Konfigurieren Sie NetScaler Gateway für die Verwendung der RADIUS- und LDAP-Authentifizierung mit Mobil-/Tablet-Geräten
In diesem Abschnitt wird beschrieben, wie das NetScaler Gateway-Gerät für die Verwendung der RADIUS-Authentifizierung als primäre und LDAP-Authentifizierung als sekundäre mit Mobil-/Tablet-Geräten konfiguriert wird.
Die in diesem Abschnitt demonstrierte Konfiguration ermöglicht weiterhin allen anderen Verbindungen, zuerst LDAP und dann RADIUS zu verwenden.
Wenn Sie die Zwei-Faktor-Authentifizierung in der Citrix Workspace-App für die Verwendung mit Mobil-/Tablet-Geräten konfigurieren, müssen Sie die RSA SecureID (RADIUS-Authentifizierung) als primäre Authentifizierung hinzufügen. Wenn die Benutzer jedoch die Aufforderung zur Eingabe von Benutzernamen und Kennwort, Passcode auf Receiver erhalten, setzen sie LDAP an die erste Stelle und RADIUS als zweite Anmeldeinformationen. Aus Sicht des Administrators handelt es sich um eine andere Konfiguration im Vergleich zu einer nicht-mobilen Konfiguration.
Führen Sie das folgende Verfahren aus, um das NetScaler Gateway-Gerät für die Verwendung der RADIUS-Authentifizierung als primäre und LDAP-Authentifizierung als sekundäre mit Mobil-/Tablet-Geräten zu konfigurieren.
-
Wählen Sie im Konfigurationsdienstprogramm NetScaler Gateway > Richtlinien > Authentifizierung aus und erstellen Sie eine Authentifizierungsrichtlinie für LDAP und RSA für mobile Geräte und Nicht-Mobilgeräte. Dies ist notwendig, um eine Logikbedingung zu vermeiden, die es Benutzern ermöglicht, die RADIUS-Authentifizierung zu Bypass.
-
Geben Sie LDAP-Serverdetails ein, nachdem Sie auf der Registerkarte Server für LDAP auf die Option Hinzufügen geklickt haben.
-
Erstellen Sie eine LDAP-Richtlinie für die Mobilgeräte, indem Sie den erforderlichen LDAP-Server auswählen.
Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
Der entsprechende erweiterte Ausdruck lautet:
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
-
Klicken Sie auf Expression Editor, um eine Richtlinie zu erstellen:
-
Erstellen Sie eine RADIUS-Richtlinie und einen RADIUS-Server für die Mobilgeräte.
-
Navigieren Sie über NetScaler Gateway > Richtlinien > Authentifizierung > RADIUS zur Option RADIUS. Klicken Sie auf der Registerkarte Server auf Hinzufügen.
-
Fügen Sie die erforderlichen Details hinzu. Der Standardport für die RADIUS-Authentifizierung ist 1812.
- Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an mobile Geräte zu binden:
-
-
Befolgen Sie denselben Schritt, um eine LDAP-Richtlinie für nicht mobile Geräte zu erstellen. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
Der entsprechende erweiterte Ausdruck lautet:
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
Erstellen Sie eine RADIUS-Richtlinie für nicht-mobile Geräte. Verwenden Sie den folgenden Ausdruck, um diese Richtlinie nur an Nicht-Mobilgeräte zu binden:
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
Der entsprechende erweiterte Ausdruck lautet:
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
Wechseln Sie zu den Eigenschaften des NetScaler Gateway Virtual Servers und klicken Sie auf die Registerkarte Authentifizierung. Fügen Sie in den Primären Authentifizierungsrichtlinien die Richtlinie RSA_Mobile als oberste Priorität und die LDAP_NonMobile-Richtlinie als sekundäre Priorität hinzu:
-
Fügen Sie in den sekundären Authentifizierungsrichtlinien die Richtlinie LDAP_Mobile als oberste Priorität hinzu, gefolgt von der Richtlinie RSA_NonMobile als sekundäre Priorität:
Die Sitzungsrichtlinie muss über den richtigen Single Sign-On Credential Index verfügen, d. h. es müssen die LDAP-Anmeldeinformationen sein. Für mobile Geräte muss der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Sekundär festgelegt werden, was LDAP ist.
Daher benötigen Sie zwei Sitzungsrichtlinien, eine für mobile Geräte und die andere für nicht-mobile Geräte.
- Für mobile Geräte werden die Sitzungsrichtlinie und das Sitzungsprofil wie im folgenden Screenshot angezeigt. Um eine Sitzungsrichtlinie zu erstellen, navigieren Sie zum erforderlichen virtuellen Server, klicken Sie auf Bearbeiten, gehen Sie zum Abschnitt Richtlinie und klicken Sie auf + Zeichen:
- Wählen Sie die Option Sitzung aus dem Menü.
- Geben Sie den gewünschten Sitzungsrichtliniennamen ein und klicken Sie auf +, um ein Profil zu erstellen. Für mobile Geräte muss der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience auf Sekundär festgelegt werden, was LDAP ist.
- Befolgen Sie für nicht mobile Geräte dieselben Schritte. Der Anmeldeinformationsindex unter Sitzungsprofil > Client Experience muss auf Primär festgelegt werden, was LDAP ist.
Der Ausdruck muss geändert werden in:
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
Der entsprechende erweiterte Ausdruck lautet:
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
- Um ein Profil für nicht-mobile Benutzer zu erstellen, klicken Sie auf + Zeichen.
-
Die folgende Abbildung zeigt die Richtlinien und Profile unter dem erforderlichen virtuellen Server.
-
Ebenfalls auf der StoreFront, unter der NetScaler Gateway-Konfiguration, um “Anmeldetyp” = “Domäne und Sicherheitstoken” zu verwenden