Citrix ADC

在 Citrix ADC nFactor 身份验证中使用一个登录架构和一个直通架构配置双重身份验证

以下部分介绍使用一个登录架构和一个直通架构进行双重身份验证的用例。

具有一个登录架构和一个直通架构的双重身份验证

假设管理员使用一个登录架构和一个直通架构配置双重身份验证的用例。客户端提交一个用户名和两个密码。第一组用户名和密码通过 LDAP 策略作为第一个因素进行评估,第二个密码通过 RADIUS 策略作为第二个因素进行评估。

  1. 访问流量管理虚拟服务器后,您将被重定向到登录页面进行身份验证。

  2. 客户端提交一个用户名和两个密码,例如 user1、pass1 和 pass2。

  3. 根据 user1 和 pass1 的 LDAP 操作评估第一个因素。评估是成功的,并传递给下一个因素,即策略“label1”;在这种情况下。

  4. 策略标签指定第二个因素是具有 RADIUS 策略的直通。直通架构意味着 Citrix ADC 设备不会返回到客户端进行任何进一步输入。Citrix ADC 只是使用它已经拥有的信息。在这种情况下,它是 user1 和 pass2。然后对第二个因素进行隐式评估。

  5. 身份验证服务器返回 cookie 和响应,该响应将客户端的浏览器重定向回流量管理虚拟服务器,其中请求的内容可用。如果登录失败,客户端浏览器将显示原始登录页面,以便客户端可以重试。

    登录页面

使用 CLI 执行以下操作

  1. 配置流量管理和身份验证虚拟服务器。

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. 配置第二个因素。

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. 配置 LDAP 和 RADIUS 因素。

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. 绑定策略。

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

注意

此设置也可以通过 Citrix ADC 13.0 及更高版本中提供的 nFactor 可视化工具进行创建。

nFactor 可视化工具的两个因素

使用 nFactor 可视化工具进行配置

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流,然后单击添加

  2. 单击 + 以添加 nFactor 流。

    添加流

  3. 添加一个因素。您输入的名称是 nFactor 流的名称。单击创建

    为流添加名称

  4. 若要为第一个因素添加两个密码架构,请单击添加架构

    添加架构

  5. 单击添加策略以添加 LDAP 策略。您可以创建身份验证策略或从列表中选择现有身份验证策略。

    添加 LDAP 策略

  6. 操作选项卡中,选择 LDAP 服务器。

    添加 LDAP 策略

    注意

    如果未添加 LDAP 服务器,有关添加 LDAP 服务器的详细信息,请参阅LDAP 身份验证策略

  7. 单击绿色 + 以添加 RADIUS 因素,然后单击创建

    添加下一个因素

  8. 不要为此因素添加架构,因为默认情况下它不采用架构。若要添加 RADIUS 身份验证策略,请单击添加策略

    Radius 身份验证策略

    注意

    如果未添加 RADIUS 服务器,有关添加 RADIUS 服务器的详细信息,请参阅配置 RADIUS 身份验证

  9. 单击完成以保存配置。

  10. 要将创建的 nFactor 流绑定到身份验证、授权和审核虚拟服务器,请单击绑定到身份验证服务器,然后单击创建

    绑定身份验证服务器

在 Citrix ADC nFactor 身份验证中使用一个登录架构和一个直通架构配置双重身份验证