ADC

将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素

在 Citrix Gateway 上,可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求,从而允许用户访问内部资源。当用户首次登录 Citrix Gateway 时,端点分析插件将下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件,则用户无法使用 Citrix Gateway 插件登录。

要了解 nFactor 概念中的 EPA,请参阅 通过 NetScaler 进行 nFactor 身份验证中用于 EPA 的概念和实体

在本主题中,EPA 扫描用作 nFactor 或多重身份验证中的初始检查,后跟登录和 EPA 扫描作为最终检查。

在 nFactor 或多因素身份验证中用作初始检查的 EPA 扫描的表示

用户连接到 Citrix Gateway 虚拟 IP 地址。EPA 扫描已启动。如果 EPA 扫描成功,用户将看到登录页面,其中包含基于 LDAP 或 AD(Active Directory)的身份验证的用户名和密码字段。根据用户凭证的成功情况,用户将被重定向到下一个 EPA 因素。

此配置中涉及的高级步骤

  1. 如果扫描成功,则会将用户放置或标记为默认用户组。

  2. 选择下一种身份验证方法 (LDAP)。

  3. 根据身份验证的结果,系统会向用户显示下一组扫描。

必备条件

假设以下配置已到位。

  • VPN 虚拟服务器/网关和身份验证虚拟服务器配置
  • 身份验证、授权和审核用户组(适用于默认用户组和隔离用户组)及相关策略
  • LDAP 服务器配置和相关策略

使用 CLI 进行配置

  1. 创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
    <!--NeedCopy-->
    

    上述表达式会扫描 Firefox 进程是否在客户端计算机上运行。

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
    <!--NeedCopy-->
    
  2. 配置 epa-scan 后的策略标签来托管 EPA 扫描的策略。

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT
    <!--NeedCopy-->
    

    注意: LSCHEMA_INT 是一个内置模式,没有架构(noschema),这意味着在此步骤中不会向用户显示其他网页。

  3. 将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    END 表示身份验证机制已结束。

  4. 配置 ldap-auth 策略并将其与配置为向特定 LDAP 服务器进行身份验证的 LDAP 策略关联。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    
    ldap_server1 is LDAP policy and ldap-auth is policy name
    <!--NeedCopy-->
    
  5. 使用登录架构配置策略标签 ldap-factor 以捕获单因素用户名和密码。

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml
    <!--NeedCopy-->
    

    注意: 如果您不想在构建的架构 LoginSchema/SingleAuth.xml 中使用,请用您需要的模式替换

  6. 将步骤 4 中配置的策略与步骤 5 中配置的策略标签相关联。

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan
    <!--NeedCopy-->
    

    END 表示该段的身份验证机制已结束,而 NextFactor 表示身份验证后的下一个因素。

  7. 创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
    <!--NeedCopy-->
    

    这里 default_group 是一个预先配置的用户组。

    上述表达式会扫描 Windows 7 用户是否安装了补丁 1。

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
    <!--NeedCopy-->
    
  8. 将 EPA 扫描策略与身份验证、授权和审核虚拟服务器相关联,下一步指向策略标签 ldap-factor 以执行身份验证的下一步。

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

使用 GUI 进行配置

  1. 导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA

    第一个用于检查 Windows 自动更新的 EPA 扫描和默认组

    创建第一个 EPA 扫描

    第二次 EPA 扫描以检查 Firefox 浏览器

    创建第二个 EPA 扫描

  2. 创建 EPA 策略。导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略 并绑定在步骤 1 中创建的操作。

    首次 EPA 扫描的策略

    为首次 EPA 扫描创建策略

    第二次 EPA 扫描的策略

    创建第二次 EPA 扫描策略

    有关高级 EPA 的更多信息,请参阅 高级端点分析扫描

  3. 创建 nFactor 流。导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。

    注意: nFactor 可视化工具在固件 13.0 及更高版本上可用。

  4. 添加一个因素。您输入的名称为 nFactor 流的名称。

    添加因素名称

    EPA 扫描不需要任何架构。

  5. 单击 添加策略 为第一个因素添加策略。

    单击以添加策略

  6. 选择在步骤 2 中创建的第一个 EPA 策略。

    单击以选择第一个 EPA 策略

  7. 单击绿色 + 号并添加下一个因素,即 LDAP 身份验证。

    单击添加下一个因素

  8. 单击 添加架构 ,然后单击 加为第二个因素添加架构。

    单击以添加架构

  9. 创建一个模式,在此示例中为 Single_Auth,然后选择此架构。

    创建单个身份验证架构

    选择单个身份验证架构

  10. 单击 添加策略 以添加用于身份验证的 LDAP 策略。

    添加用于身份验证的 LDAP 策略

    有关创建 LDAP 验证的更多信息,请参阅 配置 LDAP 身份验证

  11. 为身份验证后 EPA 扫描创建下一个因素。

    为后期身份验证 EPA 扫描创建下一个因素

  12. 单击 添加策略,选择在步骤 2 中创建的 secondePA_Check 策略,然后单击 添加

    单击以添加策略

  13. 单击 Done(完成)。

  14. 单击 绑定到身份验证服务器,选择 nFactor 流,然后单击 创建

取消绑定 nFactor 流程

  1. 选择 nFactor 流程并单击“显示绑定”。

  2. 选择身份验证虚拟服务器,然后单击“解除绑定”。

将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素