Konfigurieren Sie den Benutzernamen für das Vorfüllen aus dem Zertifikat in der NetScaler ADC nFactor-Authentifizierung
Im folgenden Abschnitt wird der Anwendungsfall der Zwei-Faktor-Authentifizierung beschrieben. Der erste Faktor ist die Zertifikatauthentifizierung gefolgt von LDAP.
Anwendungsfall: Zertifikat und LDAP-Authentifizierung
Nehmen Sie einen Anwendungsfall an, bei dem Administratoren die Zwei-Faktor-Authentifizierung konfigurieren. Erste Ebene als Zertifikatauthentifizierung und gefolgt von LDAP-Authentifizierung. Als Teil des ersten Faktors fordert der Client ein Benutzerzertifikat an. Der Benutzername wird aus dem Zertifikat extrahiert und im Feld Benutzername des Anmeldeformulars vorausgefüllt, das für den nächsten Faktor zurückgegeben wird.
-
Der Client-Browser greift auf den virtuellen Traffic Management-Server zu und wird zur Authentifizierung auf eine Anmeldeseite umgeleitet.
-
Der erste Faktor wird anhand einer Zertifikataktion bewertet, die den Benutzernamen extrahiert. Die Bewertung ist erfolgreich und wird an den nächsten Faktor weitergegeben, in diesem Fall die Richtlinie “label1”.
-
Die Policy Label gibt an, dass der zweite Faktor das Anmeldeschema “login1” mit LDAP-Richtlinie ist.
-
Das Anmeldeformular mit dem vorausgefüllten Benutzernamen wird zurückgegeben, um das Kennwort vom Benutzer für die LDAP-Authentifizierung zu erhalten.
-
Der Authentifizierungsserver gibt Cookies und eine Antwort zurück, die den Browser des Clients zurück zum virtuellen Verkehrsverwaltungsserver umleitet, auf dem sich der angeforderte Inhalt befindet. Wenn die Anmeldung jedoch fehlschlägt, wird dem Browser des Clients die ursprüngliche Anmeldeseite angezeigt, damit der Client es erneut versuchen kann.
Hinweis
Das Setup kann auch über den nFactor Visualizer erstellt werden, der in NetScaler ADC Version 13.0 und höher verfügbar ist.
Führen Sie Folgendes mit der CLI aus
-
Konfigurieren Sie den virtuellen Server und den Authentifizierungsserver für das Verkehrsmanagement
add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
-
set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory
oder
set ssl parameter –denysslrenegotiation NO
-
Konfigurieren Sie einen ersten Faktor als Zertifikataktion.
add authentication certAction cert -userNameField Subject:CN
add authentication Policy certpol -rule true -action cert
-
Konfigurieren Sie einen zweiten Faktor.
add authentication loginSchema login1 -authenticationSchema login1.xml
add authentication policylabel label1 -loginSchema login1
-
Konfigurieren Sie die LDAP-Aktion.
add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
add authentication Policy ldappolicy -rule true -action ldapact
-
Binden Sie die Richtlinien.
bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END
Konfigurieren mit dem nFactor Visualizer
-
Navigieren Sie zu Sicherheit > AAA-Application Traffic > nFactor Visualizer > nFactor Flow und klicken Sie auf Hinzufügen.
-
Klicken Sie auf +, um den nFactor-Flow hinzuzufügen.
-
Fügen Sie einen Faktor hinzu. Der eingegebene Name ist der Name des nFactor-Flows.
-
Für die Zertifikatauthentifizierung ist kein Schema erforderlich.
-
Klicken Sie auf Richtlinie hinzufügen, um eine Richtlinie für die Zertifikatauthentifizierung zu erstellen.
-
Richtlinie für die Zertifikatauthentifizierung hinzufügen.
Hinweis
Weitere Informationen zur Zertifikatauthentifizierung finden Sie unter Konfigurieren und Binden einer Authentifizierungsrichtlinie für Clientzertifikate.
-
Klicken Sie neben Zertifizierungsrichtlinie auf grün+, um den nächsten Faktor hinzuzufügen.
-
Wählen Sie Faktor erstellen aus, um einen Faktor für die LDAP-Authentifizierung zu erstellen.
-
Klicken Sie auf Schema hinzufügen, um ein Schema von PrefilUserFormExpr.xml für den zweiten Faktor hinzuzufügen, der einen vorausgefüllten Benutzernamen hat.
-
Wählen Sie Richtlinie hinzufügen aus, um eine Richtlinie für die LDAP-Authentifizierung hinzuzufügen.
Hinweis
Weitere Informationen zum Erstellen der LDAP-Authentifizierung finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mit dem Konfigurationsdienstprogramm.
-
Klicken Sie auf Fertig, um die Konfiguration zu speichern.
-
Um den erstellten nFactor Flow an einen virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver zu binden, klicken Sie auf An Authentifizierungsserver binden und dann auf Erstellen.
Hinweis
Binden und lösen Sie die Bindung des nFactor Flow durch die Option, die in nFactor Flow unter Nur Bindungen anzeigen angegeben ist.
Entbindung des nFactor Flow
-
Wählen Sie den nFactor Flow aus, und klicken Sie auf Bindungen anzeigen.
-
Wählen Sie den virtuellen Authentifizierungsserver aus und klicken Sie auf Unbind.