Gateway

Konfigurieren Sie Citrix Gateway für die Verwendung der RADIUS- und LDAP-Authentifizierung mit Mobil-/Tablet-Geräten

In diesem Abschnitt wird beschrieben, wie Sie das Citrix Gateway-Gerät so konfigurieren, dass es die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre Authentifizierung bei Mobil-/Tablet-Geräten verwendet.

Die in diesem Abschnitt demonstrierte Konfiguration ermöglicht weiterhin allen anderen Verbindungen, zuerst LDAP und dann RADIUS zu verwenden.

Wenn Sie die Zwei-Faktor-Authentifizierung auf Citrix Receiver für die Verwendung mit Mobil-/Tablet-Geräten konfigurieren, müssen Sie die RSA SecureID (RADIUS-Authentifizierung) als primäre Authentifizierung hinzufügen. Wenn die Benutzer jedoch auf Receiver zur Eingabe von Benutzername und Kennwort sowie Passcode aufgefordert werden, geben sie LDAP an erster Stelle und RADIUS als zweite Anmeldeinformationen ein. Aus Administratorsicht handelt es sich um eine andere Konfiguration als bei einer Konfiguration ohne Mobilgerät.

Lokalisierte Abbildung

Führen Sie das folgende Verfahren aus, um das Citrix Gateway-Gerät so zu konfigurieren, dass es die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre Authentifizierung bei Mobil-/Tablet-Geräten verwendet.

  1. Wählen Sie im Konfigurationsdienstprogramm Citrix Gateway > Richtlinien > Authentifizierung aus und erstellen Sie eine Authentifizierungsrichtlinie für LDAP und RSA für mobile Geräte und Nicht-Mobilgeräte. Dies ist notwendig, um eine logische Bedingung zu vermeiden, die es Benutzern ermöglichen könnte, die RADIUS-Authentifizierung zu Bypass.

    Lokalisierte Abbildung

  2. Geben Sie die LDAP-Serverdetails ein, nachdem Sie auf der Registerkarte Server für LDAP auf Option Hinzufügen geklickt haben.

    Lokalisierte Abbildung

    Weitere Informationen zur Konfiguration des Authentifizierungsservers finden Sie im Abschnitt „Erstellen eines Authentifizierungsservers“ unter So konfigurieren Sie die LDAP-Authentifizierung auf NetScaler

  3. Erstellen Sie eine LDAP-Richtlinie für die Mobilgeräte, indem Sie den erforderlichen LDAP-Server auswählen.

    Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:

    `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
    

    Lokalisierte Abbildung

  4. Klicken Sie auf Ausdruckseditor, um eine Richtlinie

    Lokalisierte Abbildung

  5. Erstellen Sie eine RADIUS-Richtlinie und einen RADIUS-Server für die Mobilgeräte.

    (a) Navigieren Sie unter Citrix Gateway > Richtlinien > Authentifizierung > RADIUS zur RADIUS-Option. Klicken Sie auf der Registerkarte Server auf Hinzufügen.

    Lokalisierte Abbildung

    (b) Fügen Sie die erforderlichen Details hinzu. Der Standardport für die RADIUS-Authentifizierung ist 1812.

    Lokalisierte Abbildung

    (c) Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:

    Lokalisierte Abbildung

  6. Befolgen Sie denselben Schritt, um eine LDAP-Richtlinie für nicht mobile Geräte zu erstellen. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    Lokalisierte Abbildung

  7. Erstellen Sie eine RADIUS-Richtlinie für nicht-mobile Geräte. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    Lokalisierte Abbildung

  8. Wechseln Sie zu den Eigenschaften des Citrix Gateway Virtual Servers und klicken Sie auf die Registerkarte Authentifizierung. Fügen Sie in den Primären Authentifizierungsrichtlinien die Richtlinie RSA_Mobile als oberste Priorität und die LDAP_NonMobile-Richtlinie als sekundäre Priorität hinzu:

    Lokalisierte Abbildung

  9. Fügen Sie in den sekundären Authentifizierungsrichtlinien die LDAP_Mobile-Richtlinie als oberste Priorität hinzu, gefolgt von der Richtlinie RSA_NonMobile als sekundäre Priorität:

    Lokalisierte Abbildung

    Die Sitzungsrichtlinie muss über den richtigen Single Sign-On-Anmeldeindex verfügen, d. h. es müssen die LDAP-Anmeldeinformationen sein. Für mobile Geräte sollte der Anmeldeindex unter Sitzungsprofil> Kundenerlebnis auf Sekundär gesetzt werden, was LDAP ist.

Daher benötigen Sie zwei Sitzungsrichtlinien, eine für mobile Geräte und die andere für nicht-mobile Geräte.

(a) Für mobile Geräte sehen die Sitzungsrichtlinie und das Sitzungsprofil wie im folgenden Screenshot gezeigt aus. Um eine Sitzungsrichtlinie zu erstellen, navigieren Sie zum erforderlichen virtuellen Server und klicken Sie auf Bearbeiten, gehen Sie zum Abschnitt Richtlinien und klicken Sie auf das Pluszeichen:

Lokalisierte Abbildung

(b) Wählen Sie die Option Sitzung aus dem Dropdownmenü.

Lokalisierte Abbildung

(c) Geben Sie den gewünschten Namen der Sitzungsrichtlinie ein und klicken Sie auf +, um ein neues Profil zu erstellen. Für mobile Geräte sollte der Anmeldeindex unter Sitzungsprofil> Kundenerlebnis auf Sekundär gesetzt werden, was LDAP ist.

Lokalisierte Abbildung

(d) Folgen Sie für Geräte, die kein Mobilgerät sind, dieselben Schritte. Der Anmeldeindex unter Sitzungsprofil > Kundenerlebnis sollte auf Primär gesetzt sein, was LDAP ist.

Der Ausdruck sollte wie folgt geändert werden:

`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`

Lokalisierte Abbildung

(e) Um ein neues Profil für Benutzer ohne Mobilgerät zu erstellen, klicken Sie auf das Pluszeichen.

Lokalisierte Abbildung

  1. Richtlinien und Profile auf dem erforderlichen virtuellen Server sehen dem folgenden Screenshot ähnlich aus:

    Lokalisierte Abbildung

  2. Stellen Sie außerdem auf StoreFront unter der Citrix Gateway-Konfiguration die Verwendung von „Logon Type“ = „Domain and Security Token“ ein

    lokalisiertes Bild lokalisiertes Bild

Konfigurieren Sie Citrix Gateway für die Verwendung der RADIUS- und LDAP-Authentifizierung mit Mobil-/Tablet-Geräten

In diesem Artikel