将 EULA 配置为 Citrix ADC nFactor 系统中的身份验证因素

下图显示了具有 EULA 的最终用户登录流。在此流程中,现有的第一个因素将移动到 EULA 之后。EULA 成为第一个/虚拟服务器 配置文件,前一个因素成为第二个因素。

EULA 工作流程

nFactor 流呈现

此设置也可以通过 ADC 13.0 及更高版本中提供的 nFactor 可视化工具进行创建。

可视化工具中的 EULA 工作流设置

使用 CLI 进行配置

  1. 将 eula.xml 复制到 Citrix ADC 上的 /nsconfig/登录架构。
  2. 为 EULA 添加登录架构。

    add authentication loginSchema eulaschema -authenticationSchema eula.xml
    
    add authentication loginSchemaPolicy eula_schema -rule true -action eulaschema
    
    bind authentication vserver auth -policy eula_schema -priority 5
    
  3. 添加身份验证因素作为次要因素。

    add authentication loginSchema single_auth -authenticationSchema "LoginSchema/SingleAuth.xml"
    
    add authentication policylabel single_factor -loginSchema single_auth
    
    bind authentication policylabel single_factor -policyName ldap-adv -priority 5
    
  4. 在虚拟服务器级联中添加无身份验证策略。

    add authentication Policy noauth_pol -rule "http.req.url.contains("/nf/auth/doAuthentication.do")" -action NO_AUTHN
    
    bind authentication vserver auth -policy noauth_pol -priority 1 -nextFactor single_factor -gotoPriorityExpression NEXT
    

以下屏幕捕获是在虚拟服务器上配置的 EULA 作为一个因素。

在虚拟服务器中配置为一个因素的 EULA

以下屏幕捕获是身份验证因素(在这种情况下是双重因素)。

双因素登录页面

通过使用 nFactor 可视化工具进行配置

  1. 导航到“安全”>“AAA-应用程序流量”>“nFactor 可视化工具”>“nFactor 流”,然后单击“添加”。

  2. 单击 + 符号以添加 nFactor 流。

    单击以添加因素

  3. 添加一个因素。您输入的名称是 nFactor 流的名称。

    添加因素名称

  4. 单击“添加架构”为第一个因素添加架构,然后单击“添加”。

    单击以添加架构

  5. 通过选择 eula.xml 登录架构创建 EUL_schema。

    创建身份验证模式

  6. 选择第一个因素的架构,即 EULA。

    为第一个因素选择一个架构

  7. 单击“添加策略”为 NO_AUTN 创建身份验证策略,然后单击“添加”。

    单击以添加策略

  8. 单击绿色 + 符号添加下一个因素,即双重身份验证 (LDAP+RADIUS)。

    单击以添加下一个因素

  9. 再次单击添加架构以添加第二个因素的架构,然后单击添加

    单击以添加第二因素的架构

  10. 通过选择 DualAuth.xml 登录架构,然后单击创建来创建双重验证架构。

    选择双身份验证模式

  11. 单击“添加策略”以选择用于 LDAP 身份验证的策略,然后单击“添加”。

    添加 LDAP 身份验证策略

    有关创建 LDAP 身份验证的详细信息,请参阅配置 LDAP 身份验证

  12. 单击蓝色 + 号以添加第二个身份验证。

    单击以添加第二个因素

  13. 单击“添加”以选择 RADIUS 身份验证的策略。

    单击以选择 RADIUS 身份验证策略

    有关创建 RADIUS 身份验证的详细信息,请参阅配置 RADIUS 身份验证

  14. 单击完成。配置已保存。

  15. 单击“绑定到身份验证服务器”,选择刚刚创建的用于将流绑定到身份验证、授权和审核虚拟服务器的 nFinate 流,然后单击“创建”。

    将 nFactor 流绑定到身份验证虚拟服务器

    注意: 请仅通过显示绑定下 nFactor 流中指定的选项绑定和解除绑定 nFactor 流。

取消绑定 nFactor 流

  1. 选择 nFactor 流,然后单击显示绑定

  2. 选择绑定 nFinate 流的身份验证虚拟服务器,然后单击“取消绑定”。

从身份验证虚拟服务器取消绑定 nFactor 流

此示例中使用的登录模式

从 Web 浏览器复制文本时,某些引号的呈现方式不同。建议您在文本编辑器中复制架构以标准化引号。

注意: 此登录架构存在于 Citrix ADC 13.0 版本中,无需单独创建。

<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext></StateContext>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>End User License Agreement</Text><Type>heading</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Protecting Gateway's information and information systems is the responsibility of every user of Gateway.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>This computer, including any devices attached to this computer and the information systems accessed from this point contain information which is confidential to Organization. Your activities and use of these facilities are monitored and recorded. They are not private and may be reviewed at any time. Unauthorised or inappropriate use of Organization's Information Technology facilities, including but not limited to Electronic Mail and Internet services, is against company policy and can lead to disciplinary outcomes, including termination and/or legal actions. Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>Continue</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>