将后身份验证 Endpoint Analysis 扫描配置为 Citrix ADC nFactor 身份验证中的一个因素

在 Citrix Gateway 上,可以配置端点分析 (EPA) 以检查用户设备是否满足某些安全要求,并相应地允许用户访问内部资源。用户首次登录 Citrix Gateway 时,端点分析插件会下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件或选择跳过扫描,则用户无法使用 Citrix Gateway 插件登录。或者,用户可以放在隔离组中,用户可以获得对内部网络资源的有限访问权限。

之前,EPA 后被配置为会话策略的一部分。现在可以将其链接到 nFactor,提供更大的灵活性,以及可以执行的时间。

在本主题中,EPA 扫描用作 nFactor 或多重身份验证中的最终检查。

EPA 扫描作为最终 nFactor 或多重身份验证

用户尝试连接到 Citrix Gateway 虚拟 IP 地址。一个带有用户名和密码字段的简单登录页面会呈现给用户以提供登录凭据。使用这些凭据,后端执行 LDAP 或基于广告的身份验证。如果成功,将向用户显示一条弹出消息以授权 EPA 扫描。一旦用户授权,就会执行 EPA 扫描,并根据用户客户端设置的成功或失败,为用户提供访问权限。

必备条件

假定以下配置已经到位。

  • VPN 虚拟服务器/网关和身份验证虚拟服务器配置
  • LDAP 服务器配置和关联策略

注意: 此设置也可以通过 Citrix ADC 13.0 及更高版本中提供的 nFactor 可视化工具进行创建。

下图显示了策略和策略标签的映射。这是用于配置的方法,但从右到左。

此示例中使用的策略和策略标签映射

使用 CLI 执行以下操作

  1. 创建执行 EPA 扫描的操作,并将其与 EPA 扫描策略相关联。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"
    

    上述表达式扫描 macOS 用户的浏览器版本小于 10.0.3,或者 Windows 7 用户安装了补丁 1。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. 配置承载 EPA 扫描策略的 LDAP-ePA 后扫描策略的策略标签。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    注意: LSchema_INT 是一个内置的模式,没有模式(无模式),这意味着在此步骤中不会向用户显示其他网页。

  3. 将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100     -gotoPriorityExpression END
    
  4. 将 ldap-auth 策略配置为使用特定 LDAP 服务器进行身份验证的 LDAP 策略配置为使用 LDAP 服务器进行身份验证。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    其中 ldap_server1 是 LDAP 策略,LDAP 身份验证是策略名称

  5. 将 ldap-auth 策略与身份验证、授权和审核虚拟服务器相关联,下一步指向在 ldap-epa-scan 后的策略标签以执行 EPA 扫描。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

    注意: 预身份验证 EPA 扫描始终作为 nFactor 身份验证的第一步来执行。后身份验证 EPA 扫描始终作为 nFactor 身份验证的最后一步来执行。EPA 扫描不能在 nFactor 身份验证之间进行。

使用 nFactor 可视化工具进行配置

上述配置也可以使用 nFactor 可视化工具进行,这是在固件 13.0 及更高版本中提供的一项功能。

可视化工具中的 nFactor 流表示

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流,然后单击添加

  2. 单击 + 以添加 nFactor 流。

    单击以添加流

  3. 添加一个因素。您输入的名称是 nFactor 流的名称。

    为流添加名称

  4. 单击“添加架构”为第一个因素添加架构,然后单击“添加”。

    单击以添加架构

  5. 单击添加策略以添加 LDAP 策略。如果已创建 LDAP 策略,则可以选择相同的策略。

    注意: 您可以创建 LDAP 策略。单击添加,然后在操作字段中选择 LDAP。有关添加 LDAP 服务器的详细信息,请参阅 https://support.citrix.com/article/CTX123782)

    选择要添加的策略

    创建身份验证策略

  6. 单击 + 以添加 EPA 系数。

    单击添加 EPA 系数

  7. 将“添加架构”部分留空,以便为此因素应用默认的无架构。单击添加策略以添加授权后 EPA 策略和操作。

    EPA操作:

    添加EPA操作

    EPA策略:

    添加 EPA 策略

    单击创建

  8. nFactor 流完成后,将此流绑定到身份验证、授权和审核虚拟服务器。

    将 nFactor 流绑定到身份验证虚拟服务器

将后身份验证 Endpoint Analysis 扫描配置为 Citrix ADC nFactor 身份验证中的一个因素