ADC

将定期 Endpoint Analysis 扫描配置为 nFactor 身份验证中的一个因素

在 Citrix Gateway 上,可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求,从而允许用户访问内部资源。当用户首次登录 Citrix Gateway 时,端点分析插件将下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件,则用户无法使用 Citrix Gateway 插件登录。

要了解 nFactor 概念中的 EPA,请参阅 通过 NetScaler 进行 nFactor 身份验证中用于 EPA 的概念和实体

在传统策略中,定期 EPA 被配置为vpn session action下的会话策略的一部分。在 高级策略基础架构下,可以将其链接到 nFactor。

在本主题中,EPA 扫描用作 nFactor 或多因素身份验证中的持续检查。

在 nFactor 或多因素身份验证中将 EPA 扫描表示为持续检查

用户尝试连接到 Citrix Gateway 虚拟 IP 地址。向用户呈现一个带有用户名和密码字段的简单登录页面,以提供登录凭据。使用这些凭据,基于 LDAP 或 AD 的身份验证将在后端执行。如果成功,则会向用户显示一个弹出窗口,允许用户授权 EPA 扫描。用户授权后,将执行 EPA 扫描,并根据用户客户端设置的成功或失败,向用户提供访问权限。

如果扫描成功,将定期执行 EPA 扫描,以确定配置的安全要求是否仍然得到满足。如果 EPA 扫描在任何此类检查期间失败,则会话将终止。

必备条件

假设以下配置已到位:

  • VPN 虚拟服务器/网关和身份验证虚拟服务器配置
  • LDAP 服务器配置和关联的策略

本主题中显示了所需的策略和策略标签配置,并将其与身份验证配置文件相关联。

下图显示了策略和策略标签的映射。这是用于配置的方法,但从右到左。

本示例中使用的策略和策略标签的映射

使用 CLI 执行以下操作

  1. 创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    <!--NeedCopy-->
    

    上面的表达式扫描进程“Firefox”是否正在运行。EPA 插件每 2 分钟检查一次进程是否存在,由扫描表达式中的数字“2”表示。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  2. 在 ldap-epa-scan 之后配置托管 EPA 扫描策略的策略标签。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    注意: LSCHEMA_INT 采用内置架构,没有架构,这意味着此步骤不会向用户显示其他网页。

  3. 将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    在此命令中,END 表示身份验证机制已结束。

  4. 将 ldap-auth 策略配置为并将其与配置为通过特定 LDAP 服务器进行身份验证的 LDAP 策略相关联。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    其中 ldap_server1 是 LDAP 策略,ldap-auth 是策略名称。

  5. 将 ldap-auth 策略与身份验证、授权和审核虚拟服务器相关联,下一步指向 ldap-epa-scan 后的策略标签以执行 EPA 扫描。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

在 GUI 中使用 nFactor 可视化工具进行配置

也可以使用 nFactor Visualizer 执行上述配置,该功能在固件 13.0 及更高版本中可用。

在可视化工具中表示 nfactor-Flow

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。

  2. 单击 + 以添加 nFactor 流。

    单击以添加流程

  3. 添加一个因素。您输入的名称为 nFactor 流的名称。

    为 nFactor 流程添加一个名称

  4. 单击“添加架构”为第一个因素添加架构,然后单击“添加”。

    单击添加架构

  5. 单击 添加策略 以添加 LDAP 策略。如果已经创建 LDAP 策略,则可以选择相同的策略。

    单击以添加策略

    注意:

    要创建 LDAP 策略,请单击“添加”,然后在“操作”字段中选择 LDAP。有关添加 LDAP 服务器的更多详细信息,请参阅 https://support.citrix.com/article/CTX123782

  6. 单击 + 添加 EPA 因素。

    单击添加 EPA 因素

  7. 将“添加架构”部分留空,以使默认的架构不应用于此因素。单击“添加策略”以添加身份验证后 EPA 策略和操作。

    EPA 操作:

    创建 EPA 操作

    EPA策略:

    制定 EPA 策略

    单击创建

  8. nFactor 流完成后,将此流绑定到身份验证、授权和审核虚拟服务器。

    将流程绑定到身份验证虚拟服务器

    ​​​​注意:如果将周期性 EPA 配置为多个因素,则会考虑采用定期 EPA 配置的最新因素。

    示例:

    配置示例

    在此示例中,EPA 是扫描查找进程“Firefox”的第一个因素。如果 EPA 扫描成功,则会导致 LDAP 身份验证,然后进行下一次 EPA 扫描,查找进程“Chrome”。如果存在配置为不同因素的多次定期扫描,则优先使用最新的扫描。在这种情况下,EPA 插件在成功登录后每 3 分钟扫描一次“Chrome”进程。

将定期 Endpoint Analysis 扫描配置为 nFactor 身份验证中的一个因素