Citrix ADC

nFactor Visualizer 简化配置

自 Citrix ADC 版本 13.0 Build 36.27 起,使用 nFactor 可视化工具简化了通过 GUI 进行的 nFactor 配置。nFactor 可视化工具可帮助管理员添加多个因素,而不会丢失对每个因素的跟踪。在流中构建的因素组将显示在一个位置。管理员可以分别添加身份验证成功和失败路径。创建流后,管理员必须将 nFactor 流绑定到身份验证虚拟服务器。

注意

  • 管理员在 nFactor 流中创建的所有因素都将保留以供将来使用。
  • 自 Citrix ADC 功能版本 13.0 构建 Build 64.35 及更高版本起,使用 nFactor 可视化工具,您可以通过决策块启动 nFactor 流。

以前,nFactor 配置很麻烦,管理员必须访问许多页面才能进行配置。如果需要更改,管理员每次都必须重新访问已配置的部分。此外,无法在一个位置查看完整的配置。

用例 1:RADIUS 后跟 LDAP 身份验证,否则通过 nFactor 可视化工具回退到 Captcha

将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。

用例 1

要实现此用例,您可以使用 nFactor 可视化工具。该可视化工具提供了各种控件,可用于添加此流以及相关项目。

下图显示了使用可视化工具为上述用例创建的 nFactor 流。

可视化工具中的用例 1

  • RADIUS。您将 RADIUS 配置为第一个因素。您可以添加登录架构和策略。在此示例中,adius_auth 和 RADIUS_policy 是添加的登录架构和策略。对于 RADIUS_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了 LDAP 因素块。对于失败情况,您可以添加 Captcha 因素。

  • LDAP。您将 LDAP 身份验证配置为第二个因素。您可以添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。

  • Captcha。对于 RADIUS 策略失败案例,您可以创建 Captcha 因素。在此示例中,captcha 和 captcha_policy 是添加的登录架构和策略。

用例 2:LDAP 后跟通过 nFactor 可视化工具使用基于 LDAP 组成员身份的 Captcha 进行的 RADIUS/证书身份验证

将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。

用例 2

下图显示了使用可视化工具为上述用例创建的 nFactor 流。

在可视化工具中使用用例 2

  • LDAP。将 LDAP 配置为第一个因素。您可以添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_Policy 是添加的登录架构和策略。对于 LDAP_Policy,可以为成功案例添加另一个因素。在此示例中,为成功案例添加了决策块。对于失败案例,可以添加 Captcha 后跟 AD 因素。

  • 组提取 LDAP。是否为 LDAP 成功案例添加了决策块。决策块用作分支因素,根据策略规则将用户分支出去。可视化工具仅允许为决策块配置 NO_AUTHN 策略。

    在此示例中,Group_Extraction_LDAP 为决策块。您在此决策块中添加两个策略 (AD_Group_Partner and AD_Group_Employee)。如用例中所述,通过 AD_Group_Partner 策略路由的所有请求都使用 RADIUS 身份验证。因此,您将此策略的成功案例连接到下一个因素(即 RADIUS 因素)。同样,通过 AD_Group_Employee 策略路由的所有请求都使用证书身份验证。因此,您将此策略的成功案例连接到下一个因素(即证书身份验证因素)。

    • RADIUS。对于 AD_Group_Partner 策略成功案例,您可以创建 RADIUS 身份验证因素。

    • 证书。对于 AD_Group_Employee 策略成功案例,您可以创建证书身份验证因素。

  • Captcha。对于 LDAP 策略失败案例,您可以创建两个下一个因素:Captcha 和 AD 因素。

注意

  • 如果首先要分支用例,您可以创建两个流并单独绑定,或者创建一个流,将第一个流作为分支创建一个流,然后将其绑定到虚拟服务器。
  • 如果您有多个块,并且要在“nFactor Flow”(nFactor 流)屏幕中查看整个流,请单击可视化工具并将流拖动到最左侧。
  • Citrix 建议仅使用“nFactor Flows”(nFactor 流)页面修改 nFactor 流。

使用 nFactor 可视化工具配置 nFactor

注意

以下 nFactor 配置是一个简单的示例,可帮助您完成用例 1 场景配置。

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)
  2. 单击添加
  3. nFactor Flows(nFactor 流)页面,单击 + 为流添加第一个因素。第一个因素还可以作为此 nFactor 流的标识符。

    添加因素

  4. 输入因素名称,然后单击 Create(创建)。

    输入因素的名称

    因素名称将显示在“nFactor Flow”(nFactor 流)页面的因素块上。

    注意

    Citrix 建议您不得使用策略标签名称,例如使用 __root__<flow_name> 作为后缀,使用 _db_ 作为前缀。它用作在 nFactor 流中创建的因素名称。

  5. 创建 RADIUS 因素后,必须创建“Add Schema”(添加架构)和“Add Policy”(添加策略)。

    创建架构和策略

    注意

    有关更多信息,请参阅 nFactor 概念、实体和术语

  6. 单击添加架构。可以添加新的登录架构,也可以从 Authentication Login Schema(身份验证登录架构)列表中选择一个现有的登录架构。

    添加架构

  7. 要创建登录架构,请单击 Add(添加),然后在 Create Authentication Login Schema(创建身份验证登录架构)页面中,输入架构的名称。单击 Edit(编辑)(铅笔图标)以从列表中选择 Login Schema Files(登录架构文件)。

    架构名称

  8. 单击 Add Policy(添加策略)。可以创建身份验证策略或选择现有的身份验证策略。

    添加策略

  9. 要创建新策略,请单击 Add(添加),在 Create Authentication Policy(创建身份验证策略)页面中,输入策略的名称,然后单击 Create(创建)。

    创建策略

  10. 向因素中添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定的因素,您都可以添加多个策略并定义每个策略成功和失败的下一个因素。还可以删除作为因素的一部分的策略。

    可视化工具中的登录架构和策略

  11. 创建流后,可以将 nFactor 流绑定到身份验证虚拟服务器。

添加下一个因素

要添加下一个因素,可以根据自己的要求选择以下选项之一:

  • 创建因素。创建一个因素。在流中创建的每个因素都是该流所独有的。
  • 创建决策块。创建一个决策块作为分支因素。您无法向决策块中添加登录架构。可视化工具仅允许为决策块配置 NO_AUTHN 策略。

    注意

    只能通过 Citrix ADC GUI 添加或编辑决策块。无法从 CLI 命令配置决策块。

  • 连接到现有因素。选择现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
  • 无。删除现有连接。

    添加下一个因素

    添加决策块

将 nFactor 流绑定到身份验证服务器

  1. nFactor Flows(nFactor 流)页面中,选择您希望绑定到身份验证虚拟服务器的 nFactor 流。

  2. 单击汉堡图标以选择 Bind to Authentication Server(绑定到身份验证服务器)选项,或者在详细信息窗格中,单击 Bind to Authentication Server(绑定到身份验证服务器)。

    绑定到身份验证服务器

  3. Bind to Authentication Server(绑定到认证服务器)页面上,可以执行以下操作:

    • 要添加 Authentication Virtual Server(身份验证虚拟服务器),请单击 Add(添加)。
    • 要从列表中选择现有身份验证服务器,请单击 Authentication Server(身份验证服务器)字段。

    选择身份验证服务器

  4. 从汉堡图标中单击 Show Bindings(显示绑定)以查看绑定。

  5. 要取消身份验证服务器与特定 nFactor 流的绑定,请执行以下步骤:

    • 在“nF因素流”页面上,单击汉堡包图标中的 显示绑定
    • 在“身份验证服务器绑定”页上,选择要取消绑定的身份验证服务器,然后单击“取消绑定”。单击关闭

    从身份验证服务器取消绑定

有关 nFactor 身份验证的详细信息,请参阅以下主题:

nFactor 可视化工具的增强功能

自 Citrix ADC 版本 13.0 Build 41.20 起,在 nFactor 可视化工具中添加了以下增强功能。

  • 管理员可以将创建的因素移动到垃圾桶图标中。
  • 在“Authentication Virtual server”(身份验证虚拟服务器)页面中查看 nFactor 流。

垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移至垃圾桶,则不会删除为因素创建的基础策略或架构。

查看垃圾桶图标

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)

    可视化工具 - 垃圾桶图标

  2. 要删除因素,请单击因素块并将其拖动到垃圾桶中。

从身份验证虚拟服务器查看 nFactor 流。管理员还可以从“Authentication Virtual Server”(身份验证虚拟服务器)页面查看创建的 nFactor 流。

要从“Authentication Virtual server”(身份验证虚拟服务器)页面查看 nFactor 流,请

  1. 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。在 Authentication Virtual Servers(身份验证虚拟服务器)页面上,可以执行以下步骤:
    • 要添加身份验证虚拟服务器,请单击 Add(添加)。
    • 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的 Edit(编辑)选项。

    添加或编辑身份验证服务器

  2. Authentication Virtual Server(身份验证虚拟服务器)页面上,可以查看 Advanced Authentication Policies(高级身份验证策略)下的 nFactor Flow(nFactor 流)选项。

    查看 nFactor 流

  3. 如果没有绑定到虚拟服务器的 nFactor 流,则可以单击 Advanced Authentication Policies(高级身份验证策略)部分下的 No nFactor Flow(无 nFactor 流)选项,以添加新 nFactor 流或从列表中选择现有的 nFactor 流。

    未绑定 nFactor 流时