Citrix ADC

简化配置的 nFactor 可视化工具

自 Citrix ADC 版本 13.0 Build 36.27 起,通过使用 nFactor 可视化工具简化通过 GUI 进行的 nFactor 配置。nFactor 可视化工具可帮助管理员添加多个因素,而不会丢失每个因素的跟踪。在流中构建的因素组显示在一个位置。管理员可以分别添加身份验证成功路径和失败路径。创建流程后,管理员必须将 nFactor 流绑定到身份验证虚拟服务器。

注意

管理员在 nFactor 流中创建的所有因素都将保留以供日后使用。

以前,nFactor 配置很麻烦,因为管理员必须访问许多页面来进行配置。如果需要进行更改,管理员每次都必须重新访问配置的部分。此外,没有选择在一个地方查看完整的配置。

用例 1:RADIUS 后跟 LDAP 身份验证,否则通过 nFactor 可视化工具回退到 Captcha

实现 RADIUS 身份验证作为第一级身份验证,然后进行 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到验证码。

本地化后的图片

要实现此用例,您可以使用 nFactor 可视化工具。可视化工具提供了可用于添加此流程和相关项目的各种控件。

下图显示了使用可视化工具为上文提及的用例创建的 nFactor 流。

本地化后的图片

  • RADIUS。配置 RADIUS 作为第一个因素。添加登录架构和策略。在此示例中,radius_auth 和 Radius_Policy 是添加的登录架构和策略。对于 Radius_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加 LDAP 因素块。对于失败情况,您可以添加验证码因素。

  • LDAP。您将 LDAP 身份验证配置为第二个因素。添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。

  • Captcha。对于 RADIUS 策略失败案例,您可以创建验证码因素。在此示例中,验证码和 captcha_策略是添加的登录架构和策略。

用例 2:LDAP 后跟基于通过 nFactor 可视化工具的 LDAP 组成员关系的 Captcha 进行的 RADIUS/证书身份验证

实现 RADIUS 身份验证作为第一级身份验证,然后进行 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到验证码。

本地化后的图片

下图显示了使用可视化工具为上文提及的用例创建的 nFactor 流。

本地化后的图片

  • LDAP。您将 LDAP 配置为第一个因素。添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_policy 是添加的登录架构和策略。对于 LDAP_Policy,您可以为成功案例添加另一个因素。在此示例中,将为成功案例添加决策块。对于失败情况,您可以添加验证码后跟 AD 因素。

  • 组提取 LDAP。是否为 LDAP 成功案例添加了决策块。决策块用作分支出因素,根据策略规则对用户进行分支。可视化工具只允许为决策块配置 NO_AUTN 策略。

    在此示例中,Group_Extraction_LDAP 是决策块。您将两个策略(AD_Group_Partner and AD_Group_Employee)添加到此决策块。如在用例中所述,所有通过 AD_Group_Partner 策略路由的请求都使用 RADIUS 身份验证。因此,您将此策略的成功案例连接到 RADIUS 因素的下一个因素。同样,通过 AD_Group_Employ 策略路由的所有请求都使用认证身份验证。因此,您将此策略的成功案例连接到下一个因素,即认证身份验证因素。

    • RADIUS。对于 AD_Group_Partner 策略成功案例,您可以创建 RADIUS 身份验证因素。

    • 证书。对于 AD_Group_员工策略成功案例,您可以创建证书身份验证因素。

  • Captcha。对于 LDAP 策略失败案例,您可以创建两个接下来的因素验证码和 AD 因素。

注意

  • 如果您有一个用例作为第一件事来分支,那么您可以创建两个流并单独绑定,或者创建一个流,第一个流作为分支出,并将其绑定到虚拟服务器。
  • 如果您有多个块,并且要在 nFactor 流屏幕中查看整个流程,请单击可视化工具并将流程拖到最左侧。
  • Citrix 建议仅使用“nFactor 流”页面修改 nFactor 流。

使用 nFactor 可视化工具配置 nFactor

注意

以下 nFactor 配置是一个简单的示例,可帮助您完成用例 1 方案配置。

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流
  2. 单击添加
  3. nFactor 流页面上,单击 + 为流添加第一个因素。第一个因素也用作此 nFactor 流的标识符。

    本地化后的图片

  4. 输入因素名称,然后单击 创建

    本地化后的图片

    因素名称显示在“nFactor 流”页面中的因素块上。

    注意

    Citrix 建议您不要将策略标签名称(例如 __root__<flow_name>)用作后缀,不要将 _db_ 用作前缀。它用作在 nFactor 流中创建的因素名称。

  5. 创建 RADIUS 因素后,必须创建“添加架构”和“添加策略”。

    本地化后的图片

    注意

    有关详细信息,请参阅nFactor 概念、实体和术语

  6. 单击添加架构。您可以添加新的登录架构,也可以从身份验证登录架构列表中选择现有登录架构。

    本地化后的图片

  7. 要创建登录架构,请单击添加,然后在创建身份验证登录架构页面中,输入架构的名称。单击编辑(铅笔图标)以从列表中选择登录架构文件

    本地化后的图片

  8. 单击添加策略。您可以创建身份验证策略或选择现有身份验证策略。

    本地化后的图片

  9. 要创建新策略,请单击添加,然后在创建身份验证策略页面中,输入策略的名称,然后单击创建

    本地化后的图片

  10. 向因素添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定因素,您可以添加多个策略并为每个策略的成功和失败定义下一个因素。您还可以删除属于因素的一部分的策略。

    本地化后的图片

  11. 创建流后,可以将 nFactor 流绑定到身份验证虚拟服务器。

添加下一个因素

要添加下一个因素,您可以根据您的要求选择以下选项之一:

  • 创建因素。创建一个因素。在流中创建的每个因素都是该流独占的。
  • 创建决策块。创建一个决策块以作为分支出因素。您不能将登录架构添加到决策块。可视化工具只允许为决策块配置 NO_AUTN 策略。

    注意

    您只能通过 Citrix ADC GUI 添加或编辑决策块。没有从 CLI 命令配置决策块的选项。

  • 连接到现有因素。选择一个现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
  • 没有。删除现有连接。

    本地化后的图片

    本地化后的图片

将 nFactor 流绑定到身份验证服务器

  1. nFactor 流页面上,选择您希望绑定到身份验证虚拟服务器的 nFactor 流。

  2. 单击汉堡图标以选择绑定到身份验证服务器选项,或在详细信息窗格中单击绑定到身份验证服务器

    本地化后的图片

  3. 绑定到身份验证服务器页面上,您可以执行以下操作:

    • 要添加身份验证虚拟服务器,请单击添加
    • 要从列表中选择现有身份验证服务器,请单击身份验证服务器字段。

    本地化后的图片

  4. 单击汉堡包图标中的显示绑定以查看绑定。

  5. 要从特定 nFactor 流中取消绑定身份验证服务器,请执行以下步骤:

    • nF因素流页面上,单击汉堡包图标中的 显示绑定
    • 身份验证服务器绑定页上,选择要取消绑定的身份验证服务器,然后单击取消绑定。单击关闭

    本地化后的图片

有关 nFactor 身份验证的详细信息,请参阅以下主题:

nFactor 可视化工具的增强功能

自 Citrix ADC 版本 13.0 Biuld 41.20 起,在 nFactor 可视化工具中进行以下增强。

  • 管理员可以将创建的因素移动到垃圾桶图标。
  • 在身份验证虚拟服务器页面中查看 nFactor 流。

垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移动到垃圾桶,则不会删除基础策略或为该因素创建的架构。

要查看垃圾桶图标,请

  1. 导航到安全 > AAA-应用程序流量 > nFactor 可视化工具 > nFactor 流

    本地化后的图片

  2. 要删除因素,请单击因素块并将其拖动到回收站。

从身份验证虚拟服务器查看 nFactor 流。管理员还可以从身份验证虚拟服务器页面查看创建的 nFactor 流。

要从身份验证虚拟服务器页面查看 nFactor 流,请

  1. 导航到安全性 > AAA — 应用程序流量 > 虚拟服务器。在身份验证虚拟服务器页面上,您可以执行以下步骤:
    • 要添加身份验证虚拟服务器,请单击添加
    • 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的编辑选项。

    本地化后的图片

  2. 身份验证虚拟服务器页面上,可以查看高级身份验证策略下的 nFactor 流选项。

    本地化后的图片

  3. 如果没有绑定到虚拟服务器的 nFactor 流,则可以单击高级身份验证策略部分下的 无 nFactor 流选项,以添加新的 nFactor 流或从列表中选择现有 nFactor 流。

    本地化后的图片