Citrix ADC

为具有不同登录站点要求(包括设置身份验证)的应用程序配置 nFactor

通常,Citrix Gateway 允许访问多个应用程序。根据安全要求,它们可以具有不同的身份验证机制。某些应用程序可能只需要一个单一的因素,例如通用的 Intranet。包含更重要数据的 SAP 或 HR 工具等其他应用程序必须至少具有多因素身份验证。但是,大多数用户只能访问 Intranet,因此所有应用程序的多因素并不是正确的选择。

本主题介绍如何根据想要访问应用程序的用户的需求动态更改登录机制。此外,请描述设置身份验证的步骤。

必备条件

在配置 CitCitrix Gateway 之前,请查看以下先决条件。

  • Citrix ADC 企业许可证版本。
  • NetScaler 功能发布版本为 11.1 及更高版本。
  • LDAP 服务器。
  • RADIUS 服务器。
  • 公有 IP 地址。

在配置示例中,您使用两个具有以下身份验证要求的应用程序。

  • Web 应用程序绿色
    • 要求-用户名 + LDAP 密码
  • 网络应用程序红色
    • 要求-用户名 + LDAP 密码 + RADIUS pin

注意

在 LDAP 和 RADIUS 旁边,您可以使用其他身份验证方法,如用户证书、TACS 或 SAML。

基本设置

  1. 为两个 Web 应用程序添加任何可寻址的负载平衡虚拟服务器和服务。

    • 负载平衡虚拟服务器

      负载平衡虚拟服务器

    • 服务

      负载平衡虚拟服务器

  2. 添加基本的无可寻址身份验证、授权和审核虚拟服务器以便登录。目前不需要更多的配置。

    负载平衡虚拟服务器

  3. 添加内容交换虚拟服务器的 SSL 类型与公共 IP. 在此 IP 地址上,您需要为要访问的每个应用程序以及用于身份验证、授权和审核虚拟服务器的 DNS 记录。在此示例中,您使用以下 DNS 名称:
    • green.lab.local - 应用程序绿色
    • red.lab.local -> 应用程序红色
    • aaa.lab.local -> 身份验证、授权和审核虚拟服务器

    负载平衡虚拟服务器

    • 为所有 DNS 记录绑定具有匹配 CN 或 SAN 的 SSL 证书。
  4. 将内容交换机策略添加到虚拟服务器。每个应用程序一个,必须与单个主机名匹配。这是 Citrix ADC 确定用户要访问哪个应用程序的方式。此外,添加另一个用于身份验证、授权和审核的策略,表达式为“true”。

    负载平衡虚拟服务器

  5. 确保身份验证、授权和审核策略具有最高优先级。否则,将无法访问应用程序。

  6. 为匹配的虚拟服务器上的每个策略添加内容交换操作。在此示例中,每个负载平衡虚拟服务器和一个身份验证虚拟服务器。

    负载平衡虚拟服务器

身份验证级别配置

完成基本虚拟服务器和内容交换设置后,您可以启用身份验证并为应用程序执行强或弱定义。

  1. 导航到负载平衡虚拟服务器的应用程序红色并启用“基于表单的身份验证”。并添加身份验证配置文件。

    负载平衡虚拟服务器

    负载平衡虚拟服务器

  2. 当用户想要访问应用程序且没有现有会话时,输入定义的身份验证、授权和审核虚拟服务器主机名以进行重定向。

  3. 选择身份验证虚拟服务器类型并绑定身份验证、授权和审核虚拟服务器。

  4. 定义身份验证级别以配置应用程序是否强于另一个应用程序。给定级别为 100 的会话可以访问较低级别的虚拟服务器,而无需重新进行身份验证。另一方面,如果用户尝试访问更高级别的虚拟服务器,则强制此会话再次进行身份验证。

    配置身份验证配置文件

  5. 重复步骤 1-4,并使用应用程序绿色。

  6. 导航到安全”>“AAA-应用程序流量”>“身份验证配置文件以添加身份验证配置文件。

    配置身份验证配置文件

    每个应用程序的一个配置文件,都指向身份验证、授权和审核虚拟服务器主机名。在该示例中,应用程序红色(级别 100)比应用程序绿色(级别 90)更强。表示具有红色现有会话的用户无需重新身份验证即可访问绿色。第一次访问绿色的用户必须为应用程序红色重新进行身份验证。

用于多重身份验证的 nFactor 配置

  1. 导航到安全”>“AAA-应用程序流量”>“登录架构”>“配置文件”以添加三个登录架构并实现所需 Citrix ADC 登录页面。

    • 正常 LDAP 身份验证的架构
      • 选择单个身份验证 XML 以显示这两个字段。一个用于用户名,另一个用于 LDAP 密码。
      • 确保将用户名保存在索引 1 处,密码保存在索引 2 处。当用户在应用程序绿色后访问应用程序红色时,这对于执行 LDAP reauth 非常重要。
    • LDAP 重新身份验证的架构

      • 选择“noschema”,因为用户没有看到 LDAP 重新身份验证的过程。
      • 使用您在第一个架构中定义的属性字段填充用户和密码表达式。

        配置身份验证配置文件

    • RADIUS 身份验证的架构
      • 选择“单词 XML”,只显示一个用于 RADIUS 引脚的字段。由于首次登录 LDAP,因此不需要用户名。

        配置身份验证登录模式

  2. 下一步是添加所有必要的身份验证策略来控制我们登录机制的行为。导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 策略

    • 使用所需的 LDAP 服务器添加默认 LDAP 策略。

      配置身份验证策略

    • 使用所需 RADIUS 服务器添加默认 RADIUS 策略。

      配置身份验证策略

    • 添加具有操作类型“NO_AUTH”和表达式“true”的第三个身份验证策略。这项政策只能与下一个因素衔接起来。

      配置身份验证策略

    • 第四个策略评估用户是否希望访问更强的 Red 应用程序。这对红色执行多因素身份验证非常重要。
      • 选择“LDAP”作为操作类型,然后选择您的 LDAP 服务器。
      • 该表达式通过检查 cookie NSC_TMAP 来评估它是否是应用程序红色。用户通过访问 Citrix ADC 登录站点来发出此 cookie,并包含绑定到所访问的负载平衡虚拟服务器的身份验证配置文件的名称。

        LDAP 虚拟服务器策略

        Citrix 登录页面

    • 最后一个策略检查用户是否从第一个较弱的登录中保存了凭据。当用户首次访问较弱的应用程序并且现在想要启动较强的应用程序时,这对于自动 LDAP 重新登录非常重要。

      Citrix 登录页面

  3. 您可以添加一些策略标签来绑定前面的所有身份验证策略和登录架构。导航到安全 > AAA-应用程序流量 > 策略 > 身份验证 > 策略标签

    • 首先,从 RADIUS 身份验证的标签开始。

      • 为标签指定适当的名称,然后为 RADIUS 选择较早的架构,然后单击继续

        策略标签

      • 此标签的最后一步是绑定默认 RADIUS 身份验证策略。

        策略标签

    • 第二个标签执行 LDAP 重新登录。
      • 添加标签并绑定重新登录架构。

        重新登录架构

      • 绑定 LDAP 身份验证策略并将 RADIUS 策略标签设置为下一个因素。

        绑定 LDAP 身份验证策略

    • 添加第一个 LDAP 身份验证的最后一个标签。
      • 选择相应的架构,然后单击继续

        选择身份验证策略标签

      • 绑定强身份验证的第一个策略并将 Goto 表达式设置为“结束”。选择 RADIUS 策略标签作为下一个因素。

      • 第二个策略是在没有 RADIUS 的情况下进行弱绿色身份验证。

      • 确保绑定的优先级。

    • 配置身份验证、身份验证和审核。导航到安全性 > AAA-应用程序流量 > 虚拟服务器

      • 打开之前添加的虚拟服务器并设置首选的门户主题

        选择身份验证策略标签

      • 直接在虚拟服务器上绑定最后两个剩余的身份验证策略。

        高级身份验证策略

      • 将重新登录策略与“NO_AUTH”和 LDAP 重新登录策略标签绑定为下一个因素。这是为了使用现有会话进行自动 LDAP 认证。
      • 将第二个策略设置为在之前不存在会话时直接桥接到下一个因素 LDAP。
      • 与往常一样,设置正确的优先级。

        优先级身份验证策略

注意

此设置也可以通过 Citrix ADC 13.0 及更高版本中提供的 nFactor 可视化工具进行创建。

nFactor visualizer set up auth

通过 nFactor 可视化工具进行多重身份验证配置

  1. 导航到安全性 > AAA 应用程序流量 > nFactor可视化工具 > nFactor 流,然后单击添加
  2. 单击 + 符号以添加 nFactor 流。

    添加 nFactor 流

  3. 输入第一个因素名称,然后单击创建

    创建第一个因素

  4. 第一个因素不需要架构。单击 添加策略 以添加 NO_AUTH 策略,如多重身份验证配置的步骤 2 所示。

    选择策略添加

  5. 单击蓝色 + 以 添加第二个身份验证。

    第二次身份验证

  6. 选择创建的身份验证策略,然后单击 添加

    策略添加选择

  7. 单击绿色 + 以 添加下一个因素。

    策略添加

  8. 若要添加下一个身份验证因素,请选择创建因素输入因素名称,然后单击创建

    创建因素重新登录

  9. 要添加架构,请单击添加架构

    添加步骤身份验证

  10. 选择中创建的架构(多重身份验证配置),然后单击确定

    身份验证登录模式

  11. 单击添加策略并选择身份验证策略。

    LDAP 添加身份验证

  12. 单击绿色 + 可为 RADIUS 身份验证添加另一个因素。

    身份验证登录模式

  13. 按照步骤 8 创建另一个因素。

  14. 单击添加架构,然后从列表中选择仅密码的架构。

    密码架构列表

  15. 单击添加策略以选择 RADIUS 身份验证,然后单击添加

    RADIUS 策略身份验证

  16. 单击绿色 + 在第一个因素,在 step_up-pol 旁边。

    RADIUS 策略身份验证

  17. 按照步骤 8 创建另一个因素。

    设置 LDAP

  18. 单击添加架构并选择架构。

    单身份验证模式

  19. 单击添加策略以选择身份验证策略。

    LDAP 设置

  20. 单击蓝色 + 可为 LDAP 身份验证添加另一个身份验证策略。

    LDAP 另一个政策

  21. 选择 LDAP 身份验证策略,然后单击添加

    LDAP adv 策略

  22. 单击 LDAP_Step_up 旁边的绿色 + 以添加 RADIUS 身份验证。

    RADIUS 身份验证添加

  23. 由于 RADIUS 身份验证已存在,请选择连接到现有因素,然后从列表中选择步进RADIUS。

    RADIUS 身份验证添加

  24. 单击完成以保存配置。

  25. 要将创建的 nFactor 流绑定到身份验证、授权和审核虚拟服务器,请单击绑定到身份验证服务器,然后单击创建

    绑定创建的身份验证服务器

    注意

    通过仅显示绑定下的 nFactor 流中给出的选项绑定和解除绑定 nFactor 流。

取消绑定 nFactor 流

  1. 选择 nFactor 流,然后单击显示绑定

  2. 选择身份验证虚拟服务器,然后单击取消绑定

    取消绑定身份验证服务器

结果

以下步骤帮助您首先访问红色应用程序。

  1. 在访问“red.lab.local”后,重定向到身份验证、授权和审核虚拟服务器登录页面,第一个因素为 LDAP。

    身份验证登录页面

  2. nFactor 评估用户想要访问应用程序红色并显示第二个因素 RADIUS。

    RADIUS 第二因素

  3. Citrix ADC 授予对红色应用程序的访问权限。

    红色应用程序显示

  4. 访问绿色应用程序作为下一个。Citrix ADC 授予立即访问权限,因为更强的应用程序红色的会话.

    绿色应用显示屏

以下步骤帮助您首先访问绿色应用程序。

  1. 访问“green.lab.local”后,重定向到身份验证、授权和审核虚拟服务器登录页面。

    身份验证登录页面

  2. nFactor 评估应用程序绿色并授予访问权限而不使用第二个因素。

    绿色应用显示屏

  3. 访问应用程序红色作为下一个。更高的身份验证级别需要重新登录,nFirst 会使用从应用程序绿色第一次登录保存的凭据自动重新登录 LDAP。您只输入 RADIUS 凭据。

    RADIUS 第二因素

  4. Citrix ADC 授予对红色应用程序的访问权限。

    红色应用程序显示

为具有不同登录站点要求(包括设置身份验证)的应用程序配置 nFactor