nFactor für Gateway Authentifizierung
Die nFactor-Authentifizierung ermöglicht eine ganze Reihe neuer Authentifizierungsmöglichkeiten. Administratoren, die nFactor verwenden, genießen die Flexibilität bei der Authentifizierung, Autorisierung und Prüfung (Citrix ADC AAA) bei der Konfiguration von Authentifizierungsfaktoren für virtuelle Server.
Zwei Richtlinienbanken oder zwei Faktoren schränken einen Administrator nicht mehr ein. Die Anzahl der Richtlinienbanken kann auf unterschiedliche Bedürfnisse ausgeweitet werden. Basierend auf früheren Faktoren bestimmt nFactor eine Authentifizierungsmethode. Dynamische Anmeldeformulare und Aktionen bei einem Fehler sind mithilfe von nFactor möglich.
Hinweis:
nFactor wird für die Citrix ADC Standard Edition nicht unterstützt. Es wird für Citrix ADC Enterprise Edition und Citrix ADC Platinum Edition unterstützt.
Anwendungsfälle
nFactor-Authentifizierung ermöglicht dynamische Authentifizierungsflüsse basierend auf dem Benutzerprofil. Manchmal können dies einfache Abläufe sein, die für den Benutzer intuitiv sind. In anderen Fällen können sie mit der Sicherung von Active Directory oder anderen Authentifizierungsservern gekoppelt werden. Im Folgenden sind einige Gateway-spezifische Anforderungen aufgeführt:
-
Dynamische Auswahl von Benutzername und Kennwort. Traditionell verwenden Citrix-Clients (einschließlich Browser und Receivers) das Active Directory-Kennwort (AD) als erstes Kennwortfeld. Das zweite Kennwort ist für das Einmalkennwort (OTP) reserviert. Um AD-Server zu sichern, muss OTP jedoch zuerst validiert werden. nFactor kann dies tun, ohne dass Clientänderungen erforderlich sind.
-
Endpunktfür mehrinstanzenfähige Authentifizierung. Einige Organisationen verwenden unterschiedliche Gateway-Server für Benutzer von Zertifikaten und Nicht-Zertifikaten. Wenn Benutzer ihre eigenen Geräte zum Anmelden verwenden, variieren die Zugriffsebenen des Benutzers auf der Citrix ADC Appliance je nach verwendetem Gerät. Das Gateway kann unterschiedliche Authentifizierungsanforderungen erfüllen.
-
Authentifizierung auf der Grundlage der Gruppenmitgliedschaft. Einige Organisationen beziehen Benutzereigenschaften von AD-Servern, um Authentifizierungsanforderungen zu ermitteln. Die Authentifizierungsanforderungen können für einzelne Benutzer variiert werden.
-
Kofaktoren für die Authentifizierung. Manchmal werden verschiedene Paare von Authentifizierungsrichtlinien verwendet, um verschiedene Benutzersätze zu authentifizieren. Die Bereitstellung von Paarrichtlinien erhöht die effektive Authentifizierung Abhängige Richtlinien können aus einem Fluss erstellt werden. So werden unabhängige Richtlinien zu eigenständigen Abläufen, die die Effizienz erhöhen und die Komplexität reduzieren.
Umgang mit Authentifizierungsantworten
Die Citrix Gateway Callback-Register verarbeiten Authentifizierungsantworten. AAAD-Antworten (Authentication Daemon) und Erfolgs-/Fehler-/Dialogcodes werden an das Rückruf-Handle eingespeist. Die Erfolg/Misserfolg/Fehler-/Dialogcodes weisen Gateway an, die entsprechenden Maßnahmen zu ergreifen.
Clientsupport
In der folgenden Tabelle werden die Konfigurationsdetails beschrieben.
Client | nFactor Unterstützung | Bindepunkt für Authentifizierungsrichtlinien | EPA |
---|---|---|---|
Browser | Ja | Authentifizierung | Ja |
Citrix Workspace-App | Ja | VPN | Ja |
Gateway Plug-In | Ja | VPN | Ja |
Hinweis:
-
Citrix Gateway-Plug-In unterstützt die nFactor-Authentifizierung ab 12.1 Build 49.37.
-
Die Citrix Workspace-App unterstützt die nFactor-Authentifizierung für die unterstützten Betriebssysteme aus den folgenden aufgelisteten Versionen.
- Windows 4.12
- Linux 13.10
- Mac 1808
- iOS 2007
- Android 1808
- HTML5: Unterstützt durch Store Web
- Chrome: Unterstützt durch Store Web
Konfiguration der Befehlszeile
Der virtuelle Gateway-Server benötigt einen virtuellen Authentifizierungsserver, der als Attribut benannt ist. Dies ist die einzige Konfiguration, die für dieses Modell erforderlich ist.
add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->
Der AuthNvsName ist der Name des virtuellen Authentifizierungsservers. Dieser virtuelle Server muss mit erweiterten Authentifizierungsrichtlinien konfiguriert werden und wird für die nFactor-Authentifizierung verwendet.
add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->
Wobei AuthnProfile das zuvor erstellte Authentifizierungsprofil ist.
Interop-Herausforderungen
Die meisten Legacy Gateway-Clients und RFWeb-Clients sind den von Gateway gesendeten Antworten nachempfunden. Beispielsweise wird für viele Clients eine 302-Antwort auf /vpn/index.html erwartet. Außerdem sind diese Clients von verschiedenen Gateway-Cookies wie pwcount
, “NSC_CERT” usw. abhängig.
Endpunktanalyse (EPA)
EPA in nFactor wird für das Citrix ADC-Authentifizierungs-, Autorisierungs- und Überwachungsmodul nicht unterstützt. Daher führt der virtuelle Citrix Gateway-Server EPA durch. Nach EPA werden die Anmeldeinformationen mithilfe der zuvor erwähnten API an den virtuellen Authentifizierungsserver gesendet. Sobald die Authentifizierung abgeschlossen ist, fährt Gateway mit dem Nachauthentifizierungsprozess fort und richtet die Benutzersitzung ein.
Überlegungen zur Fehlkonfiguration
Der Gateway-Client sendet die Benutzeranmeldeinformationen nur einmal. Gateway erhält entweder eine oder zwei Anmeldeinformationen vom Client mit der Anmeldeanforderung. Im Legacy-Modus gibt es maximal zwei Faktoren. Die erhaltenen Kennwörter werden für diese Faktoren verwendet. Mit nFactor ist die Anzahl der konfigurierbaren Faktoren jedoch praktisch unbegrenzt. Vom Gateway-Client erhaltene Kennwörter werden (gemäß Konfiguration) für konfigurierte Faktoren wiederverwendet. Es ist darauf zu achten, dass das Einmalkennwort (OTP) nicht mehrfach wiederverwendet werden darf. Ebenso muss ein Administrator sicherstellen, dass das bei einem Faktor wiederverwendete Kennwort tatsächlich auf diesen Faktor anwendbar ist.
Definieren von Citrix Clients
Die Konfigurationsoption hilft Citrix ADC bei der Ermittlung von Browser-Clients im Vergleich zu dicken Clients wie Receiver.
Ein Mustersatz, ns_vpn_client_useragents, wird für den Administrator bereitgestellt, um Muster für alle Citrix Clients zu konfigurieren.
Binden Sie die Zeichenfolge “Citrix Receiver” an das oben genannte, patset
um alle Citrix Clients zu ignorieren, die “Citrix Receiver” im User-Agent haben.
Beschränken von nFactor für Gateway
Die nFactor for Gateway-Authentifizierung findet nicht statt, wenn die folgenden Bedingungen vorliegen.
-
Das AuthnProfile ist nicht bei Citrix Gateway festgelegt.
-
Erweiterte Authentifizierungsrichtlinien sind nicht an den virtuellen Authentifizierungsserver gebunden, und derselbe virtuelle Authentifizierungsserver wird in AuthnProfile erwähnt.
-
Die User-Agent-Zeichenfolge in der HTTP-Anfrage entspricht den in
patset ns_vpn_client_useragents
konfigurierten User-Agents.
Wenn diese Bedingungen nicht erfüllt sind, wird die klassische Authentifizierungsrichtlinie verwendet, die an Gateway gebunden ist.
Wenn ein User-Agent oder ein Teil davon an das zuvor erwähnte patset
gebunden ist, nehmen Anfragen von diesen Benutzeragenten nicht am nFactor-Flow teil. Beispielsweise schränkt der folgende Befehl die Konfiguration für alle Browser ein (vorausgesetzt, alle Browser enthalten “Mozilla” in der User-Agent-Zeichenfolge):
bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->
LoginSchema
LoginSchema ist eine logische Darstellung des Anmeldeformulars. Die XML-Sprache definiert es. Die Syntax des LoginSchema entspricht der Common Forms Protocol-Spezifikation von Citrix.
LoginSchema definiert die “Ansicht” des Produkts. Ein Administrator kann eine angepasste Beschreibung, einen Hilfstext usw. des Formulars bereitstellen. Dies schließt die Beschriftungen des Formulars selbst ein. Ein Kunde kann die Erfolgs- oder Fehlschlagsmeldung angeben, die das zu einem bestimmten Zeitpunkt angezeigte Formular beschreibt.
LoginSchema und nFactor Wissen erforderlich
Vorgefertigte LoginSchema-Dateien sind im folgenden Citrix ADC-Speicherort /NSConfig/loginSchema/loginSchema/. Diese vorgefertigten LoginSchema-Dateien dienen gängigen Anwendungsfällen und können bei Bedarf für geringfügige Abweichungen modifiziert werden.
Außerdem ist für die meisten Single-Factor-Anwendungsfälle mit wenigen Anpassungen keine Konfiguration des Anmeldeschemas erforderlich.
Dem Administrator wird empfohlen, in der Citrix-Produktdokumentation nach anderen Konfigurationsoptionen zu suchen, mit denen Citrix ADC die Faktoren ermitteln kann. Sobald der Benutzer die Anmeldeinformationen übermittelt hat, kann der Administrator mehr als einen Faktor konfigurieren, um die Authentifizierungsfaktoren flexibel auszuwählen und zu verarbeiten.
Konfiguration der Dual-Faktor-Authentifizierung ohne Verwendung von LoginSchema
Citrix ADC bestimmt automatisch die Dual-Faktor-Anforderungen basierend auf der Konfiguration. Sobald der Benutzer diese Anmeldeinformationen vorlegt, kann der Administrator den ersten Satz von Richtlinien auf dem virtuellen Server konfigurieren. Gegen jede Richtlinie kann es einen “NextFactor” geben, der als “Passthrough” konfiguriert ist. Ein „Passthrough“ bedeutet, dass die Citrix ADC Appliance die Anmeldung mit dem vorhandenen Anmeldeinformationssatz verarbeiten muss, ohne zum Benutzer zu gehen. Durch die Verwendung von “Passthrough” -Faktoren kann ein Administrator den Authentifizierungsfluss programmgesteuert steuern. Administratoren wird empfohlen, die nFactor-Spezifikation oder die Bereitstellungshandbücher für weitere Details zu lesen. Siehe https://docs.citrix.com/en-us/netscaler/12-1/aaa-tm/multi-factor-nfactor-authentication.html.
Ausdrücke für Benutzernamen und Kennwörter
Um die Anmeldeinformationen zu verarbeiten, muss der Administrator das LoginSchema konfigurieren. Ein-Faktor- oder Dual-Faktor-Anwendungsfälle mit wenigen LoginSchema-Anpassungen benötigen keine angegebene XML-Definition. Das LoginSchema hat andere Eigenschaften wie UserExpression und PasswdExpression, die verwendet werden können, um den Benutzernamen oder das Kennwort zu ändern, das der Benutzer angibt. Dies sind erweiterte Richtlinienausdrücke, die auch verwendet werden können, um Benutzereingaben zu überschreiben.
Schritte auf hoher Ebene in der nFactor-Konfiguration
Das folgende Diagramm veranschaulicht die Schritte auf hoher Ebene, die bei der Konfiguration von nFactor erforderlich sind.
GUI-Konfiguration
Die folgenden Themen werden in diesem Abschnitt beschrieben:
-
Erstellen Sie einen virtuellen Server
-
Erstellen eines virtuellen Authentifizierungsservers
-
Erstellen eines Authentifizierungs-CERT-Profils
-
Erstellen einer Authentifizierungsrichtlinie
-
Einen LDAP-Authentifizierungsserver hinzufügen
-
Hinzufügen einer LDAP-Authentifizierungsrichtlinie
-
Einen RADIUS-Authentifizierungsserver hinzufügen
-
Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
-
Erstellen eines Authentifizierungs-Login-Schemas
-
Erstellen eines Richtlinienlabels
Erstellen Sie einen virtuellen Server
-
Navigieren Sie zu Citrix Gateway -> Virtuelle Server.
-
Klicken Sie auf die Schaltfläche Hinzufügen, um einen virtuellen Gateway-Server zu erstellen.
-
Geben Sie die folgenden Informationen ein:
Parametername Beschreibung des Parameters Geben Sie den Namen des virtuellen Servers ein. Name für den virtuellen Citrix Gateway-Server. Muss mit einem ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) enthalten. Kann geändert werden, nachdem der virtuelle Server erstellt wurde. Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Server” oder “mein Server”). Geben Sie den IP-Adresstyp für den virtuellen Server ein Wählen Sie im Dropdownmenü eine Option für IP-Adresse oder nicht adressierbar aus. Geben Sie die IP-Adresse des virtuellen Servers ein. Eine Internetprotokolladresse (IP-Adresse) ist ein numerisches Etikett, das jedem am Computernetzwerk teilnehmenden Gerät zugewiesen wird, das das Internetprotokoll für die Kommunikation verwendet. Geben Sie die Portnummer für den virtuellen Server ein. Geben Sie die Portnummer ein. Gib das Authentifizierungsprofil ein. Authentifizierungsprofilentität auf dem virtuellen Server. Diese Entität kann verwendet werden, um die Authentifizierung für die Multi-Factor (nFactor) -Authentifizierung auf den virtuellen Citrix ADC AAA-Server auszulagern Geben Sie das RDP-Serverprofil ein. Name des RDP-Serverprofils, das dem virtuellen Server zugeordnet ist. Geben Sie die maximale Benutzerzahl ein. Maximale Anzahl gleichzeitiger Benutzersitzungen, die auf diesem virtuellen Server zulässig sind. Die tatsächliche Anzahl der Benutzer, die sich an diesem virtuellen Server anmelden dürfen, hängt von der Gesamtzahl der Benutzerlizenzen ab. Geben Sie die maximalen Anmeldeversuche ein. Maximale Anzahl von Anmeldeversuchen. Geben Sie das Zeitlimit für fehlgeschlagene Anmeldung ein Anzahl der Minuten, die ein Konto gesperrt ist, wenn der Benutzer die maximal zulässigen Versuche überschreitet. Geben Sie das Windows EPA-Plug-in-Upgrade ein. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Win. Rufen Sie das Linux EPA-Plug-In-Upgrade auf. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Linux. Rufen Sie das MAC EPA-Plug-In-Upgrade auf Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Mac. Einmal anmelden Diese Option aktiviert/deaktiviert Seamless SSO für diesen virtuellen Server. Nur ICA Wenn auf ON gesetzt, bedeutet dies den Basismodus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser anmelden und auf die veröffentlichten Apps zugreifen, die in der Citrix Virtual Apps and Desktops-Umgebung konfiguriert sind, auf die der Parameter Wihome
verweist. Benutzer dürfen keine Verbindung über das Citrix Gateway-Plug-In herstellen, und Endpunktscans können nicht konfiguriert werden. Die Anzahl der Benutzer, die sich anmelden und auf die Apps zugreifen können, ist in diesem Modus nicht durch die Lizenz begrenzt. - Wenn auf OFF gesetzt, bedeutet dies den SmartAccess-Modus, in dem sich der Benutzer entweder mit der Citrix Workspace-App, einem Browser oder einem Citrix Gateway-Plug-In anmelden kann. Der Administrator kann Endpunkt-Scans so konfigurieren, dass sie auf den Client-Systemen ausgeführt werden, und dann die Ergebnisse verwenden, um den Zugriff auf die veröffentlichten Apps zu steuern. In diesem Modus kann der Client in anderen Clientmodi, nämlich VPN und clientloses VPN, eine Verbindung zum Gateway herstellen. Die Anzahl der Benutzer, die sich anmelden und auf die Ressourcen zugreifen können, ist durch die CCU-Lizenzen in diesem Modus begrenzt.Authentifizierung aktivieren Erfordert Authentifizierung für Benutzer, die sich mit Citrix Gateway verbinden. Doppel Hop Verwenden Sie das Citrix Gateway-Gerät in einer Double-Hop-Konfiguration. Eine Double-Hop-Bereitstellung bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk, indem drei Firewalls verwendet werden, um die DMZ in zwei Stufen zu unterteilen. Eine solche Bereitstellung kann eine Appliance in der DMZ und eine Appliance im sicheren Netzwerk haben. State Flush nach unten Schließen Sie bestehende Verbindungen, wenn der virtuelle Server als DOWN markiert ist, was bedeutet, dass der Server möglicherweise eine Zeitüberschreitung hat. Das Trennen vorhandener Verbindungen befreit Ressourcen und beschleunigt in bestimmten Fällen die Wiederherstellung überlasteter Lastausgleichseinrichtungen. Aktivieren Sie diese Einstellung auf Servern, auf denen die Verbindungen sicher geschlossen werden können, wenn sie als DOWN markiert sind. Aktivieren Sie nicht DOWN State Flush auf Servern, die ihre Transaktionen abschließen müssen. DTLS Diese Option start/stoppt den Turn Service auf dem virtuellen Server AppFlow-Protokollierung Protokollieren Sie AppFlow-Datensätze, die standardmäßige NetFlow- oder IPFIX-Informationen enthalten, wie Zeitstempel für den Beginn und das Ende eines Flusses, Paketanzahl und Byteanzahl. Protokollieren Sie auch Datensätze, die Informationen auf Anwendungsebene enthalten, wie HTTP-Webadressen, HTTP-Anforderungsmethoden und Antwortstatuscodes, Serverreaktionszeit und Latenz. ICA-Proxysitzungsmigration Diese Option bestimmt, ob eine vorhandene ICA-Proxysitzung übertragen wird, wenn sich der Benutzer von einem anderen Gerät aus anmeldet. Status Der aktuelle Status des virtuellen Servers, wie UP, DOWN, BUSY usw. Gerätezertifikat aktivieren Zeigt an, ob die Gerätezertifikatsprüfung als Teil von EPA ein- oder ausgeschaltet ist. -
Wählen Sie den Abschnitt Kein Serverzertifikat auf der Seite.
-
Klicken Sie auf >, um das Serverzertifikat auszuwählen.
-
Wählen Sie das SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.
-
Klicken Sie auf Bind.
-
Wenn Sie eine Warnung über Keine brauchbaren Chiffren sehen, klicken Sie auf OK
-
Klicken Sie auf Weiter.
-
Klicken Sie im Abschnitt Authentifizierung oben rechts auf das +-Symbol.
Erstellen eines virtuellen Authentifizierungsservers
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Virtuelle Server.
-
Klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Grundeinstellungen aus, um den virtuellen Authentifizierungsserver zu erstellen.
Hinweis: Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
-
Geben Sie den Namen für den neuen virtuellen Authentifizierungsserver ein.
-
Geben Sie den IP-Adresstyp ein. Der IP-Adresstyp kann als nicht adressierbar konfiguriert werden.
-
Geben Sie die IP-Adresseein. Die IP-Adresse kann Null sein.
-
Geben Sie den Protokolltyp des virtuellen Authentifizierungsservers ein.
-
Geben Sie den TCP-Port ein, auf dem der virtuelle Server Verbindungen akzeptiert.
-
Geben Sie die Domäne des Authentifizierungs-Cookies ein, das vom virtuellen Authentifizierungsserver gesetzt wurde.
-
-
Klicken Sie auf OK.
-
Klicken Sie auf das Kein Serverzertifikat.
-
Wählen Sie das gewünschte Serverzertifikat aus der Liste aus.
-
Wählen Sie das gewünschte SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.
Hinweis: Der virtuelle Authentifizierungsserver benötigt kein an ihn gebundenes Zertifikat.
-
Konfigurieren Sie die Serverzertifikatbindung
-
Aktivieren Sie das Kästchen Serverzertifikat für SNI, um einen oder mehrere Cert-Schlüssel zu binden, die für die SNI-Verarbeitung verwendet werden.
-
Klicken Sie auf die Schaltfläche Binden.
-
Erstellen eines Authentifizierungs-CERT-Profils
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> CERT .
-
Wählen Sie die Registerkarte Profile und dann Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um das Authentifizierungs-CERT-Profil zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
-
Name — Name für das Serverprofil für die Clientzertifikat Authentifizierung (Aktion).
-
Zwei Faktoren — In diesem Fall ist die Zwei-Faktor-Authentifizierungsoption NOOP.
-
Benutzernamenfeld — geben Sie das Client-Cert-Feld ein, aus dem der Benutzername extrahiert wird. Muss entweder auf ““Betreff”” oder ““Aussteller”” eingestellt sein (beide Sätze doppelter Anführungszeichen enthalten).
-
Gruppennamenfeld - geben Sie das Client-Cert-Feld ein, aus dem die Gruppe extrahiert wird. Muss entweder auf ““Betreff”” oder ““Aussteller”” eingestellt sein (beide Sätze doppelter Anführungszeichen enthalten).
-
Standardauthentifizierungsgruppe - Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist.
-
-
Klicken Sie auf Erstellen.
Erstellen einer Authentifizierungsrichtlinie
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.
-
Wähle den Button “ Hinzufügen “
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Name — geben Sie den Namen für die erweiterte Authentifizierungsrichtlinie ein. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
b) Aktionstyp - geben Sie den Typ der Authentifizierungsaktion ein.
c) Aktion - geben Sie den Namen der Authentifizierungsaktion ein, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
d) Aktion protokollieren - geben Sie den Namen der Nachrichtenprotokollaktion ein, die verwendet werden soll, wenn eine Anforderung dieser Richtlinie entspricht.
e) Ausdruck - Geben Sie den Namen der benannten Citrix ADC-Regel oder einen Standardsyntaxausdruck ein, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
f) Kommentare — geben Sie Kommentare ein, um Informationen zu dieser Richtlinie aufzubewahren.
-
Klicken Sie auf Erstellen.
Einen LDAP-Authentifizierungsserver hinzufügen
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> LDAP .
-
Fügen Sie einen LDAP-Server hinzu, indem Sie die Registerkarte Server auswählen und die Schaltfläche Hinzufügen auswählen.
Hinzufügen einer LDAP-Authentifizierungsrichtlinie
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.
-
Klicken Sie auf Hinzufügen, um eine Authentifizierungsrichtlinie hinzuzufügen.
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Name — Name für die Vorabauthentifizierungsrichtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
b) Aktionstyp - Typ der Authentifizierungsaktion.
c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
d) Aktion protokollieren - Name der zu verwendenden Nachrichtenprotokollaktion, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.
e) Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
f) Kommentare - Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.
-
Klicken Sie auf Erstellen.
Hinzufügen eines RADIUS-Authentifizierungsservers
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Grundrichtlinien -> RADIUS.
-
Um einen Server hinzuzufügen, wählen Sie die Registerkarte Server und wählen Sie die Schaltfläche Hinzufügen.
-
Geben Sie Folgendes ein, um einen Authentifizierungs-RADIUS-Server zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Geben Sie einen Namen für die RADIUS-Aktion ein.
b) Geben Sie den Servernamen oder die Server-IP-Adresse ein, die dem RADIUS-Server zugewiesen ist.
c) Geben Sie die Portnummerein, auf der der RADIUS-Server auf Verbindungen wartet.
d) Geben Sie den Timeout-Wert in wenigen Sekunden ein. Dies ist der Wert, den die Citrix ADC Appliance auf eine Antwort vom RADIUS-Server wartet.
e) Geben Sie den Secret Key ein, der vom RADIUS-Server und der Citrix ADC Appliance gemeinsam genutzt wird. Der geheime Schlüssel ist erforderlich, damit die Citrix ADC Appliance mit dem RADIUS-Server kommunizieren kann.
f) Bestätigen Sie den geheimen Schlüssel.
-
Klicken Sie auf Erstellen.
Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.
-
Klicke auf Hinzufügen, um eine Authentifizierungsrichtlinie zu erstellen.
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Name — Name für die Vorabauthentifizierungsrichtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
b) Aktionstyp - Typ der Authentifizierungsaktion.
c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
d) Aktion protokollieren - Name der zu verwendenden Nachrichtenprotokollaktion, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.
e) Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
f) Kommentare - Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.
-
Klicken Sie auf OK.
-
Stellen Sie sicher, dass Ihre Authentifizierungsrichtlinie aufgeführt ist.
Erstellen eines Authentifizierungs-Login-Schemas
-
Navigieren Sie zu Sicherheit -> AAA — Anwendungsverkehr -> Anmeldeschema.
-
Wählen Sie die Registerkarte Profile und klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um ein Authentifizierungs-Login-Schema zu erstellen
a) Geben Sie den Namen ein — das ist der Name für das neue Anmeldeschema.
b) Geben Sie dasAuthentifizierungsschema ein — dies ist der Name der Datei zum Lesen eines Authentifizierungsschemas, das für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei muss die XML-Definition der Elemente gemäß dem Citrix Forms Authentication Protocol enthalten, um das Anmeldeformular rendern zu können. Wenn der Administrator Benutzer nicht zur Eingabe anderer Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kann
noschema
als Argument angegeben werden. Dies gilt nur für LoginSchemas, die mit benutzerdefinierten Faktoren verwendet werden, und nicht für den Faktor des virtuellen Serversc) Benutzerausdruck eingeben — Der Ausdruck für die Extraktion des Benutzernamens bei der Anmeldung
d) Geben Sie den Kennwortausdruck ein - dies ist der Ausdruck für die Kennwortextraktion bei der Anmeldung
e) Geben Sie den Index der Benutzeranmeldeinformationen ein. Dies ist der Index, an dem der vom Benutzer eingegebene Benutzername in der Sitzung gespeichert werden muss.
f) Geben Sie den Kennwort-Anmeldeinformationsindex ein — dies ist der Index, in dem das vom Benutzer eingegebene Kennwort in der Sitzung gespeichert werden muss.
g) Geben Sie die Authentifizierungsstärke ein — das ist das Gewicht der aktuellen Authentifizierung.
-
Klicken Sie auf Erstellen.
- Stellen Sie sicher, dass Ihr Login-Schema-Profil aufgeführt ist.
Erstellen eines Richtlinienlabels
Ein Policy Label gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Das Policy Label gibt das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Das Policy Label muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein. In der Regel enthält ein Policy Label Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Policy Label haben, das Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen enthält.
-
Navigieren Sie zu Security -> AAA – Application Traffic -> Policies -> Authentication -> Advanced Policies -> Policy Label.
-
Klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um ein Authentifizierungsrichtlinienlabel zu erstellen:
a) Geben Sie den Namen für das neue Label für die Authentifizierungsrichtlinie ein.
b) Geben Sie das Anmeldeschema ein, das der Bezeichnung der Authentifizierungsrichtlinie zugeordnet ist.
c) Klicken Sie auf “ Weiter”.
-
Wählen Sie eine Richtlinie aus dem Dropdownmenü aus.
-
Wählen Sie die gewünschte Authentifizierungsrichtlinie und klicken Sie auf die Schaltfläche Auswählen.
-
Füllen Sie die folgenden Felder aus:
a) Geben Sie die Priorität der Policy-Bindung ein.
b) Geben Sie den Goto-Ausdruck ein — der Ausdruck gibt die Priorität der nächsten Richtlinie an, die ausgewertet wird, wenn die aktuelle Policy-Regel TRUE ergibt.
-
Wählen Sie die gewünschte Authentifizierungsrichtlinie aus und klicken Sie auf die Schaltfläche Auswählen.
-
Klicken Sie auf die Schaltfläche Binden.
-
Klicken Sie auf Fertig.
-
Überprüfen Sie das Label der Authentifizierungsrichtlinie
In diesem Artikel
- Anwendungsfälle
- Umgang mit Authentifizierungsantworten
- Clientsupport
- Konfiguration der Befehlszeile
- Interop-Herausforderungen
- Endpunktanalyse (EPA)
- Überlegungen zur Fehlkonfiguration
- Definieren von Citrix Clients
- Beschränken von nFactor für Gateway
- LoginSchema
- LoginSchema und nFactor Wissen erforderlich
- Konfiguration der Dual-Faktor-Authentifizierung ohne Verwendung von LoginSchema
- Ausdrücke für Benutzernamen und Kennwörter
- Schritte auf hoher Ebene in der nFactor-Konfiguration
- GUI-Konfiguration
- Erstellen Sie einen virtuellen Server
- Erstellen eines virtuellen Authentifizierungsservers
- Erstellen eines Authentifizierungs-CERT-Profils
- Erstellen einer Authentifizierungsrichtlinie
- Einen LDAP-Authentifizierungsserver hinzufügen
- Hinzufügen einer LDAP-Authentifizierungsrichtlinie
- Hinzufügen eines RADIUS-Authentifizierungsservers
- Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
- Erstellen eines Authentifizierungs-Login-Schemas
- Erstellen eines Richtlinienlabels