Konfigurieren Sie Citrix Gateway für die Verwendung der RADIUS- und LDAP-Authentifizierung mit Mobil-/Tablet-Geräten
In diesem Abschnitt wird beschrieben, wie Sie das Citrix Gateway-Gerät so konfigurieren, dass es die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre Authentifizierung bei Mobil-/Tablet-Geräten verwendet.
Die in diesem Abschnitt demonstrierte Konfiguration ermöglicht weiterhin allen anderen Verbindungen, zuerst LDAP und dann RADIUS zu verwenden.
Wenn Sie die Zwei-Faktor-Authentifizierung auf Citrix Receiver für die Verwendung mit Mobil-/Tablet-Geräten konfigurieren, müssen Sie die RSA SecureID (RADIUS-Authentifizierung) als primäre Authentifizierung hinzufügen. Wenn die Benutzer jedoch auf Receiver zur Eingabe von Benutzername und Kennwort sowie Passcode aufgefordert werden, geben sie LDAP an erster Stelle und RADIUS als zweite Anmeldeinformationen ein. Aus Administratorsicht handelt es sich um eine andere Konfiguration als bei einer Konfiguration ohne Mobilgerät.
Führen Sie das folgende Verfahren aus, um das Citrix Gateway-Gerät so zu konfigurieren, dass es die RADIUS-Authentifizierung als primäre und die LDAP-Authentifizierung als sekundäre Authentifizierung bei Mobil-/Tablet-Geräten verwendet.
-
Wählen Sie im Konfigurationsdienstprogramm Citrix Gateway > Richtlinien > Authentifizierung aus und erstellen Sie eine Authentifizierungsrichtlinie für LDAP und RSA für mobile Geräte und Nicht-Mobilgeräte. Dies ist notwendig, um eine logische Bedingung zu vermeiden, die es Benutzern ermöglichen könnte, die RADIUS-Authentifizierung zu Bypass.
-
Geben Sie die LDAP-Serverdetails ein, nachdem Sie auf der Registerkarte Server für LDAP auf Option Hinzufügen geklickt haben.
Weitere Informationen zur Konfiguration des Authentifizierungsservers finden Sie im Abschnitt „Erstellen eines Authentifizierungsservers“ unter So konfigurieren Sie die LDAP-Authentifizierung auf NetScaler
-
Erstellen Sie eine LDAP-Richtlinie für die Mobilgeräte, indem Sie den erforderlichen LDAP-Server auswählen.
Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:
`REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
-
Klicken Sie auf Ausdruckseditor, um eine Richtlinie
-
Erstellen Sie eine RADIUS-Richtlinie und einen RADIUS-Server für die Mobilgeräte.
(a) Navigieren Sie unter Citrix Gateway > Richtlinien > Authentifizierung > RADIUS zur RADIUS-Option. Klicken Sie auf der Registerkarte Server auf Hinzufügen.
(b) Fügen Sie die erforderlichen Details hinzu. Der Standardport für die RADIUS-Authentifizierung ist 1812.
(c) Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:
-
Befolgen Sie denselben Schritt, um eine LDAP-Richtlinie für nicht mobile Geräte zu erstellen. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Erstellen Sie eine RADIUS-Richtlinie für nicht-mobile Geräte. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Wechseln Sie zu den Eigenschaften des Citrix Gateway Virtual Servers und klicken Sie auf die Registerkarte Authentifizierung. Fügen Sie in den Primären Authentifizierungsrichtlinien die Richtlinie RSA_Mobile als oberste Priorität und die LDAP_NonMobile-Richtlinie als sekundäre Priorität hinzu:
-
Fügen Sie in den sekundären Authentifizierungsrichtlinien die LDAP_Mobile-Richtlinie als oberste Priorität hinzu, gefolgt von der Richtlinie RSA_NonMobile als sekundäre Priorität:
Die Sitzungsrichtlinie muss über den richtigen Single Sign-On-Anmeldeindex verfügen, d. h. es müssen die LDAP-Anmeldeinformationen sein. Für mobile Geräte sollte der Anmeldeindex unter Sitzungsprofil> Kundenerlebnis auf Sekundär gesetzt werden, was LDAP ist.
Daher benötigen Sie zwei Sitzungsrichtlinien, eine für mobile Geräte und die andere für nicht-mobile Geräte.
(a) Für mobile Geräte sehen die Sitzungsrichtlinie und das Sitzungsprofil wie im folgenden Screenshot gezeigt aus. Um eine Sitzungsrichtlinie zu erstellen, navigieren Sie zum erforderlichen virtuellen Server und klicken Sie auf Bearbeiten, gehen Sie zum Abschnitt Richtlinien und klicken Sie auf das Pluszeichen:
(b) Wählen Sie die Option Sitzung aus dem Dropdownmenü.
(c) Geben Sie den gewünschten Namen der Sitzungsrichtlinie ein und klicken Sie auf +, um ein neues Profil zu erstellen. Für mobile Geräte sollte der Anmeldeindex unter Sitzungsprofil> Kundenerlebnis auf Sekundär gesetzt werden, was LDAP ist.
(d) Folgen Sie für Geräte, die kein Mobilgerät sind, dieselben Schritte. Der Anmeldeindex unter Sitzungsprofil > Kundenerlebnis sollte auf Primär gesetzt sein, was LDAP ist.
Der Ausdruck sollte wie folgt geändert werden:
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
(e) Um ein neues Profil für Benutzer ohne Mobilgerät zu erstellen, klicken Sie auf das Pluszeichen.
-
Richtlinien und Profile auf dem erforderlichen virtuellen Server sehen dem folgenden Screenshot ähnlich aus:
-
Stellen Sie außerdem auf StoreFront unter der Citrix Gateway-Konfiguration die Verwendung von „Logon Type“ = „Domain and Security Token“ ein