将定期 Endpoint Analysis 扫描配置为 nFactor 身份验证中的一个因素

在 Citrix Gateway 上,可以配置端点分析 (EPA) 以检查用户设备是否符合特定安全要求,并相应地允许用户访问内部资源。用户首次登录 Citrix Gateway 时,端点分析插件会下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件,则用户无法使用 Citrix Gateway 插件登录。

要了解 nFactor 概念中的 EPA,请参阅 通过 NetScaler 进行的 nFactor 身份验证中用于 EPA 的概念和实体

在传统策略中,定期 EPA 被配置为vpn session action下的会话策略的一部分。在高级策略基础结构下,可将其链接到 nFactor。

在本主题中,EPA 扫描用作 nFactor 或多重身份验证中的连续检查。

将 EPA 扫描表示为 nFactor 或多重身份验证中的连续检查

用户尝试连接到 Citrix Gateway 虚拟 IP 地址。一个带有用户名和密码字段的简单登录页面会呈现给用户以提供登录凭据。使用这些凭据,在后端执行基于 LDAP 或 AD 的身份验证。如果成功,用户将获得弹出窗口以授权 EPA 扫描。一旦用户授权,就会执行 EPA 扫描,并根据用户客户端设置的成功或失败,为用户提供访问权限。

如果扫描成功,则会定期执行 EPA 扫描,以确定配置的安全要求仍然得到满足。如果 EPA 扫描在任何此类检查过程中失败,会话将终止。

必备条件

假定以下配置已经到位:

  • VPN 虚拟服务器/网关和身份验证虚拟服务器配置
  • LDAP 服务器配置和关联策略

将显示所需的策略和策略标签配置,并与本主题中的身份验证配置文件相关联。

下图显示了策略和策略标签的映射。这是用于配置的方法,但从右到左。

此示例中使用的策略和策略标签映射

使用 CLI 执行以下操作

  1. 创建执行 EPA 扫描的操作,并将其与 EPA 扫描策略相关联。

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")"
    

    上面的表达式扫描进程 ‘Firefox’ 是否正在运行。EPA 插件每 2 分钟检查过程是否存在,扫描表达式中的数字“2”表示。

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    
  2. 配置承载 EPA 扫描策略的 LDAP-ePA 后扫描策略的策略标签。

    add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT
    

    注意: LSchema_INT 是在没有架构的构建模式中,这意味着在此步骤中不会向用户显示额外的网页。

  3. 将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

    bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END
    

    在此命令中,ENE 指示身份验证机制的结束。

  4. 将 ldap-auth 策略配置为使用特定 LDAP 服务器进行身份验证的 LDAP 策略,并将其与该策略关联。

    add authentication Policy ldap-auth -rule true -action ldap_server1
    

    其中 ldap_server1 是 LDAP 策略,LDAP 身份验证是策略名称。

  5. 将 ldap-auth 策略与身份验证、授权和审核虚拟服务器关联,下一步指向在 ldap-epa-scan 后的策略标签以执行 EPA 扫描。

    bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT
    

在 GUI 中通过使用 nFactor 可视化工具进行配置

上述配置也可以使用 nFactor 可视化工具进行,这是在固件 13.0 及更高版本中提供的一项功能。

nFactor 流在可视化工具中的表示

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流,然后单击添加

  2. 单击 + 以添加 nFactor 流。

    单击以添加流

  3. 添加一个因素。您输入的名称是 nFactor 流的名称。

    为 nFactor 流添加名称

  4. 单击“添加架构”为第一个因素添加架构,然后单击“添加”。

    单击以添加架构

  5. 单击添加策略以添加 LDAP 策略。如果已创建 LDAP 策略,则可以选择相同的策略。

    单击以添加策略

    创建身份验证策略

    注意: 您可以创建 LDAP 策略。单击添加,然后在操作字段中选择 LDAP。有关添加 LDAP 服务器的详细信息,请参阅 https://support.citrix.com/article/CTX123782)

  6. 单击 + 以添加 EPA 系数。

    单击添加 EPA 系数

  7. 将“添加架构”部分留空,以便为此因素应用默认的无架构。单击添加策略以添加身份验证后 EPA 策略和操作。

    EPA 操作:

    创建 EPA 操作

    EPA策略:

    创建 EPA 策略

    单击创建

  8. nFactor 流完成后,将此流绑定到身份验证、授权和审核虚拟服务器。

    将流程绑定到身份验证虚拟服务器

    注意:如果将周期性 EPA 配置为多个因素,则考虑具有周期性 EPA 配置的最新因素。

    示例:

    配置示例

    在这个示例中,EPA 是扫描查找过程“Firefox”的第一个因素。如果 EPA 扫描成功,则会进行 LDAP 认证,然后进行下一次 EPA 扫描,以查找过程“Chrome”。当存在多个定期扫描配置为不同因素时,最新扫描优先。在这种情况下,EPA 插件在登录成功后每 3 分钟扫描过程“Chrome”。

将定期 Endpoint Analysis 扫描配置为 nFactor 身份验证中的一个因素