Clientzertifikate und LDAP-Zwei-Faktor-Authentifizierung konfigurieren
Sie können ein sicheres Clientzertifikat mit LDAP-Authentifizierung und -Autorisierung verwenden, z. B. die Verwendung der Smartcard-Authentifizierung mit LDAP. Der Benutzer meldet sich an und dann wird der Benutzername aus dem Clientzertifikat extrahiert. Das Clientzertifikat ist die primäre Form der Authentifizierung und LDAP ist das sekundäre Formular. Die Clientzertifikatauthentifizierung muss Vorrang vor der LDAP-Authentifizierungsrichtlinie haben. Wenn Sie die Priorität der Richtlinien festlegen, weisen Sie der Clientzertifikatauthentifizierungsrichtlinie eine niedrigere Zahl zu als die Nummer, die Sie der LDAP-Authentifizierungsrichtlinie zuweisen.
Um ein Clientzertifikat verwenden zu können, benötigen Sie eine Unternehmenszertifizierungsstelle (CA), wie z. B. die Zertifikatsdienste in Windows Server 2008, die auf demselben Computer ausgeführt wird, auf dem Active Directory ausgeführt wird. Sie können die CA verwenden, um ein Clientzertifikat zu erstellen.
Um ein Clientzertifikat mit LDAP-Authentifizierung und -Autorisierung verwenden zu können, muss es sich um ein sicheres Zertifikat handeln, das Secure Sockets Layer (SSL) verwendet. Um sichere Clientzertifikate für LDAP zu verwenden, installieren Sie das Clientzertifikat auf dem Benutzergerät und installieren Sie ein entsprechendes Stammzertifikat auf NetScaler Gateway.
Gehen Sie folgendermaßen vor, bevor Sie ein Clientzertifikat konfigurieren:
- Erstellen Sie einen virtuellen Server.
- Erstellen Sie eine LDAP-Authentifizierungsrichtlinie für den LDAP-Server.
- Setzen Sie den Ausdruck für die LDAP-Richtlinie auf den Wert True.
So konfigurieren Sie die Clientzertifikatauthentifizierung mit LDAP
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration NetScaler Gateway > Richtlinien\ > Authentifizierung.
- Klicken Sie im Navigationsbereich unter Authentifizierung auf Cert.
- Klicken Sie im Detailbereich auf “Hinzufügen”.
- Geben Sie im Feld Name einen Namen für die Richtlinie ein.
- Wählen Sie unter Authentifizierungstyp Cert aus.
- Klicken Sie neben Server auf Neu.
- Geben Sie unter Name einen Namen für den Server ein, und klicken Sie dann auf Erstellen.
- Geben Sie im Dialogfeld Authentifizierungsserver erstellen in das Feld Name den Namen des Servers ein.
- Wählen Sie neben Two Factor ON aus.
- Wählen Sie im Feld Benutzername Betreff:CN aus und klicken Sie dann auf Erstellen.
- Wählen Sie im Dialogfeld Authentifizierungsrichtlinie erstellen neben Benannte Ausdrücke den Wert True aus, klicken Sie auf Ausdruck hinzufügen, klicken Sie auf Erstellen und dann auf Schließen.
Binden Sie die Richtlinie nach dem Erstellen der Zertifikatauthentifizierungsrichtlinie an den virtuellen Server. Binden Sie nach dem Binden der Zertifikatauthentifizierungsrichtlinie die LDAP-Authentifizierungsrichtlinie an den virtuellen Server.
Wichtig: Sie müssen die Richtlinie zur Zertifikatauthentifizierung an den virtuellen Server binden, bevor Sie die LDAP-Authentifizierungsrichtlinie an den virtuellen Server binden.
So installieren Sie ein Stammzertifikat auf NetScaler Gateway
Nachdem Sie die Zertifikatauthentifizierungsrichtlinie erstellt haben, laden Sie ein Stammzertifikat von Ihrer CA im Base64-Format herunter, installieren es und speichern es auf Ihrem Computer. Sie können dann das Stammzertifikat auf NetScaler Gateway hochladen.
- Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich SSL, und klicken Sie dann auf Zertifikate.
- Klicken Sie im Detailbereich auf Installieren.
- Geben Sie unter Zertifikat - Schlüsselpaarname einen Namen für das Zertifikat ein.
- Klicken Sie unter Certificate File Name auf Durchsuchen und wählen Sie in der Liste entweder Appliance oder Local aus.
- Navigieren Sie zum Stammzertifikat, klicken Sie auf Öffnen und dann auf Installieren.
To add a root certificate to a virtual server
Fügen Sie nach der Installation des Stammzertifikats auf NetScaler Gateway das Zertifikat zum Zertifikatspeicher des virtuellen Servers hinzu.
Wichtig: Wenn Sie das Stammzertifikat für die Smartcard-Authentifizierung zum virtuellen Server hinzufügen, müssen Sie das Zertifikat aus dem Listenfeld CA-Zertifikat auswählen auswählen, wie in der folgenden Abbildung dargestellt.
Abbildung 1. Hinzufügen eines Stammzertifikats als CA
-
Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf Virtuelle Server.
-
Wählen Sie im Detailbereich einen virtuellen Server aus und klicken Sie dann auf Öffnen.
-
Wählen Sie auf der Registerkarte Zertifikate unter Verfügbar das Zertifikat aus, neben Hinzufügen, klicken Sie in der Liste auf CA, und klicken Sie dann auf OK.
-
Wiederholen Sie Schritt 2.
-
Klicken Sie auf der Registerkarte Zertifikate auf SSL-Parameter.
-
Wählen Sie unter Andere die Option Clientauthentifizierung aus.
-
Wählen Sie unter Andere neben Clientzertifikat die Option Optional aus, und klicken Sie dann zweimal auf OK.
-
Nachdem Sie das Client-Zertifikat konfiguriert haben, testen Sie die Authentifizierung, indem Sie sich mit dem Citrix Secure Access-Client bei NetScaler Gateway anmelden. Wenn Sie mehr als ein Zertifikat installiert haben, werden Sie aufgefordert, das richtige Zertifikat auszuwählen. Nachdem Sie das Zertifikat ausgewählt haben, wird der Anmeldebildschirm mit dem Benutzernamen angezeigt, der mit den aus dem Zertifikat erhaltenen Informationen gefüllt ist. Geben Sie das Kennwort ein und klicken Sie dann auf Anmelden.
Wenn Sie im Feld Benutzername auf dem Anmeldebildschirm nicht den richtigen Benutzernamen sehen, überprüfen Sie die Benutzerkonten und Gruppen in Ihrem LDAP-Verzeichnis. Die Gruppen, die auf NetScaler Gateway definiert sind, müssen mit denen im LDAP-Verzeichnis identisch sein. Konfigurieren Sie in Active Directory Gruppen auf Domänen-Root-Ebene. Wenn Sie Active Directory-Gruppen erstellen, die sich nicht auf der Domänen-Root-Ebene befinden, kann ein falsches Lesen des Clientzertifikats zur Folge haben.
Wenn sich Benutzer und Gruppen nicht auf Domänen-Root-Ebene befinden, zeigt die NetScaler Gateway-Anmeldeseite den in Active Directory konfigurierten Benutzernamen an. In Active Directory haben Sie beispielsweise einen Ordner mit dem Namen Benutzer und das Zertifikat lautet CN=Users. Auf der Anmeldeseite, in Benutzername, wird das Wort Benutzer angezeigt.
Wenn Sie Ihre Gruppen- und Benutzerkonten nicht auf die Stammdomänenebene verschieben möchten, lassen Sie bei der Konfiguration des Zertifikatauthentifizierungsservers auf NetScaler Gateway das Feld Benutzernamen und das Feld für den Gruppennamen leer.