Abfragen während der Authentifizierung
Ausgehend von NetScaler Release Build 13.0.79.64 kann eine NetScaler Appliance während der Multifaktor-Authentifizierung für den Polling-Mechanismus konfiguriert werden.
Wenn Polling auf einer NetScaler Appliance konfiguriert ist, können Endpunkte (wie ein Webbrowser oder eine App) die Appliance während der Authentifizierung in den konfigurierten Intervallen abfragen (untersuchen), um den Status der übermittelten Authentifizierungsanforderung abzurufen.
Die Abfrage kann so konfiguriert werden, dass Authentifizierungen verarbeitet werden, wenn ein Endpunkt eine TCP-Verbindung während der Authentifizierung bei einer NetScaler Appliance unterbricht.
Wichtige Hinweise
-
Die Polling-Konfiguration wird für LDAP-, RADIUS- und TACACS-Authentifizierungsmethoden unterstützt.
-
Der Client kann Authentifizierungsanfragen ab dem zweiten Faktor untersuchen.
Warum sollte Polling konfiguriert werden?
Manchmal führt der Wechsel zwischen den Apps (z. B. einer Anmelde-App und einer Authentifikator-App) dazu, dass Endpunkte die Verbindung zur NetScaler Appliance verlieren, was zu einer Unterbrechung des Authentifizierungsflusses führt. Wenn Polling konfiguriert ist, kann diese Unterbrechung der Authentifizierung vermieden werden.
Den Polling-Mechanismus verstehen
Im Folgenden finden Sie ein Beispiel für den Ereignisfluss während der Authentifizierung, ohne dass Polling konfiguriert ist.
Der Abfragemechanismus ermöglicht es einer NetScaler-Appliance, eine laufende Authentifizierung mit dem Endpunkt fortzusetzen, ohne den Authentifizierungsprozess in einem seltenen Fall eines Zurücksetzens der TCP-Verbindung am Endpunkt neu starten zu müssen.
- Ein Endpunkt (App oder Webbrowser) authentifiziert sich mit Anmeldeinformationen.
- Der Benutzername und das Kennwort werden mit einem vorhandenen First-Faktor-Verzeichnis (LDAP/Active Directory) überprüft.
- Wenn die richtigen Anmeldeinformationen angegeben werden, wechselt die Authentifizierung zum nächsten Faktor.
- Zu diesem Zeitpunkt sendet die NetScaler Appliance eine Anfrage an den RADIUS-Push-Server.
- Während die NetScaler Appliance auf eine Antwort vom RADIUS-Server wartet, unterbricht der Endpunkt die TCP-Verbindung.
- Der NetScaler erhält eine Antwort vom RADIUS-Push-Server.
- Da keine Client-TP-Verbindung gefunden wird, bricht die NetScaler Appliance die Sitzung ab und die Anmeldung schlägt fehl.
Im Folgenden finden Sie ein Beispiel für den Ereignisfluss während der Authentifizierung mit konfiguriertem Polling.
- Ein Endpunkt (App oder Webbrowser) authentifiziert sich mit Anmeldeinformationen.
- Der Benutzername und das Kennwort werden mit einem vorhandenen First-Faktor-Verzeichnis (LDAP/Active Directory) überprüft.
- Wenn die richtigen Anmeldeinformationen angegeben werden, wechselt die Authentifizierung zum nächsten Faktor.
- Zu diesem Zeitpunkt sendet die NetScaler Appliance eine Anfrage an den RADIUS-Push-Server.
- Während die NetScaler Appliance auf eine Antwort vom RADIUS-Server wartet, unterbricht der Endpunkt die TCP-Verbindung.
- Endpoint sendet eine Umfrage (Probe) an die NetScaler Appliance, um nach dem Authentifizierungsstatus zu suchen.
- Da die NetScaler Appliance keine Rückmeldung vom RADIUS-Server hört, fordert sie den Endpunkt auf, die Abfrage fortzusetzen.
- Die NetScaler Appliance erhält eine Antwort vom RADIUS-Push-Server.
- Da keine Client-TP-Verbindung gefunden wird, speichert ADC den Sitzungsstatus.
- Endpoint fragt erneut ab, um nach dem Authentifizierungsstatus zu suchen.
- Die NetScaler Appliance richtet die Sitzung ein und die Anmeldung ist erfolgreich.
Konfigurieren von Polling mit CLI
Im Folgenden finden Sie eine Beispiel-CLI Konfiguration.
Konfigurieren Sie den ersten Faktor
add authentication ldapAction ldap-new -serverIP 10.106.40.65 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword 2f63d3659103464a4fad0ade65e2ccfd4e8440e36ddff941d29796af03e01139 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -alternateEmailAttr userParameters
add authentication Policy ldap-new -rule true -action ldap-new
bind authentication vserver avs -policy ldap-new -priority 1 -nextFactor rad_factor
<!--NeedCopy-->
Konfigurieren Sie den zweiten Faktor
add authentication radiusAction rad1 -serverIP 10.102.229.120 -radKey 1b1613760143ce2371961e9a9eb5392c86a4954a62397f29a01b5d12b42ce232 -encrypted -encryptmethod ENCMTHD_3
add authentication Policy rad -rule true -action rad1
<!--NeedCopy-->
Konfigurieren Sie das Anmeldesschema Poll.xml
add authentication loginSchema polling_schema -authenticationSchema LoginSchema/Poll.xml
add authentication policylabel rad_factor -loginSchema polling_schema
bind authentication policylabel rad_factor -policyName rad -priority 1 -gotoPriorityExpression NEXT
<!--NeedCopy-->
Konfigurieren von Polling mit GUI
Ausführliche Schritte zum Konfigurieren der Multifaktor-Authentifizierung mit der GUI finden Sie unter Konfigurieren der nFactor-Authentifizierung
Im Folgenden finden Sie die Beispielschritte auf hoher Ebene, die für die Konfiguration von NetScaler für Polling ab dem zweiten Faktor erforderlich sind.
- Erstellen Sie einen ersten Faktor für die Authentifizierung, zum Beispiel LDAP.
- Erstellen Sie einen zweiten Faktor für die Authentifizierung, z. B.
- Fügen Sie Poll.xml in NetScaler (/nsConfig/loginschema/loginschema/) als Anmeldeschema für den zweiten Faktor hinzu.