将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素
在 Citrix Gateway 上,可以配置端点分析 (EPA) 以检查用户设备是否符合特定安全要求,并相应地允许用户访问内部资源。用户首次登录 Citrix Gateway 时,端点分析插件会下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件,则用户无法使用 Citrix Gateway 插件登录。
要了解 nFactor 概念中的 EPA,请参阅 通过 NetScaler 进行 nFactor 身份验证中用于 EPA 的概念和实体。
在本主题中,EPA 扫描用作 nFactor 或多重身份验证中的初始检查,后跟登录和 EPA 扫描作为最终检查。
用户连接到 Citrix Gateway 虚拟 IP 地址。开始进行 EPA 扫描。如果 EPA 扫描成功,用户将显示登录页面,其中包含用户名和密码字段,以便基于 LDAP 或 AD(Active Directory)的身份验证。根据用户证书的成功情况,用户将被重定向到下一个 EPA 因素。
此配置所涉及的高级步骤
-
如果扫描成功,则将用户放置或标记为默认用户组。
-
选择下一种身份验证方法 (LDAP)。
-
根据身份验证的结果,向用户显示下一组扫描。
必备条件
假定以下配置已经到位。
- VPN 虚拟服务器/网关和身份验证虚拟服务器配置
- 身份验证、授权和审核用户组(对于默认和隔离的用户组)和关联策略
- LDAP 服务器配置和关联策略
使用 CLI 进行配置
-
创建执行 EPA 扫描的操作,并将其与 EPA 扫描策略相关联。
add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")" <!--NeedCopy-->前面的表达式会扫描 Firefox 进程是否在客户端计算机上运行。
add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan <!--NeedCopy--> -
配置用于承载 EPA 扫描策略的 EPA 后扫描策略的策略标签。
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->注意: LSchema_INT 是一个内置的模式,没有模式(无模式),这意味着在此步骤中不会向用户显示其他网页。
-
将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。
bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->END 表示身份验证机制的结束。
-
配置 ldap-auth 策略并将其与配置为使用特定 LDAP 服务器进行身份验证的 LDAP 策略关联。
add authentication Policy ldap-auth -rule true -action ldap_server1 ldap_server1 is LDAP policy and ldap-auth is policy name <!--NeedCopy--> -
使用登录架构配置策略标签 ldap-因素,以捕获单因素用户名和密码。
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml <!--NeedCopy-->注意: 用您需要的模式替换,以防您不想在构建的模式登录/单身 Auth.xml 中使用
-
将步骤 4 中配置的策略与步骤 5 中配置的策略标签相关联。
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan <!--NeedCopy-->END 指示该站的身份验证机制结束,nextFactor 指示身份验证后的下一个因素。
-
创建执行 EPA 扫描的操作,并将其与 EPA 扫描策略相关联。
add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group <!--NeedCopy-->这里的默认组是一个预先配置的用户组。
上述表达式扫描 Windows 7 用户是否安装了补丁 1。
add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan <!--NeedCopy--> -
将 EPA 扫描策略关联到身份验证、授权和审核虚拟服务器,下一步指向策略标签 ldap-因素以执行身份验证的下一步。
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT <!--NeedCopy-->
通过使用 GUI 进行配置
-
导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“操作”>“EPA”。
首次 EPA 扫描检查自动 Windows 更新和默认组
第二次 EPA 扫描检查火狐浏览器
-
创建 EPA 策略。导航到“安全”>“AAA-应用程序流量”>“策略”>“身份验证”>“高级策略”>“策略”,并绑定在步骤 1 中创建的操作。
第一次 EPA 扫描策略
第二次 EPA 扫描策略
有关高级 EPA 的更多信息,请参阅 高级端点分析扫描
-
创建 nFactor 流。导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。
注意: nFactor 可视化工具在固件 13.0 及更高版本中提供。
-
添加一个因素。您输入的名称为 nFactor 流的名称。
EPA 扫描不需要架构。
-
单击添加策略以为第一因素添加策略。
-
选择在步骤 2 中创建的第一个 EPA 策略。
-
单击绿色 + 符号并添加下一个因素,即 LDAP 身份验证。
-
单击添加架构,然后单击添加为第二个因素添加架构。
-
在此示例中,创建一个模式,并选择此模式。
-
单击添加策略以添加用于身份验证的 LDAP 策略。
有关创建 LDAP 验证的更多信息,请参阅 配置 LDAP 身份验证
-
为身份验证后 EPA 扫描创建下一个因素。
-
单击 添加策略,选择在步骤 2 中创建的次级 PA_检查策略,然后单击 添加。
-
单击完成。
-
单击绑定到身份验证服务器,选择 nFactor 流,然后单击创建。
取消绑定 nFactor 流程
-
选择 nFactor 流程,然后单击显示绑定。
-
选择身份验证虚拟服务器,然后单击解绑。
