将 Citrix Gateway 配置为将 RADIUS 和 LDAP 身份验证与移动/平板电脑设备配置为使用
本节介绍如何将 Citrix Gateway 设备配置为使用 RADIUS 身份验证作为主要使用,并将 LDAP 身份验证用作移动/平板电脑设备的辅助设备。
部分中演示的配置仍然允许所有其他连接首先使用 LDAP 和 RADIUS 秒。
在 Citrix Workspace 应用程序上配置双重身份验证以用于移动/平板电脑设备时,必须添加 RSA SecureID(RADIUS 身份验证)作为主身份验证。但是,当用户收到用户名和密码,Receiver 上的密码提示时,他们将首先将 LDAP 和 RADIUS 作为第二个凭据。从管理员的角度来看,它是一个不同的配置与非移动配置相比。
完成以下过程,将 Citrix Gateway 设备配置为使用 RADIUS 身份验证作为主要使用,并将 LDAP 身份验证用作移动/平板电脑设备的辅助设备。
-
从配置实用程序中,选择“Citrix Gateway”>“策略”>“身份验证”,然后为移动设备和非移动设备的 LDAP 和 RSA 创建身份验证策略。这是必要的,以避免可能允许用户绕过 RADIUS 身份验证的逻辑条件。
-
单击 LDAP 的服务器选项卡下的添加选项后,输入 LDAP 服务器详细信息。
有关如何配置身份验证服务器的详细信息,请参阅如何在 NetScaler 上配置 LDAP 身份验证的“创建身份验证服务器”部分
-
通过选择所需的 LDAP 服务器,为移动设备创建 LDAP 策略。
要仅将此策略绑定到移动设备,请使用以下表达式:
`REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
-
单击表达式编辑器以创建策略:
-
为移动设备创建 RADIUS 策略和 RADIUS 服务器。
(a) 从“Citrix Gateway”>“策略”>“身份验证”>“RADIUS”导航到“RADIUS”选项。单击“服务器”选项卡下的“添加”。
(b) 增加所需的细节。RADIUS 身份验证的默认端口是 1812。
(c) 要仅将此策略绑定到移动设备,请使用以下表达式:
-
按照相同的步骤为非移动设备创建 LDAP 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
为非移动设备创建 RADIUS 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
转到 Citrix Gateway 虚拟服务器的属性,然后单击身份验证选项卡。在主身份验证策略上,将 RSA_Mobile 策略添加为最高优先级,并将 LDAP_NonMobile 策略添加为次要优先级:
-
在辅助身份验证策略上,将 LDAP_Mobile 策略添加为最高优先级,然后将 RSA_NonMobile 策略作为辅助优先级:
会话策略必须具有正确的单点登录凭据索引,也就是说,它必须是 LDAP 凭据。对于移动设备,会话配置文件 > 客户端体验下的凭据索引应设置为辅助,即 LDAP。
因此,您需要两个会话策略,一个用于移动设备,另一个用于非移动设备。
(a) 对于移动设备,会话策略和会话配置文件将如下面的屏幕截图所示。 要创建会话策略,请导航到所需的虚拟服务器,然后单击编辑,转到策略部分,然后单击 + 签名:
(b) 从下拉菜单中 选择会话选项。
(c) 输入所需的会话策略名称,然后单击 + 以创建新的配置文件。对于移动设备,会话配置文件 > 客户端体验下的凭据索引应设置为辅助,即 LDAP。
(d) 对于非移动设备,请遵循相同的步骤。会话配置文件 > 客户端体验下的凭据索引应设置为主,即 LDAP。
表达式应更改为:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
(e) 要为非移动用户创建新的配置文件,请点击 + 签名。
-
所需虚拟服务器下的策略和配置文件将类似于以下屏幕截图:
-
此外,在 StoreFront 上,在 Citrix Gateway 配置设置为使用“登录类型”=“域和安全令牌”
