Konfigurieren des regelmäßigen Endpoint Analysis-Scans als Faktor bei der nFactor-Authentifizierung
Auf NetScaler Gateway kann Endpoint Analysis (EPA) so konfiguriert werden, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, und dem Benutzer dementsprechend den Zugriff auf interne Ressourcen ermöglicht. Das Endpoint Analysis-Plug-In wird auf dem Benutzergerät heruntergeladen und installiert, wenn sich Benutzer zum ersten Mal bei NetScaler Gateway anmelden. Wenn ein Benutzer das Endpoint Analysis-Plug-In nicht auf dem Benutzergerät installiert, kann sich der Benutzer nicht mit dem NetScaler Gateway-Plug-In anmelden.
Informationen zum Verständnis von EPA in nFactor-Konzepten finden Sie unter Konzepte und Entitäten, die für EPA in nFactor Authentication Through NetScaler verwendet werden.
In der klassischen Richtlinie wurde periodisches EPA als Teil der Sitzungsrichtlinie unter vpn session action
konfiguriert. Unter Advanced Policy Infrastructurekann es mit nFactor verknüpft werden.
In diesem Thema wird der EPA-Scan als kontinuierliche Überprüfung einer nFactor- oder Multifaktor-Authentifizierung verwendet.
Der Benutzer versucht, eine Verbindung zur virtuellen NetScaler Gateway-IP-Adresse herzustellen. Eine einfache Anmeldeseite mit Benutzername und Kennwortfeld wird dem Benutzer zur Eingabe der Anmeldeinformationen angezeigt. Mit diesen Anmeldeinformationen wird die LDAP- oder AD-basierte Authentifizierung im Backend durchgeführt. Bei Erfolg wird dem Benutzer ein Popup angezeigt, in dem er den EPA-Scan autorisieren kann. Nach der Autorisierung durch den Benutzer wird ein EPA-Scan durchgeführt. Basierend auf dem Erfolg oder Misserfolg der Client-Einstellungen des Benutzers erhält der Benutzer Zugriff.
Wenn der Scan erfolgreich ist, wird regelmäßig ein EPA-Scan durchgeführt, um sicherzustellen, dass die konfigurierten Sicherheitsanforderungen weiterhin erfüllt sind. Wenn der EPA-Scan bei einer solchen Überprüfung fehlschlägt, wird die Sitzung beendet.
Voraussetzungen
Es wird davon ausgegangen, dass die folgenden Konfigurationen vorhanden sind:
- Konfigurationen für virtuelle VPN-Server/Gateway und virtuelle Authentifizierungsserver
- LDAP-Serverkonfigurationen und zugehörige Richtlinien
In diesem Thema werden die erforderlichen Richtlinien und Richtlinienlabel-Konfigurationen angezeigt und einem Authentifizierungsprofil zugeordnet.
Die folgende Abbildung zeigt die Zuordnung von Richtlinien und Richtlinienlabel. Dies ist der Ansatz für die Konfiguration, jedoch von rechts nach links.
Führen Sie Folgendes mit der CLI aus
-
Erstellen Sie eine Aktion, um einen EPA-Scan durchzuführen, und verknüpfen Sie ihn mit einer EPA-Scanrichtlinie.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("proc_2_firefox")" <!--NeedCopy-->
Der obige Ausdruck scannt, ob der Prozess ‘Firefox’ läuft. Das EPA-Plug-in prüft alle 2 Minuten die Existenz des Prozesses, was durch die Ziffer ‘2’ im Scan-Ausdruck gekennzeichnet ist.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
Konfigurieren Sie das Policy-Label post-ldap-epa-scan, das die Richtlinie für den EPA-Scan hostet.
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->
Hinweis: LSCHEMA_INT befindet sich in einem erstellten Schema ohne Schema, was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite angezeigt wird.
-
Verknüpfen Sie die in Schritt 1 konfigurierte Policy Label mit der in Schritt 2 konfigurierten Richtlinienbezeichnung.
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 -gotoPriorityExpression END <!--NeedCopy-->
In diesem Befehl gibt END das Ende des Authentifizierungsmechanismus an.
-
Konfigurieren Sie die ldap-Auth-Richtlinie und verknüpfen Sie sie mit einer LDAP-Richtlinie, die für die Authentifizierung bei einem bestimmten LDAP-Server konfiguriert ist.
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->
wobei ldap_server1 die LDAP-Richtlinie und ldap-auth der Richtlinienname ist.
-
Ordnen Sie die ldap-Auth-Richtlinie dem virtuellen Server für Authentifizierung, Autorisierung und Überwachung zu, wobei der nächste Schritt auf das Richtlinienlabel nach ldap-epa-Scan verweist, um den EPA-Scan durchzuführen.
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->
Konfiguration mit dem nFactor Visualizer in der GUI
Die vorherige Konfiguration kann auch mit nFactor Visualizer durchgeführt werden, einer Funktion, die in Firmware 13.0 und höher verfügbar ist.
-
Navigieren Sie zu Sicherheit > AAA-Application Traffic > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.
-
Klicken Sie auf +, um den nFactor-Flow hinzuzufügen.
-
Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.
-
Klicken Sie auf Schema hinzufügen, um ein Schema für den ersten Faktor hinzuzufügen, und klicken Sie dann auf Hinzufügen.
-
Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen.
Hinweis:
Um eine LDAP-Richtlinie zu erstellen, klicken Sie auf Hinzufügen und wählen Sie im Feld Aktion die Option LDAP aus. Weitere Informationen zum Hinzufügen eines LDAP-Servers finden Sie unter https://support.citrix.com/article/CTX123782.
-
Klicken Sie auf +, um den EPA-Faktor hinzuzufügen.
-
Lassen Sie den Abschnitt Schema hinzufügen leer, wenn für diesen Faktor standardmäßig kein Schema angewendet werden soll. Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und Aktion nach der Authentifizierung hinzuzufügen.
EPA-Maßnahme:
EPA-Richtlinie:
Klicken Sie auf Erstellen.
-
Binden Sie diesen Flow nach Abschluss des nFactor-Flows an den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver.
Hinweis: Wenn die periodische EPA als mehrere Faktoren konfiguriert ist, wird der neueste Faktor mit der periodischen EPA-Konfiguration berücksichtigt.
Beispiel:
In diesem Beispiel ist EPA der erste Faktor, bei dem der Scan nach dem Prozess „Firefox“ sucht. Wenn der EPA-Scan erfolgreich ist, führt er zur LDAP-Authentifizierung, gefolgt vom nächsten EPA-Scan, der nach dem Prozess „Chrome“ sucht. Wenn mehrere regelmäßige Scans existieren, die als verschiedene Faktoren konfiguriert sind, hat der letzte Scan Vorrang. In diesem Fall scannt das EPA-Plug-in alle 3 Minuten nach erfolgreicher Anmeldung nach dem Prozess “Chrome”.