ADC

Re-Captcha-Konfiguration für die nFactor-Authentifizierung

NetScaler Gateway unterstützt eine neue erstklassige Aktion captchaAction, die die Re-Captcha-Konfiguration vereinfacht. Da Re-Captcha eine erstklassige Aktion ist, kann sie ein eigener Faktor sein. Sie können Re-Captcha überall im nFactor-Flow injizieren.

Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWebUI schreiben. Mit Einführen von captchaAction müssen Sie das JavaScript nicht mehr ändern.

Wichtig:

Wenn Re-Captcha zusammen mit den Feldern für den Benutzernamen oder das Kennwort im Schema verwendet wird, ist die Schaltfläche Senden deaktiviert, bis Re-Captcha erfüllt ist.

Re-Captcha-Konfiguration

Die Re-Captcha-Konfiguration besteht aus zwei Teilen.

  1. Konfiguration bei Google für die Registrierung von Re-Captcha.
  2. Konfiguration auf der NetScaler Appliance zur Verwendung von Re-Captcha als Teil des Anmeldeflusses.

Re-Captcha-Konfiguration bei Google

Registrieren Sie eine Domain für Re-Captcha unter https://www.google.com/recaptcha/admin#llist.

  1. Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

    Eine Seite registrieren

    Hinweis

    Verwenden Sie nur reCAPTCHA v2. Unsichtbares Re-Captcha befindet sich noch in der Vorschau.

  2. Nachdem eine Domain registriert wurde, werden “SiteKey” und “SecretKey” angezeigt.

    Site-Schlüssel und geheimer Schlüssel

    Hinweis

    Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.

Re-Captcha-Konfiguration auf einer NetScaler Appliance

Die Re-Captcha-Konfiguration auf der NetScaler Appliance kann in drei Teile unterteilt werden:

  • Bildschirm “Re-Captcha anzeigen”
  • Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server
  • Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Bildschirm “Re-Captcha anzeigen”

Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml ist im Verzeichnis /nsconfig/loginSchema/LoginSchema auf der NetScaler-Appliance.

Wichtig

  • Das Anmeldeschema SingleAuthCaptcha.xml kann verwendet werden, wenn LDAP als erster Faktor konfiguriert ist.
  • Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur den Re-Captcha-Faktor (ohne Benutzername oder Kennwort) oder eine doppelte Authentifizierung mit Re-Captcha benötigen.
  • Wenn benutzerdefinierte Änderungen vorgenommen wurden oder die Datei umbenannt wird, empfiehlt Citrix, alle LoginSchemas aus dem Verzeichnis /nsconfig/loginschema/LoginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.

So konfigurieren Sie die Anzeige von Re-Captcha über die CLI

add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml

add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

add authentication vserver auth SSL <IP> <Port>

add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>

bind ssl vserver auth -certkey vserver-cert

bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->

Veröffentlichen Sie die Re-Captcha-Antwort auf dem Google-Server

Nachdem Sie das Re-Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, fügen die Administratoren die Konfiguration zum Google-Server hinzu, um die Re-Captcha-Antwort des Browsers zu überprüfen.

So überprüfen Sie die Re-Captcha-Antwort des Browsers
add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>

add authentication policy myrecaptcha -rule true -action myrecaptcha

bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->

NetScaler kontaktiert https://www.google.com/recaptcha/api/siteverify, um die Captcha-Informationen zu überprüfen. Stellen Sie also sicher, dass die Site von NetScaler aus erreichbar ist.

Führen Sie das Skript curl -vvv https://www.google.com/recaptcha/api/siteverify aus, um zu überprüfen, ob die Google-Website erreichbar ist.

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup

add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->

Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach Re-Captcha, Sie fügen sie dem zweiten Faktor hinzu.

add authentication policylabel second-factor

bind authentication policylabel second-factor -policy ldap-new -priority 10

bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das NetScaler Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com
<!--NeedCopy-->

**nssp.aaatm.com** — Löst sich in einen virtuellen Authentifizierungsserver auf.

Benutzervalidierung von re-Captcha

Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, müssen Sie die folgende Benutzeroberfläche sehen.

  1. Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. Die Anmeldung ist deaktiviert, bis Re-Captcha abgeschlossen ist.

    Anmeldeinformationen eingeben

  2. Wähle Ich bin keine Roboter-Option. Das Re-Captcha-Widget wird angezeigt.

    Option Roboter

  3. Sie werden durch eine Reihe von Re-Captcha-Bildern navigiert, bevor die Abschlussseite angezeigt wird.
  4. Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter und klicken Sie auf Anmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.

    Serie von Bildern

    Hinweise:

    • Wenn Re-Captcha mit der AD-Authentifizierung verwendet wird, ist die Schaltfläche Senden für Anmeldeinformationen deaktiviert, bis Re-Captcha abgeschlossen ist.
    • Das Re-Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD im nextfactor von Re-Captcha stattfinden.
Re-Captcha-Konfiguration für die nFactor-Authentifizierung