在 Citrix ADC nFactor 身份验证中从证书配置预填充用户名

以下部分介绍了双重身份验证的用例。第一个因素是证书身份验证后跟 LDAP。

用例:证书和 LDAP 身份验证

假设管理员配置双重身份验证的用例。第一级作为证书身份验证,然后是 LDAP 身份验证。作为第一个因素的一部分,客户端请求用户证书。用户名从证书中提取,并预填充为下一个因素返回的登录表单的用户名字段。

  1. 客户端浏览器访问流量管理虚拟服务器,并重定向到登录页进行身份验证。

  2. 根据提取用户名的证书操作评估第一个因素。评估是成功的,并传递给下一个因素,在这种情况下,策略“label1”。

  3. 策略标签指定第二个因素是使用 LDAP 策略的登录架构“login1”。

  4. 返回带有预填充用户名的登录表单,以便从用户获取 LDAP 身份验证的密码。

  5. 身份验证服务器返回 cookie 和响应,该响应将客户端的浏览器重定向回流量管理虚拟服务器,其中请求的内容所在。另一方面,如果登录失败,客户端的浏览器将显示原始登录页面,以便客户端可以重试。

注意

此设置也可以通过 Citrix ADC 13.0 及更高版本中提供的 nFactor 可视化工具进行创建。

nFactor 可视化工具 SAML 和 LDAP

使用 CLI 执行以下操作

  1. 配置流量管理虚拟服务器和身份验证服务器。

    • add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
    • add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
    • set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory

    • set ssl parameter –denysslrenegotiation NO
  2. 将第一个因素配置为证书操作。

    • add authentication certAction cert -userNameField Subject:CN
    • add authentication Policy certpol -rule true -action cert
  3. 配置第二个因素。

    • add authentication loginSchema login1 -authenticationSchema login1.xml
    • add authentication policylabel label1 -loginSchema login1
  4. 配置 LDAP 操作。

    • add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
    • add authentication Policy ldappolicy -rule true -action ldapact
  5. 绑定策略。

    • bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
    • bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END

使用 nFactor 可视化工具进行配置

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流,然后单击添加

  2. 单击 + 以添加 nFactor 流。

    单击以添加流

  3. 添加一个因素。您输入的名称是 nFactor 流的名称。

    为流添加名称

  4. 证书身份验证不需要架构。

  5. 单击“添加策略”以创建证书身份验证策略。

    预填充策略

  6. 添加证书身份验证策略。

    添加证书策略

    注意

    有关证书身份验证的更多信息,请参阅 配置和绑定客户端证书身份验证策略

  7. 单击证书策略旁边的绿色 + 以添加下一个因素。

    添加策略下一个因素

  8. 选择“创建因素”以创建 LDAP 身份验证的因素。

    创造因素 LDAP

  9. 单击添加架构为具有预填充用户名的第二个因素添加 PrefilUserFormExpr.xml 架构。

    预填充用户名

  10. 选择“添加策略”以添加用于 LDAP 身份验证的策略。

    LDAP 策略

    注意

    有关创建 LDAP 身份验证的更多信息,请参阅 使用配置实用程序配置 LDAP 身份验证

  11. 单击“完成”以保存配置。

  12. 要将创建的 nFactor 流绑定到身份验证、授权和审核虚拟服务器,请单击绑定到身份验证服务器,然后单击创建

    绑定身份验证服务器

    注意:

    请仅通过显示绑定下 nFactor 流中指定的选项绑定和解除绑定 nFactor 流。

取消绑定 nFactor 流

  1. 选择 nFactor 流,然后单击显示绑定

  2. 选择身份验证虚拟服务器,然后单击“取消绑定”。

    解除绑定身份验证服务器