Citrix ADC

根据下一个因素中的组在第一个因素和策略评估中配置域下拉菜单、用户名和密码字段

以下部分介绍第一个因素中配置域下拉菜单、用户名和密码字段的使用案例,并根据下一个因素中的组进行策略评估。

使用案例: 根据下一个因素中的组在第一个因素和策略评估中配置域下拉菜单、用户名和密码字段。

  1. 用户登录 Citrix Workspace 并被重定向到身份验证虚拟服务器。
  2. Citrix ADC 提供了一个登录表单,其中包含域下拉列表、用户名和密码字段。

    域 nFactor

  3. 用户从域下拉列表中选择一个值并输入凭据。
  4. Citrix ADC 根据用户输入提供登录表单。

下图显示了 nFactor 可视化工具流程示例。

域 nFactor

使用 nFactor 可视化工具根据下一个因素中的组在第一个因素和策略评估中配置域下拉菜单、用户名和密码字段

以下是要配置的步骤。

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。

  2. 单击加号图标可在 nFactor Flow 中添加因子。

    域 drop2

  3. 输入因子的名称。

    域 drop3

  4. 通过单击添加模式 添加第一因素的架构

    域 drop4

  5. 通过选择 DomainDropdown.xml 登录架构来创建 EULA 模式。

    域 drop5

  6. 为步骤 5 中创建的第一个因素选择架构。

    域 drop6

  7. 单击 添加策略 ,然后选择 LDAP 策略进行首次身份验证。

    域 drop7

  8. 单击加号图标创建决策块。

    域 drop8

    有关创建 LDAP 验证的更多信息,请参阅 配置 LDAP 身份验证

  9. 选择 创建决策块 ,然后在 决策因子名称字段中输入名称

    域 9

  10. 单击 添加策略 为域检查创建策略。

    域 10

  11. 要创建策略以检查域,请在 “ 操作类型 ” 下选择 NO_AUTHN

    域 11

  12. 选择先前创建的策略以添加到决策块中。

    域 12

  13. 单击新创建的策略下面的加号图标以添加另一个策略进行检查 AAATM.COM

    域 13

  14. 创建另一个策略以检查第二个域。

    域 14

  15. 选择在上一步中创建的策略以添加到决策块中。

    域 15

  16. 如果用户是 AAATM.COM 的一部分,请选择 AAATM.COM 旁边的 + 以添加要评估的因子。在这种情况下,请添加 LDAP 策略。

    域 16

  17. 为域 AAATM.COM 用户选择架构。在此示例中,使用仅密码模式,为用户提供输入密码的文本字段。

    域 17

  18. 按照步骤 7 添加用于验证 AAATM.COM 域用户的策略

  19. 如果用户是 NSI-TEST.COM 的一部分,请选择 NSI-TEST.COM 旁边的 + 以添加要评估的因子。在此示例中,使用 RADIUS 身份验证方法。

    域 19

  20. 按照步骤 17 仅添加架构密码,然后添加 RADIUS 策略,如步骤 7 所示。

  21. 单击完成。配置将自动保存。

  22. 选择刚创建的 nFactor Flow 并将其绑定到 AAA 虚拟服务器,方法是单击 绑定到身份验证服务器 并单击 创建

    域 22

注意

通过仅显示绑定下的 nFactor Flow 中给出的选项绑定和解除绑定 nFactor Flow。

要解除 nFactor Flow 的绑定,请执行以下操作。

  1. 选择 nFactor 流,然后单击显示绑定

  2. 选择身份验证虚拟服务器并单击 取消绑定

注意

为了使登录架构正常工作,在使用 Unified Gateway 时,将 “/nf” 添加到内容切换策略表达式中。

内容切换

使用 CLI 根据下一个因素中的组在第一个因素和策略评估中配置域下拉列表、用户名和密码字段

以下配置介绍了为资源访问添加 TM 虚拟服务器、添加身份验证虚拟服务器以保护 TM 虚拟服务器以及此用例的相关策略。

add lb vserver lbn HTTP 10.217.28.166 80 -persistenceType NONE -cltTimeout 180 -AuthenticationHost auth.nsi-test.com -Authentication ON -authnVsName avn

add authentication vserver avn SSL 10.217.28.167 443 -AuthenticationDomain nsi-test.com
add authentication login Schema nfactor-domain -authenticationSchema domain-dropdown.xml
add authentication policylabel nfactor-domain-pol -loginSchema nfactor-domain
add authentication Policy radius-auth -rule "HTTP.REQ.BODY(500).AFTER_STR(\"domain=\").CONTAINS(\"NSI-TEST.COM\")" -action <RADIUS-ACTION>
add authentication Policy next_ldap -rule "HTTP.REQ.BODY(500).AFTER_STR(\"domain=\").CONTAINS(\"AAATM.COM\")" -action <LDAP-ACTION>

bind authentication vserver avn -policy radius-auth -priority 10 -gotoPriorityExpression NEXT
bind authentication vserver avn -policy next_ldap -priority 20 -gotoPriorityExpression END

以下是用于此特定登录表单表示的示例。

注意:

此登录模式不需要在 NetScaler 的最新版本上单独配置,并以 DomainDropdown.xml 的形式出现

域 19

根据下一个因素中的组在第一个因素和策略评估中配置域下拉菜单、用户名和密码字段