ADC

在 Citrix ADC nFactor 身份验证中配置证书中的预填用户名

以下部分介绍双因素身份验证的用例。第一个因素是证书身份验证,然后是 LDAP。

使用案例:证书和 LDAP 身份验证

假设管理员配置双重身份验证的用例。第一级作为证书身份验证,然后是 LDAP 身份验证。作为第一个因素的一部分,客户端请求用户证书。用户名将从证书中提取出来,并在为下一个因素返回的登录表单的用户名字段中预先填充。

  1. 客户端浏览器访问流量管理虚拟服务器并重定向到登录页面进行身份验证。

  2. 根据提取用户名的证书操作评估第一个因素。评估成功并传递给下一个因素,在这种情况下是策略“标签 1”。

  3. 策略标签指定第二个因素是使用 LDAP 策略的登录架构“login1”。

  4. 返回预填用户名的登录表单,以便从用户那里获取用于 LDAP 身份验证的密码。

  5. 身份验证服务器返回 Cookie 和响应,该响应将客户端的浏览器重定向回流量管理虚拟服务器,请求的内容所在。另一方面,如果登录失败,客户端的浏览器将显示原始登录页面,以便客户端可以重试。

注意

也可以通过 Citrix ADC 版本 13.0 及更高版本中提供的 nFactor 可视化工具创建安装程序。

nFactor 可视化工具 SAML 和 LDAP

使用 CLI 执行以下操作

  1. 配置流量管理虚拟服务器和验证服务器。

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

    • set ssl parameter –denysslrenegotiation NO
  2. 将第一个因素配置为证书操作。

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. 配置第二个因素。

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. 配置 LDAP 操作。

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. 绑定策略。

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

使用 nFactor 可视化工具进行配置

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。

  2. 单击 + 以添加 nFactor 流。

  3. 添加一个因素。您输入的名称为 nFactor 流的名称。

    为流程添加名称

  4. 证书身份验证不需要模式。

  5. 单击 添加策略 为证书身份验证创建策略。

    预填充策略

  6. 为证书身份验证添加策略。

    添加证书策略

    注意

    有关证书身份验证的详细信息,请参阅 配置和绑定客户端证书身份验证策略

  7. 单击证书策略旁边的绿色 + 以添加下一个因素。

    添加策略下一个因素

  8. 选择 创建因素 以创建 LDAP 身份验证的因素。

    创建因素 LDAP

  9. 单击 添加架构 为已预先填充用户名的第二个因素添加 PrefilUserFormExpr.xml 架构。

    预填好的用户名

  10. 选择 添加策略 以添加 LDAP 身份验证策略。

    LDAP 策略

    注意

    有关创建 LDAP 身份验证的详细信息,请参阅 使用配置实用程序配置 LDAP 身份验证

  11. 单击 Done(完成)保存配置。

  12. 要将刚创建的 nFactor 流程绑定到身份验证、授权和审核虚拟服务器,请单击 Bind to Authentication Server(绑定到身份验证服务器),然后单击 Create(创建)。

    绑定身份验证服务器

    注意

    通过仅 显示绑定下 nFactor Flow 中给出的选项绑定和解绑 nFactor Flow。

取消绑定 nFactor 流程

  1. 选择 nFactor 流,然后单击显示绑定

  2. 选择身份验证虚拟服务器并单击 Unbind(取消绑定)。

在 Citrix ADC nFactor 身份验证中配置证书中的预填用户名