PoCガイド:メールOTPによるCitrix Gateway認証のnFactor

はじめに

多要素認証の実装は、アイデンティティを検証し、セキュリティポスチャを改善する最良の方法の 1 つです。電子メールOTPは、すぐに利用可能な電子メールシステムを使用して別の要因を実装するための便利な方法です。これにより、ユーザーは任意のデバイス上の電子メールクライアントから、認証検証コードをゲートウェイ認証フォームへ受信、コピー、貼り付けできます。

Citrix Gatewayは電子メールOTP認証をサポートし、Webサービス、VPN、Citrix Virtual Apps and Desktops などのさまざまなサービスの認証を提供します。このPOCガイドでは、Citrix Virtual Apps and Desktops 環境での認証のためにそれを使用することをデモンストレーションします.

OTP をメールで送信

概要

このガイドでは、Citrix Gatewayで2要素認証を使用して概念実証環境を実装する方法について説明します。このガイドでは、LDAP を使用して Active Directory 資格情報を最初の要素として検証し、電子メール OTP を 2 番目の要素として使用します。Citrix Virtual Apps and Desktops公開仮想デスクトップを使用して、接続性を検証します。

次のコンポーネントのインストールと構成が完了したことを前提としています。

  • Citrix Gatewayをインストールし、ライセンス取得し、ワイルドカード証明書にバインドされた外部からアクセス可能な仮想サーバーを使用して構成する
  • 認証にLDAPを使用するCitrix GatewayとCitrix Virtual Apps and Desktops環境を統合する
  • 電子メールを送信するためのユーザー名とパスワードでログインできるSMTPサーバーアクセス
  • Citrix Workspaceアプリがインストールされたエンドポイント
  • Active Directory (AD) が環境で使用可能

最新の製品バージョンとライセンス要件については、Citrix のドキュメントを参照してください。 メールOTP認証

Citrix Gateway

まず、ゲートウェイで CLI にログインし、LDAP と E メールの認証アクションと関連ポリシーをそれぞれ入力します。次に、GUI にログインして、ビジュアライザーツールで nFactor フローを構築し、多要素認証の設定を完了します。

認証ポリシー

LDAP アクションと、それを参照するポリシー(最初の認証要素)を作成します。次に、[電子メール] アクションと、それを参照するポリシー (2 番目の認証要素) を作成します。

まず、Citrix ADCのNSIPアドレスをSSHセッションを開いてCLIに接続し、nsroot管理者としてログインします。

LDAPアクション

次のフィールドに入力して LDAP アクションを作成し、完成した文字列を CLI に貼り付けます。

  • ldapAction -アクション名を入力します。を入力しますauthAct_LDAP_eotp
  • serverIP -ドメインサーバーの FQDN または IP アドレスを入力します。環境内のドメインサーバのプライベート IP アドレス192.0.2.50を入力します。
  • serverPort -LDAPポートを入力します。セキュアなLDAPポート636を入力する
  • ldapBase -関連するユーザーがディレクトリに格納されているドメインオブジェクトとコンテナの文字列を入力します。を入力します"OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net"
  • ldapBindDn -ドメインユーザーのクエリに使用するサービスアカウントを入力します。を入力しますworkspacessrv@workspaces.wwco.net
  • ldapBindDnPassword -サービスアカウントのパスワードを入力します。パスワードはデフォルトでCitrix ADCによって暗号化されます
  • ldapLoginName -ユーザーオブジェクトタイプを入力します。を入力しますuserPrincipalName
  • groupAttrName -グループ属性名を入力します。を入力しますmemberOf
  • subAttributeName -サブ属性名を入力します。を入力しますcn
  • secType -セキュリティの種類を入力します。を入力しますSSL
  • ssoNameAttribute -シングルサインオン名の属性を入力します。を入力しますuserPrincipalName
  • defaultAuthenticationGroup -デフォルトの認証グループを入力します。を入力しますEmail-OTP
  • alternateEmailAttr -電子メールアドレスを取得できるユーザードメインオブジェクト属性を入力します。を入力しますotherMailbox

環境用の完全な文字列を作成したら、それをコピーして CLI に貼り付けます。 add authentication ldapAction authAct_LDAP_eotp -serverIP 192.0.2.50 -serverPort 636 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword your_service_account_password -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

Active Directory ユーザーオブジェクト属性を設定するために使用できるさまざまなツールが存在します。POCでは、「サーバーマネージャ」>「ツール」から ADSI 編集を使用して、user1 の電子メールアドレスを手動で「OtherMailbox」属性に追加します。

OTP をメールで送信

LDAPポリシー

次のフィールドに入力して LDAP アクションを作成し、完成した文字列を CLI に貼り付けます。

  • Policy -ポリシー名を入力します。を入力しますauthPol_LDAP_eotp
  • action -上記で作成したメールアクションの名前を入力します。を入力しますauthAct_LDAP_eotp

環境の完全な文字列を作成したら、それをコピーして CLI: add authentication Policy authPol_LDAP_eotp -rule true -action authAct_LDAP_eotp LDAP に貼り付けます。詳細については、「 LDAP 認証ポリシー」を参照してください。

メールアクション

次のフィールドに入力して [電子メール] アクションを作成し、完成した文字列を CLI に貼り付けます。

  • emailAction -アクション名を入力します。を入力しますauthAct_Email_eotp
  • userName -メールサーバーにログインするユーザーまたはサービスアカウントを入力します。を入力しますworkspacessrv@workspaces.wwco.net
  • password -サービスアカウントのパスワードを入力して、メールサーバーにログインします。パスワードはデフォルトでCitrix ADCによって暗号化されます
  • serverURL -メールサーバーの FQDN または IP アドレスを入力します。を入力します"smtps://192.0.2.40:587"
  • content -フィールドの隣にユーザーメッセージを入力して、電子メールコードを入力します。を入力します"Your OTP is $code"
  • time out -電子メールコードが有効である秒数を入力します。を入力します60
  • emailAddress -ユーザーの電子メールアドレスを照会する LDAP オブジェクトを入力します。を入力します"aaa.user.attribute(\"alternate_mail\")"

環境用の完全な文字列を作成したら、それをコピーして CLI に貼り付けます。 add authentication emailAction authAct_Email_eotp -userName workspacessrv@workspaces.wwco.net -password your_service_account_password -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

メールポリシー

次のフィールドに入力して E メールポリシーを作成し、完成した文字列を CLI に貼り付けます。

  • Policy -ポリシー名を入力します。を入力しますauthPol_Email_eotp
  • action -上記で作成したメールアクションの名前を入力します。を入力しますauthAct_Email_eotp

環境用の完全な文字列を作成したら、それをコピーして CLI に貼り付けます。Email 詳細については、「 add authentication Policy authPol_Email_eotp -rule true -action authAct_Email_eotp E [メール認証ポリシー](/ja-jp/citrix-adc/current-release/aaa-tm/email-otp.html) 」を参照してください。

nFactor

  1. Citrix ADC UIにログインする
  2. [ トラフィック管理] > [SSL] > [証明書] > [すべての証明書 ] の順に選択し、ドメイン証明書がインストールされていることを確認します。この POC の例では、Active Directory ドメインに対応するワイルドカード証明書を使用しました。詳細については、「 Citrix ADC SSL証明書 」を参照してください。
  3. 次に移動します。Security > AAA - Application Traffic > nFactor Visualizer > nFactor Flows
  4. [追加] を選択し、[係数] ボックスでプラス記号を選択します
  5. nFactor_EmailOTP 入力してメールOTPを作成を選択します
  6. [スキーマの追加] を選択し、[ポリシーの選択] の横にある [追加] をもう一度選択します
  7. 入力 lschema_SingleAuth
  8. 「認証スキーマ」で、鉛筆アイコンを選択してスキーマ選択を編集します
  9. [スキーマファイル] で [LoginSchema] を選択し、[LoginSchema] に移動し、SingleAuth.xmlを選択します
  10. 青い選択ボタンを選択し、続いて「作成」、「OK」、「 電子メール OTP」の順に選択します
  11. 同じボックスで、[ポリシーの追加] を選択します。
  12. 作成したLDAPポリシーを選択します。authPol_LDAP_eotpを使用します。
  13. [追加] を選択します。
  14. authPol_LDAP_eotp ポリシーの横にある緑のプラス記号を選択して、ファクタを作成します
  15. factor_Email このファクタを入力すると、電子メールコードを使用して第2要素認証が実行されます
  16. [作成] を選択します
  17. 同じボックスで、[ポリシーの追加] を選択します。
  18. 作成したメールポリシーを選択します。authPol_Email_eotpを使用します。
  19. [Goto Expression] で ENDを選択します
  20. [追加] を選択します。
  21. これでnFactorフローの設定が完了し、 完了メールOTPをクリックできます

Citrix ADC 認証、承認、監査(Citrix ADC AAA)仮想サーバー

  1. 次に、[ セキュリティ] > [AAA-アプリケーショントラフィック] > [仮想サーバ ] に移動して、[追加]を選択します
  2. 次のフィールドを入力し、「OK」をクリックします。
    • 名前:一意の値。私たちは、「EMAILOTP_AuthVserver」を入力します
    • IP アドレスの種類- Non Addressable
  3. [サーバー証明書なし] を選択し、ドメイン証明書を選択し、[選択]、[バインド]、[続行] の順にクリックします。
  4. nファクターフローなしを選択します
  5. [nFactor フローを選択] で右矢印をクリックし、前に作成したnFactor_EmailOTPフローを選択します。
  6. 選択をクリックし、 続いてメールOTPのバインドをクリックします
  7. [続行] をクリックし、[完了] をクリックします

Citrix Gateway-仮想サーバー

  1. 次に、 [Citrix Gateway]>[仮想サーバー]に移動します
  2. Citrix Virtual Apps and Desktops環境へのプロキシアクセスを提供する既存の仮想サーバーを選択します
  3. [編集] を選択します。
  4. 現在LDAPポリシーがバインドされている場合は、基本認証-プライマリ認証の下に移動して、LDAPポリシーを選択します。次に、ポリシーをチェックし、[Unbind] を選択し、[はい] を選択して確定し、[Close]
  5. 右側の [詳細設定] メニューで、[認証プロファイル] を選択します
  6. [追加] を選択します。
  7. 名前を入力してください。 を入力しますEmailOTP_auth_profile
  8. [認証仮想サーバー] で右矢印をクリックし、作成したCitrix ADC AAA仮想サーバーを選択します EmailOTP_Auth_Vserver
  9. [選択]、[作成] の順にクリックします。
  10. OK をクリックし、基本認証ポリシーが削除されている間に、仮想サーバーの認証プロファイルが選択されていることを確認します。 電子メール OTP 認証
  11. 「完了」をクリック

ユーザーエンドポイント

今、私たちは、私たちのCitrix Virtual Apps and Desktops 環境に認証することにより、電子メールOTPをテストします.

  1. ブラウザを開き、Citrix Gatewayで管理されるドメインFQDNに移動します。https://gateway.workspaces.wwco.netを使用します。
  2. ブラウザがログイン画面にリダイレクトされたら、user userPrincipalName とパスワードを入力します。Email OTP
  3. ユーザーの電子メールクライアントを開き、OTP コード Email OTPをコピーします。
  4. ユーザー名が入力されているブラウザに戻り、コードを貼り付けて、OK Email OTPをクリックします
  5. ユーザー、仮想アプリケーション、およびデスクトップが列挙されていることを確認し、 Email OTPにログインしたら起動します

トラブルシューティング

SMTPサーバー

クライアント電子メールをOTPコードで送信するには、Citrix Gatewayがユーザー名とパスワードを使用してメールサーバーに対して認証できる必要があります。Citrix Gatewayが電子メールを送信できない場合、ユーザーがユーザー名とパスワードを送信した後に最初の要素の完了がタイムアウトします。

  • ExchangeサーバーがNTLM専用に構成されている場合、デフォルトでは、Citrix Gatewayは認証できません。Citrix Gatewayは、ユーザー名とパスワードを使用してログインし、OTPコードを含む電子メールを作成および送信できる必要があります。確認するには、Citrix GatewayにSSH接続するか、コンソールにアクセスします。
  • Gmail などのパブリックメールサーバーを使用することもできます。Email OTP ポリシーを設定する場合は、メールサーバフィールドにsmtps://smtp.gmail.com:587を入力します。 ただし、TCP ポート 587 で発信 SMTPS を許可するようにファイアウォールを構成する必要があります。

概要

Citrix WorkspaceとCitrix Gatewayを使用すると、企業ではユーザーエクスペリエンスを複雑にすることなく、多要素認証を実装することで、セキュリティ体制を向上させることができます。ユーザーは、標準のドメインユーザーとパスワードを入力し、電子メールクライアントに送信された Email OTP で ID を確認するだけで、すべてのワークスペースリソースにアクセスできます。

参照ドキュメント

詳細については、その他の nFactor 認証オプションを参照してください。

メールOTP — メールOTPはCitrix ADC 12.1ビルド51.xで導入されました

PoCガイド:メールOTPによるCitrix Gateway認証のnFactor