将 Citrix 网关配置为将 RADIUS 和 LDAP 身份验证与移动/平板电脑设备配置为使用

本节介绍如何将 Citrix 网关设备配置为使用 RADIUS 身份验证作为主要使用,并将 LDAP 身份验证用作移动/平板电脑设备的辅助设备。

部分中演示的配置仍然允许所有其他连接首先使用 LDAP 和 RADIUS 秒。

在 Citrix Receiver 上配置双重身份验证以配合移动/平板电脑设备时,必须添加 RSA 安全 ID(RADIUS 身份验证)作为主身份验证。但是,当用户收到用户名和密码,接收器上的密码提示时,他们将首先将 LDAP 和 RADIUS 作为第二个凭据。从管理员的角度来看,它是一个不同的配置与非移动配置相比。

本地化后的图片

完成以下过程,将 Citrix 网关设备配置为使用 RADIUS 身份验证作为主要使用,并将 LDAP 身份验证用作移动/平板电脑设备的辅助设备。

  1. 从配置实用程序中,选择 Citrix 网关 > 策略 > 身份验证,然后为移动设备和非移动设备的 LDAP 和 RSA 创建身份验证策略。这是必要的,以避免可能允许用户绕过 RADIUS 身份验证的逻辑条件。

    本地化后的图片

  2. 单击 LDAP 的服务器选项卡下的添加选项后,输入 LDAP 服务器详细信息。

    本地化后的图片

    有关如何配置身份验证服务器的详细信息,请参阅如何在 NetScaler 上配置 LDAP 身份验证的 “创建身份验证服务器” 部分

  3. 通过选择所需的 LDAP 服务器,为移动设备创建 LDAP 策略。

    要仅将此策略绑定到移动设备,请使用以下表达式:

    “标题用户代理包含柠檬酸接收器”
    

    本地化后的图片

  4. 单击表达式编辑器以创建策略:

    本地化后的图片

  5. 为移动设备创建 RADIUS 策略和 RADIUS 服务器。

    (a) 从思杰网关 > 策略 > 身份验证 > RADIUS 选项导航至 RADIUS。单击 “服务器” 选项卡下的 “添加”。

    本地化后的图片

    (b) 增加所需的细节。RADIUS 身份验证的默认端口是 1812。

    本地化后的图片

    (c) 要仅将此策略绑定到移动设备,请使用以下表达式:

    本地化后的图片

  6. 按照相同的步骤为非移动设备创建 LDAP 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    `REQ.HTTp 标头用户代理不包含柠檬酸接收器 `
    

    本地化后的图片

  7. 为非移动设备创建 RADIUS 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    `REQ.HTTp 标头用户代理不包含柠檬酸接收器 `
    

    本地化后的图片

  8. 转到 Citrix 网关虚拟服务器的属性,然后单击身份验证选项卡。在主身份验证策略上,将 RSA_Mobile 策略添加为最高优先级,并将 LDAP_非移动策略添加为次要优先级:

    本地化后的图片

  9. 在辅助身份验证策略上,将 LDAP_Mobile 策略添加为最高优先级,然后将 RSA_Nmobile 策略作为辅助优先级:

    本地化后的图片

    会话策略必须具有正确的单点登录凭据索引,也就是说,它必须是 LDAP 凭据。对于移动设备,会话配置文件 > 客户端体验下的凭据索引应设置为辅助,即 LDAP。

因此,您需要两个会话策略,一个用于移动设备,另一个用于非移动设备。

(a) 对于移动设备,会话策略和会话配置文件将如下面的屏幕截图所示。 要创建会话策略,请导航到所需的虚拟服务器,然后单击编辑,转到策略部分,然后单击 + 签名:

本地化后的图片

(b) 从下拉菜单中 选择会话选项。

本地化后的图片

(c) 输入所需的会话策略名称,然后单击 + 以创建新的配置文件。对于移动设备,会话配置文件 > 客户端体验下的凭据索引应设置为辅助,即 LDAP。

本地化后的图片

(d) 对于非移动设备,请遵循相同的步骤。会话配置文件 > 客户端体验下的凭据索引应设置为主,即 LDAP。

表达式应更改为:

`REQ.HTTp 标头用户代理不包含柠檬酸接收器 `

本地化后的图片

(e) 要为非移动用户创建新的配置文件,请点击 + 签名。

本地化后的图片

  1. 所需虚拟服务器下的策略和配置文件将类似于以下屏幕截图:

    本地化后的图片

  2. 此外,在 StoreFront 上,在 Citrix 网关配置设置为使用 “登录类型” = “域和安全令牌”

    本地化后的图片

    本地化后的图片

将 Citrix 网关配置为将 RADIUS 和 LDAP 身份验证与移动/平板电脑设备配置为使用