ADC

将后身份验证 Endpoint Analysis 扫描配置为 Citrix ADC nFactor 身份验证中的一个因素

在 Citrix Gateway 上,可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求,从而允许用户访问内部资源。当用户首次登录 Citrix Gateway 时,端点分析插件将下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件或选择跳过扫描,则该用户将无法使用 Citrix Gateway 插件登录。或者,可以将用户置于隔离组中,在该组中,用户只能有限地访问内部网络资源。

以前,Post-EPA 被配置为会话策略的一部分。现在,它可以链接到 nFactor,从而在何时可以执行方面提供更大的灵活性。

在本主题中,EPA 扫描用作 nFactor 或多因素身份验证中的最终检查。

EPA 扫描作为最终签到 nFactor 或多因素身份验证

用户尝试连接到 Citrix Gateway 虚拟 IP 地址。向用户呈现一个带有用户名和密码字段的简单登录页面,以提供登录凭据。使用这些凭证,在后端执行 LDAP 或基于 AD 的身份验证。如果成功,则会向用户显示一条弹出消息以授权 EPA 扫描。用户授权后,将执行 EPA 扫描,并根据用户客户端设置的成功或失败,向用户提供访问权限。

必备条件

假设以下配置已到位。

  • VPN 虚拟服务器/网关和身份验证虚拟服务器配置
  • LDAP 服务器配置和关联的策略

注意: 也可以通过 Citrix ADC 版本 13.0 及更高版本中提供的 nFactor 可视化工具创建设置。

下图显示了策略和策略标签的映射。这是用于配置的方法,但从右到左。

本示例中使用的策略和策略标签的映射

使用 CLI 执行以下操作

  1. 创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"
    <!--NeedCopy-->
    

    上面的表达式扫描 macOS 用户的浏览器版本是否低于 10.0.3 或 Windows 7 用户是否安装了 Service pack 1。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  2. 在 ldap-epa-scan 之后配置托管 EPA 扫描策略的策略标签。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    注意: LSCHEMA_INT 是一个内置模式,没有架构(noschema),这意味着在此步骤中不会向用户显示其他网页。

  3. 将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100     -gotoPriorityExpression END
    <!--NeedCopy-->
    
  4. 将 ldap-auth 策略配置为并将其与配置为使用特定 LDAP 服务器进行身份验证的 LDAP 策略相关联。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    <!--NeedCopy-->
    

    其中 ldap_server1 是 LDAP 策略 ldap-auth 是策略名称

  5. 将 ldap-auth 策略与身份验证、授权和审计虚拟服务器相关联,下一步指向 ldap-epa-scan 后的策略标签以执行 EPA 扫描。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

    注意: 预身份验证 EPA 扫描始终作为 nFactor 身份验证的第一步执行。身份验证后 EPA 扫描始终作为 nFactor 身份验证的最后一步执行。EPA 扫描不能在 nFactor 身份验证之间执行。

使用 nFactor 可视化工具进行配置

上述配置也可以使用 nFactor Visualizer 执行,该功能在固件 13.0 及更高版本中可用。

可视化工具中的 Nfactor 流程表示法

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。

  2. 单击 + 以添加 nFactor 流。

  3. 添加一个因素。您输入的名称为 nFactor 流的名称。

    为流程添加名称

  4. 单击“添加架构”为第一个因素添加架构,然后单击“添加”。

    单击以添加架构

  5. 单击 添加策略 以添加 LDAP 策略。如果已经创建 LDAP 策略,则可以选择相同的策略。

    注意: 您可以创建 LDAP 策略。单击“添加”,然后在“操作”字段中选择 LDAP。有关添加 LDAP 服务器的更多详细信息,请参见 https://support.citrix.com/article/CTX123782)

    选择要添加的策略

    创建身份验证策略

  6. 单击 + 添加 EPA 因素。

    单击添加 EPA 因素

  7. 将“添加架构”部分留空,以使默认的架构不应用于此因素。单击“添加策略”以添加身份验证后 EPA 策略和操作。

    EPA的操作:

    添加 EPA 操作

    EPA的策略:

    添加 EPA 策略

    单击 Create(创建)。

  8. nFactor 流完成后,将此流绑定到身份验证、授权和审核虚拟服务器。

将后身份验证 Endpoint Analysis 扫描配置为 Citrix ADC nFactor 身份验证中的一个因素