géré par Citrix Gateway. Nous utilisons https://gateway.workspaces.wwco.net
  2. Une fois votre navigateur redirigé vers un écran de connexion, entrez utilisateur UserPrincipalName et mot de passe Courriel OTP
  3. Ouvrez le client de messagerie utilisateur et copiez le code OTP Courriel OTP
  4. Retournez à votre navigateur où le nom d’utilisateur est renseigné, collez le code, puis cliquez sur OK. Courriel OTP
  5. Vérifiez que les applications virtuelles des utilisateurs et les postes de travail sont énumérées et lancez une fois connecté Courriel OTP

Résolution des problèmes

Serveur SMTP

Citrix Gateway doit pouvoir s’authentifier auprès d’un serveur de messagerie à l’aide d’un nom d’utilisateur et d’un mot de passe afin d’initier l’e-mail client avec le code OTP. Si Citrix Gateway ne peut pas envoyer l’e-mail, l’achèvement du premier facteur s’étedra une fois que l’utilisateur a envoyé son nom d’utilisateur et son mot de passe.

  • Si votre serveur Exchange est configuré uniquement pour NTLM, par défaut, Citrix Gateway ne pourra pas s’authentifier. Citrix Gateway doit pouvoir se connecter avec un nom d’utilisateur et un mot de passe pour composer et envoyer un e-mail avec le code OTP. Pour vérifier, SSH vers Citrix Gateway ou accéder à la console.
  • Vous pouvez également utiliser des serveurs de messagerie publics tels que Gmail. Lors de la configuration de la stratégie Email OTP, entrez smtps://smtp.gmail.com:587 dans le champ serveur de messagerie. Toutefois, vous devez configurer vos pare-feu pour autoriser les SMTPS sortants sur le port TCP 587.

Résumé

Avec Citrix Workspace et Citrix Gateway, les entreprises peuvent améliorer leur position de sécurité en implémentant l’authentification multifacteur sans rendre l’expérience utilisateur complexe. Les utilisateurs peuvent accéder à toutes leurs ressources Workspaces en saisissant leur utilisateur et mot de passe de domaine standard et en confirmant simplement leur identité avec Email OTP envoyé à leur client de messagerie.

Références

Pour plus d’informations, reportez-vous aux autres options d’authentification NFactor :

Courriel OTP — Email OTP est introduit avec Citrix ADC 12.1 build 51.x

Guide de validation de concept : authentification NFactor for Citrix Gateway avec Email OTP