nFactor für Gateway Authentifizierung
Die nFactor-Authentifizierung ermöglicht eine ganze Reihe neuer Möglichkeiten für die Authentifizierung. Administratoren, die nFactor verwenden, profitieren von Authentifizierungs-, Autorisierungs- und Audit-Flexibilität bei der Konfiguration von Authentifizierungsfaktoren für virtuelle Server.
Zwei Richtlinienbanken oder zwei Faktoren schränken einen Administrator nicht mehr ein. Die Anzahl der Richtlinienbanken kann auf unterschiedliche Bedürfnisse ausgeweitet werden. Basierend auf früheren Faktoren bestimmt nFactor eine Authentifizierungsmethode. Dynamische Anmeldeformulare und Aktionen bei einem Fehler sind mithilfe von nFactor möglich.
Wichtig!
- Ab Version 13.0 Build 67.x wird die nFactor-Authentifizierung mit der Standardlizenz nur für den virtuellen Gateway-/VPN-Server und nicht für den virtuellen Authentifizierungsserver unterstützt. In der Standardlizenz kann die nFactor-Visualizer-GUI nicht verwendet werden, um die EPA im nFactor-Flow zu erstellen. Außerdem können Sie das Anmeldeschema nicht bearbeiten, sondern müssen das sofort einsatzbereite Anmeldeschema unverändert verwenden.
- Damit Citrix ADC die nFactor-Authentifizierung unterstützt, ist eine Advanced-Lizenz oder eine Premium-Lizenz erforderlich. Weitere Informationen zur nFactor-Authentifizierung mit Citrix ADC finden Sie unter nFactor-Authentifizierung.
Lizenzanforderungen für Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen
In der folgenden Tabelle sind die Lizenzanforderungen für die verfügbaren Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen aufgeführt.
Standardlizenz | Advanced Lizenz | Premium Lizenz | ||
---|---|---|---|---|
LOKALE Authentifizierung | Ja | Ja | Ja | |
LDAP-Authentifizierung | Ja | Ja | Ja | |
RADIUS-Authentifizierung | Ja | Ja | Ja | |
TACACS-Authentifizierung | Ja | Ja | Ja | |
Web-Authentifizierung | Ja | Ja | Ja | |
Clientzertifikat-Authentifizierung | Ja | Ja | Ja | |
Authentifizierung aushandeln | Ja | Ja | Ja | |
SAML-Authentifizierung | Ja | Ja | Ja | |
OAuth-Authentifizierung | Nein | Ja | Ja | |
Natives OTP | Nein | Ja | Ja | |
E-Mail OTP | Nein | Ja | Ja | |
Pushbenachrichtigung für OTP | Nein | Nein | Ja | |
Wissensbasierte Frage und Antwort (KBA-Authentifizierung) | Nein | Ja | Ja | |
Self-Service-Kennwort-Reset (SSPR) | Nein | Ja | Ja | |
nFactor Visualizer | Ja | Ja | Ja |
Hinweis
- Schritte zum Konfigurieren von nFactor für die Citrix ADC Standardlizenz finden Sie im Abschnitt Erstellen eines virtuellen Gateway-Servers für die nFactor-Authentifizierung in der Citrix ADC Standard-Lizenz.
- Nur ein nicht adressierbarer virtueller Authentifizierungs-, Autorisierungs- und Überwachungsserver kann in der Citrix ADC Standard-Lizenz an einen virtuellen Gateway-/VPN-Server gebunden werden.
- Die Anpassung von LoginSchema ist in der Citrix ADC Standard-Lizenz nicht zulässig. Die nFactor-Unterstützung ist einfach und bietet nur standardmäßige und bereits hinzugefügte Anmeldeschemas, die mit der Appliance geliefert werden. Der Administrator kann sie in seinen Konfigurationen verwenden, aber er kann kein Anmeldeschema hinzufügen. Daher ist die GUI-Option deaktiviert.
Anwendungsfälle
nFactor-Authentifizierung ermöglicht dynamische Authentifizierungsflüsse basierend auf dem Benutzerprofil. Manchmal können die Abläufe für den Benutzer einfach und intuitiv sein. In anderen Fällen können sie mit der Sicherung von Active Directory oder anderen Authentifizierungsservern gekoppelt werden. Im Folgenden sind einige Gateway-spezifische Anforderungen aufgeführt:
-
Dynamische Auswahl von Benutzernamen und Kennwort. Traditionell verwenden die Citrix Clients (einschließlich Browser und Receiver) das Active Directory-Kennwort (AD) als erstes Kennwortfeld. Das zweite Kennwort ist für das Einmalkennwort (OTP) reserviert. Um AD-Server zu sichern, muss OTP jedoch zuerst validiert werden. nFactor kann dies tun, ohne dass Clientänderungen erforderlich sind.
-
Endpunkt für mehrinstanzenfähige Authentifizierung. Einige Organisationen verwenden unterschiedliche Gateway-Server für Benutzer von Zertifikaten und Nicht-Zertifikaten. Wenn Benutzer ihre eigenen Geräte zum Anmelden verwenden, variieren die Zugriffsebenen des Benutzers auf der Citrix ADC Appliance je nach verwendetem Gerät. Das Gateway kann unterschiedliche Authentifizierungsanforderungen erfüllen.
-
Authentifizierung auf der Grundlage der Gruppenmitgliedschaft. Einige Organisationen beziehen Benutzereigenschaften von AD-Servern, um Authentifizierungsanforderungen zu ermitteln. Die Authentifizierungsanforderungen können für einzelne Benutzer variiert werden.
-
Kofaktoren für die Authentifizierung. Manchmal werden verschiedene Paare von Authentifizierungsrichtlinien verwendet, um verschiedene Benutzersätze zu authentifizieren. Die Bereitstellung von Paarrichtlinien erhöht die effektive Authentifizierung Abhängige Richtlinien können aus einem Fluss erstellt werden. Auf diese Weise werden unabhängige Richtlinien zu eigenen Abläufen, die die Effizienz erhöhen und die Komplexität verringern.
Behandlung der Antwort auf Authentifizierung
Die Citrix Gateway Callback-Register verarbeiten Authentifizierungsantworten. AAAD-Antworten (Authentication Daemon) und Erfolgs-/Fehler-/Dialogcodes werden an das Rückruf-Handle eingespeist. Die Erfolg/Misserfolg/Fehler-/Dialogcodes weisen Gateway an, die entsprechenden Maßnahmen zu ergreifen.
Client-Support
In der folgenden Tabelle werden die Konfigurationsdetails beschrieben.
Client | nFactor Unterstützung | Bindepunkt für Authentifizierungsrichtlinien | EPA |
---|---|---|---|
Browser | Ja | Authentifizierung | Ja |
Citrix Workspace-App | Ja | VPN | Ja |
Gateway Plug-In | Ja | VPN | Ja |
Hinweis:
- Die Citrix Workspace-App unterstützt die nFactor-Authentifizierung für die unterstützten Betriebssysteme aus den folgenden aufgelisteten Versionen.
- Windows 4.12
- Linux 13.10
- Mac 1808
- iOS 2007
- Android 1808
- HTML5: Unterstützt durch Store Web
- Chrome: Unterstützt durch Store Web
Konfiguration der Befehlszeile
Der virtuelle Gateway-Server benötigt einen virtuellen Authentifizierungsserver, der als Attribut benannt ist. Der Name des virtuellen Servers als Attribut ist die einzige Konfiguration, die für dieses Modell erforderlich ist.
add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->
Der AuthNvsName ist der Name des virtuellen Authentifizierungsservers. Der virtuelle AuthNvsName-Server muss mit erweiterten Authentifizierungsrichtlinien konfiguriert werden und wird für die nFactor-Authentifizierung verwendet.
add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->
Wobei AuthnProfile das zuvor erstellte Authentifizierungsprofil ist.
Interop-Herausforderungen
Die meisten Legacy Gateway-Clients, zusätzlich zu den RFWeb-Clients, sind den von Gateway gesendeten Antworten nachempfunden. Beispielsweise wird für viele Clients eine 302-Antwort auf /vpn/index.html erwartet. Diese Clients sind auch auf verschiedene Gateway-Cookies wie ““pwcount
, “NSC_CERT angewiesen. “
Endpunktanalyse (EPA)
EPA in nFactor wird für das Citrix ADC-Authentifizierungs-, Autorisierungs- und Überwachungsmodul nicht unterstützt. Daher führt der virtuelle Citrix Gateway-Server EPA durch. Nach EPA werden die Anmeldeinformationen mithilfe der zuvor erwähnten API an den virtuellen Authentifizierungsserver gesendet. Sobald die Authentifizierung abgeschlossen ist, fährt Gateway mit dem Nachauthentifizierungsprozess fort und richtet die Benutzersitzung ein.
Überlegungen zur Fehlkonfiguration
Der Gateway-Client sendet die Benutzeranmeldeinformationen nur einmal. Gateway erhält entweder eine oder zwei Anmeldeinformationen vom Client mit der Anmeldeanforderung. Im Legacy-Modus gibt es maximal zwei Faktoren. Die erhaltenen Kennwörter werden für diese Faktoren verwendet. Mit nFactor ist die Anzahl der konfigurierbaren Faktoren jedoch praktisch unbegrenzt. Die vom Gateway-Client erhaltenen Kennwörter werden (gemäß Konfiguration) für konfigurierte Faktoren wiederverwendet. Es muss darauf geachtet werden, dass das Einmalkennwort (OTP) nicht mehrfach wiederverwendet werden darf. Ebenso muss ein Administrator sicherstellen, dass das bei einem Faktor wiederverwendete Kennwort tatsächlich auf diesen Faktor anwendbar ist.
Definieren von Citrix Clients
Die Konfigurationsoption hilft Citrix ADC dabei, Browserclients im Vergleich zu Thick-Clients wie Receiver zu ermitteln.
Ein Mustersatz, ns_vpn_client_useragents, wird für den Administrator bereitgestellt, um Muster für alle Citrix Clients zu konfigurieren.
Binden Sie die Zeichenfolge “Citrix Receiver” an das patset
oben, um alle Citrix Clients zu ignorieren, die “Citrix Receiver” im User-Agent haben.
Einschränkung von nFactor für Gateway
nFactor für die Gateway-Authentifizierung tritt nicht ein, wenn die folgenden Bedingungen erfüllt sind.
-
authnProfile ist nicht auf Citrix Gateway eingestellt.
-
Erweiterte Authentifizierungsrichtlinien sind nicht an den virtuellen Authentifizierungsserver gebunden, und derselbe virtuelle Authentifizierungsserver wird in
authnProfile
erwähnt. -
Die User-Agent-Zeichenfolge in der HTTP-Anforderung entspricht den in
patset
ns_vpn_client_useragents konfigurierten User-Agents.
Wenn diese Bedingungen nicht erfüllt sind, wird die klassische Authentifizierungsrichtlinie verwendet, die an Gateway gebunden ist.
Wenn ein User-Agent oder ein Teil davon an das zuvor erwähnte patset
gebunden ist, nehmen Anfragen von diesen Benutzeragenten nicht am nFactor-Flow teil. Der folgende Befehl schränkt beispielsweise die Konfiguration für alle Browser ein (vorausgesetzt, alle Browser enthalten “Mozilla” in der User-Agent-Zeichenfolge):
bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->
LoginSchema
LoginSchema ist eine logische Darstellung des Anmeldeformulars. Die XML-Sprache definiert es. Die Syntax von loginSchema entspricht der Common Forms Protocol-Spezifikation von Citrix.
LoginSchema definiert die “Ansicht” des Produkts. Ein Administrator kann eine angepasste Beschreibung, einen Hilfstext usw. des Formulars bereitstellen. Das Anmeldeschema enthält die Beschriftungen des Formulars selbst. Ein Kunde kann die Erfolgs- oder Misserfolgsmeldung übermitteln, die das zu einem bestimmten Zeitpunkt vorgelegte Formular beschreibt.
Verwenden Sie den folgenden Befehl, um ein Anmeldeschema zu konfigurieren.
add authentication loginSchema <name> -authenticationSchema <string> [-userExpression <string>] [-passwdExpression <string>] [-userCredentialIndex <positive_integer>]
[-passwordCredentialIndex <positive_integer>] [-authenticationStrength <positive_integer>] [-SSOCredentials ( YES | NO )]
<!--NeedCopy-->
Beschreibung des Parameters
-
name - Name für das neue Anmeldeschema. Dies ist ein obligatorisches Argument. Maximale Länge: 127
-
authenticationSchema - Name der Datei zum Lesen des Authentifizierungsschemas, die für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei enthält die xml-Definition der Elemente gemäß dem Citrix Forms Authentication Protocol, um das Anmeldeformular rendern zu können. Wenn der Administrator Benutzer nicht zur Eingabe anderer Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kann
noschema
als Argument angegeben werden. Dies gilt nur, wenn loginSchemas mit den benutzerdefinierten Faktoren verwendet wird und nicht für den Faktor des virtuellen Servers.
Dies ist ein obligatorisches Argument. Maximale Länge: 255
-
userExpression - Ausdruck für die Extraktion von Benutzernamen während der Anmeldung. Dies kann jeder relevante erweiterte Richtlinienausdruck sein. Maximale Länge: 127
-
passwdExpression - Ausdruck für die Kennwortextraktion während der Anmeldung. Dies kann jeder relevante erweiterte Richtlinienausdruck sein. Maximale Länge: 127
-
userCredentialIndex - Der Index, bei dem der Benutzer den Benutzernamen eingegeben hat, muss in der Sitzung gespeichert werden. Mindestwert: 1, Maximalwert: 16
-
PasswordCredentialIndex - Der Index, bei dem der Benutzer das Kennwort eingegeben hat, muss in der Sitzung gespeichert werden. Mindestwert: 1, Maximalwert: 16
-
authenticationStrength - Gewicht der aktuellen Authentifizierung Mindestwert: 0, Maximalwert: 65535
-
SSOCredentials
- Diese Option gibt an, ob die Anmeldeinformationen für den aktuellen Faktor die Standardanmeldeinformationen für SSO (SingleSignon) sind. Mögliche Werte: YES, NO. Standardwert: NO
LoginSchema und nFactor Wissen erforderlich
Vorgefertigte LoginSchema-Dateien sind im folgenden Citrix ADC-Speicherort /NSConfig/loginSchema/loginSchema/. Diese vorgefertigten LoginSchema-Dateien dienen gängigen Anwendungsfällen und können bei Bedarf für geringfügige Abweichungen modifiziert werden.
Außerdem benötigen die meisten Ein-Faktor-Anwendungsfälle mit wenigen Anpassungen die Konfiguration des Anmeldeschemas nicht.
Dem Administrator wird empfohlen, in der Dokumentation nach anderen Konfigurationsoptionen zu suchen, mit denen Citrix ADC die Faktoren ermitteln kann. Sobald der Benutzer die Anmeldeinformationen übermittelt hat, kann der Administrator mehr als einen Faktor konfigurieren, um die Authentifizierungsfaktoren flexibel auszuwählen und zu verarbeiten.
Konfigurieren der Dual-Faktor-Authentifizierung ohne LoginSchema
Citrix ADC bestimmt automatisch die Dual-Faktor-Anforderungen basierend auf der Konfiguration. Sobald der Benutzer diese Anmeldeinformationen vorlegt, kann der Administrator den ersten Satz von Richtlinien auf dem virtuellen Server konfigurieren. Für jede Richtlinie kann ein “NextFactor” als “Passthrough” konfiguriert sein. Ein “Passthrough” bedeutet, dass der Citrix ADC die Anmeldung mit dem vorhandenen Berechtigungssatz verarbeiten muss, ohne an den Benutzer zu gehen. Durch die Verwendung von “Passthrough” -Faktoren kann ein Administrator den Authentifizierungsablauf programmatisch steuern. Administratoren wird empfohlen, die nFactor-Spezifikation oder die Bereitstellungshandbücher für weitere Details zu lesen. Siehe Multi-Factor (nFactor) -Authentifizierung.
Benutzername und Kennwortausdrücke
Um die Anmeldeinformationen zu verarbeiten, muss der Administrator das LoginSchema konfigurieren. Ein-Faktor- oder Dual-Faktor-Anwendungsfälle mit wenigen LoginSchema-Anpassungen benötigen keine angegebene XML-Definition. Das LoginSchema hat andere Eigenschaften wie UserExpression und PasswdExpression, die verwendet werden können, um den Benutzernamen oder das Kennwort zu ändern, das der Benutzer angibt.
Anmeldeschemas sind erweiterte Richtlinienausdrücke und können auch verwendet werden, um die Benutzereingaben zu überschreiben. Dies kann erreicht werden, indem eine Zeichenfolge für Parameter in -authenticationSchema angehängt wird, wie im folgenden Beispiel gezeigt.
Im Folgenden finden Sie Beispiele zum Ändern von Benutzereingaben für den Benutzernamen bzw. für das Kennwort.
-
Ändern Sie die Benutzereingabe für den Benutzernamen von
username@citrix.com
aufusername@xyz.com
add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -userExpression "AAA.LOGIN.USERNAME.BEFORE_STR("@").APPEND("@xyz.com")" <!--NeedCopy-->
-
Stellen Sie sich ein Szenario vor, in dem der Benutzer im ersten Faktor ein Kennwort und einen Passcode als Teil des konfigurierten Anmeldeschemas angibt. Um den vom Benutzer im ersten Faktor bereitgestellten Passcode und das Kennwort im zweiten Faktor zu verwenden, können Sie das vorhandene Anmeldeschema mithilfe der folgenden Befehle ändern.
add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -passwdExpression "AAA.LOGIN.PASSWORD2" <!--NeedCopy-->
add authentication loginSchema user_schema_second -authenticationSchema noschema -passwdExpression "AAA.LOGIN.PASSWORD" <!--NeedCopy-->
Schritte auf hoher Ebene in der nFactor-Konfiguration
Das folgende Diagramm veranschaulicht die Schritte auf hoher Ebene, die bei der Konfiguration von nFactor erforderlich sind.
GUI-Konfiguration
Die folgenden Themen werden in diesem Abschnitt beschrieben:
-
Erstellen Sie einen virtuellen Server
-
Erstellen eines virtuellen Authentifizierungsservers
-
Erstellen eines Authentifizierungs-CERT-Profils
-
Erstellen einer Authentifizierungsrichtlinie
-
Einen LDAP-Authentifizierungsserver hinzufügen
-
Hinzufügen einer LDAP-Authentifizierungsrichtlinie
-
Einen RADIUS-Authentifizierungsserver hinzufügen
-
Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
-
Erstellen eines Authentifizierungs-Login-Schemas
-
Erstellen eines Richtlinienlabels
Erstellen Sie einen virtuellen Server
-
Navigieren Sie zu Citrix Gateway -> Virtuelle Server.
-
Klicken Sie auf die Schaltfläche Hinzufügen, um einen virtuellen Gateway-Server zu erstellen.
-
Geben Sie die folgenden Informationen ein und klicken Sie auf OK.
Parametername Beschreibung des Parameters Geben Sie den Namen des virtuellen Servers ein. Name für den virtuellen Citrix Gateway-Server. Muss mit einem ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) enthalten. Kann geändert werden, nachdem der virtuelle Server erstellt wurde. Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Server” oder “mein Server”). Geben Sie den IP-Adresstyp für den virtuellen Server ein Wählen Sie im Dropdownmenü eine Option für IP-Adresse oder nicht adressierbar aus. Geben Sie die IP-Adresse des virtuellen Servers ein. Eine Internetprotokolladresse (IP-Adresse) ist ein numerisches Etikett, das jedem am Computernetzwerk teilnehmenden Gerät zugewiesen wird, das das Internetprotokoll für die Kommunikation verwendet. Geben Sie die Portnummer für den virtuellen Server ein. Geben Sie die Portnummer ein. Gib das Authentifizierungsprofil ein. Authentifizierungsprofilentität auf dem virtuellen Server. Diese Entität kann verwendet werden, um die Authentifizierung auf den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver für die Multi-Faktor (nFactor) -Authentifizierung Geben Sie das RDP-Serverprofil ein. Name des RDP-Serverprofils, das dem virtuellen Server zugeordnet ist. Geben Sie die maximale Benutzerzahl ein. Maximale Anzahl gleichzeitiger Benutzersitzungen, die auf diesem virtuellen Server zulässig sind. Die tatsächliche Anzahl der Benutzer, die sich an diesem virtuellen Server anmelden dürfen, hängt von der Gesamtzahl der Benutzerlizenzen ab. Geben Sie die maximalen Anmeldeversuche ein. Maximale Anzahl von Anmeldeversuchen. Geben Sie das Zeitlimit für fehlgeschlagene Anmeldung ein Anzahl der Minuten, die ein Konto gesperrt ist, wenn der Benutzer die maximal zulässigen Versuche überschreitet. Rufen Sie das Windows EPA-Plug-In-Upgrade auf. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Win. Rufen Sie das Linux EPA-Plug-In-Upgrade auf. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Linux. Rufen Sie das MAC EPA-Plug-In-Upgrade auf Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Mac. Einmal anmelden Diese Option aktiviert/deaktiviert Seamless SSO für diesen virtuellen Server. Nur ICA Bei Einstellung auf ON bedeutet dies den Basismodus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser anmelden und Zugriff auf die veröffentlichten Apps erhalten kann, die in der Citrix Virtual Apps and Desktops-Umgebung konfiguriert wurden, auf die der Parameter Wihome
hinweist. Benutzer dürfen keine Verbindung über das Citrix Gateway-Plug-In herstellen, und Endpunktscans können nicht konfiguriert werden. Die Anzahl der Benutzer, die sich anmelden und auf die Apps zugreifen können, ist in diesem Modus nicht durch die Lizenz begrenzt. - Bei Einstellung auf OFF bedeutet dies den SmartAccess-Modus, in dem sich der Benutzer entweder mit der Citrix Workspace-App, einem Browser oder einem Citrix Gateway-Plug-in anmelden kann. Der Administrator kann Endpunkt-Scans so konfigurieren, dass sie auf den Client-Systemen ausgeführt werden, und dann die Ergebnisse verwenden, um den Zugriff auf die veröffentlichten Apps zu steuern. In diesem Modus kann der Client in anderen Clientmodi, nämlich VPN und clientloses VPN, eine Verbindung zum Gateway herstellen. Die Anzahl der Benutzer, die sich anmelden und auf die Ressourcen zugreifen können, ist durch die CCU-Lizenzen in diesem Modus begrenzt.Authentifizierung aktivieren Erfordert Authentifizierung für Benutzer, die sich mit Citrix Gateway verbinden. Doppel Hop Verwenden Sie das Citrix Gateway-Gerät in einer Double-Hop-Konfiguration. Eine Double-Hop-Bereitstellung bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk, indem drei Firewalls verwendet werden, um die DMZ in zwei Stufen zu unterteilen. Eine solche Bereitstellung kann eine Appliance in der DMZ und eine Appliance im sicheren Netzwerk haben. State Flush nach unten Schließen Sie bestehende Verbindungen, wenn der virtuelle Server als DOWN markiert ist, was bedeutet, dass der Server möglicherweise eine Zeitüberschreitung hat. Das Trennen vorhandener Verbindungen befreit Ressourcen und beschleunigt in bestimmten Fällen die Wiederherstellung überlasteter Lastausgleichseinrichtungen. Aktivieren Sie diese Einstellung auf Servern, auf denen die Verbindungen sicher geschlossen werden können, wenn sie als DOWN markiert sind. Aktivieren Sie nicht DOWN State Flush auf Servern, die ihre Transaktionen abschließen müssen. DTLS Diese Option start/stoppt den Turn Service auf dem virtuellen Server AppFlow-Protokollierung Protokollieren Sie AppFlow-Datensätze, die standardmäßige NetFlow- oder IPFIX-Informationen enthalten, wie Zeitstempel für den Beginn und das Ende eines Flusses, Paketanzahl und Byteanzahl. Protokollieren Sie auch Datensätze, die Informationen auf Anwendungsebene enthalten, wie HTTP-Webadressen, HTTP-Anforderungsmethoden und Antwortstatuscodes, Serverreaktionszeit und Latenz. ICA-Proxysitzungsmigration Diese Option bestimmt, ob eine vorhandene ICA-Proxysitzung übertragen wird, wenn sich der Benutzer von einem anderen Gerät aus anmeldet. Status Der aktuelle Status des virtuellen Servers, wie UP, DOWN, BUSY usw. Gerätezertifikat aktivieren Zeigt an, ob die Gerätezertifikatsprüfung als Teil von EPA ein- oder ausgeschaltet ist. -
Wählen Sie den Abschnitt Kein Serverzertifikat auf der Seite.
-
Klicken Sie auf >, um das Serverzertifikat auszuwählen.
-
Wählen Sie das SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.
-
Klicken Sie auf Bind.
-
Wenn Sie eine Warnung über Keine brauchbaren Chiffren sehen, klicken Sie auf OK
-
Klicken Sie auf Weiter.
-
Klicken Sie im Abschnitt Authentifizierung oben rechts auf das +-Symbol.
Erstellen Sie einen virtuellen Authentifizierungsserver
-
Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsverkehr -> Virtuelle Server.
-
Klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Grundeinstellungen aus, um den virtuellen Authentifizierungsserver zu erstellen.
Hinweis: Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
-
Geben Sie den Namen für den neuen virtuellen Authentifizierungsserver ein.
-
Geben Sie den IP-Adresstyp ein. Der IP-Adresstyp kann als nicht adressierbar konfiguriert werden.
-
Geben Sie die IP-Adresseein. Die IP-Adresse kann Null sein.
-
Geben Sie den Protokolltyp des virtuellen Authentifizierungsservers ein.
-
Geben Sie den TCP-Port ein, auf dem der virtuelle Server Verbindungen akzeptiert.
-
Geben Sie die Domäne des Authentifizierungs-Cookies ein, das vom virtuellen Authentifizierungsserver gesetzt wurde.
-
-
Klicken Sie auf OK.
-
Klicken Sie auf das Kein Serverzertifikat.
-
Wählen Sie das gewünschte Serverzertifikat aus der Liste aus.
-
Wählen Sie das gewünschte SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.
Hinweis: Der virtuelle Authentifizierungsserver benötigt kein an ihn gebundenes Zertifikat.
-
Konfigurieren Sie die Serverzertifikatbindung
-
Aktivieren Sie das Kästchen Serverzertifikat für SNI, um einen oder mehrere Cert-Schlüssel zu binden, die für die SNI-Verarbeitung verwendet werden.
-
Klicken Sie auf die Schaltfläche Binden.
-
Erstellen eines CERT-Authentifizierungsprofils
-
Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Grundlegende Richtlinien -> CERT.
-
Wählen Sie die Registerkarte Profile und dann Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um das Authentifizierungs-CERT-Profil zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
-
Name — Name für das Serverprofil für die Clientzertifikat Authentifizierung (Aktion).
-
Zwei Faktoren — In diesem Fall ist die Zwei-Faktor-Authentifizierungsoption NOOP.
-
Benutzernamenfeld — geben Sie das Client-Cert-Feld ein, aus dem der Benutzername extrahiert wird. Muss entweder auf “” Betreff “” oder “” Aussteller “” festgelegt sein (beide Sätze von doppelten Anführungszeichen enthalten).
-
Gruppennamenfeld - geben Sie das Client-Cert-Feld ein, aus dem die Gruppe extrahiert wird. Muss entweder auf “” Betreff “” oder “” Aussteller “” festgelegt sein (beide Sätze von doppelten Anführungszeichen enthalten).
-
Standardauthentifizierungsgruppe - Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist.
-
-
Klicken Sie auf Erstellen.
Erstellen einer Authentifizierungsrichtlinie
Hinweis
Wenn Sie eine Richtlinie für den ersten Faktor mit einer Richtlinienregel mithilfe von AAA.Login konfigurieren, muss der folgende Ausdruck mit der OR-Bedingung konfiguriert werden, damit die Citrix Workspace-App die nFactor-Bereitstellung unterstützt.
|| HTTP.REQ.URL.CONTAINS("/cgi/authenticate")
-
Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Erweiterte Richtlinien -> Richtlinie.
-
Wähle den Button “ Hinzufügen “
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Name — geben Sie den Namen für die Richtlinie für die erweiterte AUTHENTIFIZIERUNG ein. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
b) Aktionstyp - geben Sie den Typ der Authentifizierungsaktion ein.
c) Aktion - geben Sie den Namen der Authentifizierungsaktion ein, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
d) Aktion protokollieren - geben Sie den Namen der Nachrichtenprotokollaktion ein, die verwendet werden soll, wenn eine Anforderung dieser Richtlinie entspricht.
e) Ausdruck - Geben Sie den Namen der benannten Citrix ADC-Regel oder einen Standardsyntaxausdruck ein, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
f) Kommentare — geben Sie Kommentare ein, um Informationen zu dieser Richtlinie aufzubewahren.
-
Klicken Sie auf Erstellen.
Einen LDAP-Authentifizierungsserver hinzufügen
-
Navigieren Sie zu Sicherheit -> Citrix ADC AAA — Anwendungsverkehr -> Richtlinien -> Authentifizierung -> Grundlegende Richtlinien -> LDAP.
-
Fügen Sie einen LDAP-Server hinzu, indem Sie die Registerkarte Server auswählen und die Schaltfläche Hinzufügen auswählen.
Hinzufügen einer LDAP-Authentifizierungsrichtlinie
-
Gehen Sie zu Sicherheit > Citrix ADC AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.
-
Klicken Sie auf Hinzufügen, um eine Authentifizierungsrichtlinie hinzuzufügen.
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
a) Name — Name für die erweiterte AUTHENTIFIZIERUNGS-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
b) Aktionstyp - Typ der Authentifizierungsaktion.
c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
d) Aktion protokollieren - Name der zu verwendenden Nachrichtenprotokollaktion, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.
e) Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
f) Kommentare - Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.
-
Klicken Sie auf Erstellen.
Einen RADIUS-Authentifizierungsserver hinzufügen
-
Navigieren Sie zu Sicherheit > Citrix ADC AAA — Anwendungsverkehr > Richtlinien Authentifizierung > Grundlegende Richtlinien > RADIUS.
-
Um einen Server hinzuzufügen, wählen Sie die Registerkarte Server und wählen Sie die Schaltfläche Hinzufügen.
-
Geben Sie Folgendes ein, um einen Authentifizierungs-RADIUS-Server zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
-
Geben Sie einen Namen für die RADIUS-Aktion ein.
-
Geben Sie den Servernamen oder die Server-IP-Adresse ein, die dem RADIUS-Server zugewiesen sind.
-
Geben Sie die Portnummer ein, auf der der RADIUS-Server auf Verbindungen lauscht.
-
Geben Sie den Timeout-Wert in wenigen Sekunden ein. Die Citrix ADC Appliance wartet auf eine Antwort vom RADIUS-Server, bis der konfigurierte Timeout-Wert abläuft.
-
Geben Sie den geheimen Schlüssel ein, der zwischen dem RADIUS-Server und der Citrix ADC Appliance gemeinsam genutzt wird. Der geheime Schlüssel ist erforderlich, damit die Citrix ADC Appliance mit dem RADIUS-Server kommunizieren kann.
-
Bestätige den geheimen Schlüssel.
-
-
Klicken Sie auf Erstellen.
Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
-
Navigieren Sie zu Sicherheit > Citrix ADC AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.
-
Klicke auf Hinzufügen, um eine Authentifizierungsrichtlinie zu erstellen.
-
Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.
- Name — Name für die erweiterte AUTHENTIFIZIERUNGS-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die AUTHENTICATION Richtlinie erstellt wurde.
Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).
-
Aktionstyp — Typ der Authentifizierungsaktion.
-
Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.
-
Aktion protokollieren — Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anfrage dieser Richtlinie entspricht.
-
Ausdruck - Name der benannten Citrix ADC-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.
-
Kommentare — Alle Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.
-
Klicken Sie auf OK. Die von Ihnen erstellte Authentifizierungsrichtlinie ist in der Liste der Richtlinien aufgeführt.
Erstellen eines Authentifizierungs-Login-Schemas
-
Navigieren Sie zu Sicherheit > Citrix ADC AAA — Anwendungsverkehr > Anmeldeschema.
-
Wählen Sie die Registerkarte Profile und klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um ein Authentifizierungs-Login-Schema zu erstellen
-
Name eingeben — Name für das neue Anmeldeschema.
-
Enter Authentication Schema - Name der Datei zum Lesen des Authentifizierungsschemas, das für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei muss die XML-Definition der Elemente gemäß dem Citrix Forms Authentication Protocol enthalten, um ein Anmeldeformular rendern zu können. Wenn ein Administrator Benutzer nicht zur Eingabe weiterer Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kann
noschema
”” als Argument angegeben werden. Dies gilt nur für LoginSchemas, die mit benutzerdefinierten Faktoren verwendet werden, und nicht für den Faktor des virtuellen Servers -
Benutzerausdruck eingeben - Ausdruck für die Extraktion des Benutzernamens während der Anmeldung
-
Enter Password Expression - Ausdruck für Kennwortextraktion während der Anmeldung
-
Geben Sie den Benutzeranmeldeinformationsindex ein - Ein Index, bei dem der vom Benutzer eingegebene Benutzername in der Sitzung gespeichert wird.
-
Enter Password Credential Index - Ein Index, bei dem das vom Benutzer eingegebene Kennwort in der Sitzung gespeichert werden muss.
-
Geben Sie die Authentifizierungsstärke ein - Gewicht der aktuellen Authentifizierung.
-
-
Klicken Sie auf Erstellen. Das Anmeldeschemaprofil, das Sie erstellt haben, muss in der Profilliste des Anmeldeschemas erscheinen.
Erstellen einer Policy Label
Ein Policy Label gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Das Policy Label gibt das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Das Policy Label muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein. In der Regel enthält ein Policy Label Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Policy Label haben, das Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen enthält.
-
Navigieren Sie zu Sicherheit > Citrix ADC AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinienbezeichnung.
-
Klicken Sie auf die Schaltfläche Hinzufügen.
-
Füllen Sie die folgenden Felder aus, um ein Authentifizierungsrichtlinienlabel zu erstellen:
-
Geben Sie den Namen für die neue Bezeichnung der Authentifizierungsrichtlinie ein.
-
Geben Sie das mit der Bezeichnung der Authentifizierungsrichtlinie verknüpfte Login-Sch ein.
-
Klicken Sie auf Weiter.
-
- Wählen Sie eine Richtlinie aus dem Dropdownmenü aus.
-
Wählen Sie die gewünschte Authentifizierungsrichtlinie und klicken Sie auf die Schaltfläche Auswählen.
-
Füllen Sie die folgenden Felder aus:
-
Geben Sie die Priorität der Policy-Bindung ein.
-
Geben Sie den Gehe zu Ausdruck ein — der Ausdruck gibt die Priorität der nächsten Richtlinie an, die ausgewertet wird, wenn die aktuelle Richtlinienregel mit TRUE ausgewertet wird.
-
-
Wählen Sie die gewünschte Authentifizierungsrichtlinie aus und klicken Sie auf die Schaltfläche Auswählen.
-
Klicken Sie auf die Schaltfläche Binden.
-
Klicken Sie auf Fertig.
- Überprüfen Sie das Label der Authentifizierungsrichtlinie
Re-Captcha-Konfiguration für die nFactor-Authentifizierung
Ab Citrix ADC Release 12.1 Build 50.x unterstützt Citrix Gateway eine neue erstklassige Aktion ‘CaptchaAction’, die die Captcha-Konfiguration vereinfacht. Da Captcha eine erstklassige Aktion ist, kann es ein eigener Faktor sein. Sie können Captcha an beliebiger Stelle im nFactor-Flow injizieren.
Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWebUI schreiben. Mit der Einführung von CaptchaAction müssen Sie das JavaScript nicht ändern.
Wichtig!
Wenn Captcha zusammen mit Benutzernamen- oder Kennwortfeldern im Schema verwendet wird, ist die Schaltfläche Senden deaktiviert, bis Captcha erreicht ist.
Captcha-Konfiguration
Die Captcha-Konfiguration umfasst zwei Teile.
- Konfiguration bei Google für die Registrierung von Captcha.
- Konfiguration auf der Citrix ADC Appliance zur Verwendung von Captcha als Teil des Anmeldeflusses.
Captcha-Konfiguration bei Google
Registrieren Sie eine Domain für Captcha unter https://www.google.com/recaptcha/admin#list
.
-
Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.
Hinweis
Verwenden Sie nur
reCAPTCHA
v2. UnsichtbaresreCAPTCHA
ist immer noch in der Vorschau. -
Nachdem eine Domain registriert wurde, werden der “SiteKey” und “SecretKey” angezeigt.
Hinweis
Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.
Captcha-Konfiguration auf der Citrix ADC Appliance
Die Captcha-Konfiguration auf der Citrix ADC Appliance kann in drei Teile unterteilt werden:
- Captcha-Bildschirm anzeigen
- Posten Sie die Captcha-Antwort auf dem Google-Server
- Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)
Captcha-Bildschirm anzeigen
Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Anmeldeschema SingleAuthCaptcha.xml ist im Verzeichnis /nsconfig/loginSchema/LoginSchema
auf der Citrix ADC-Appliance.
Wichtig!
- Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur Captcha-Faktor (ohne Benutzernamen oder Kennwort) oder doppelte Authentifizierung mit Captcha benötigen.
- Wenn benutzerdefinierte Änderungen vorgenommen werden oder die Datei umbenannt wird, empfiehlt Citrix, alle Anmeldeschemas aus dem Verzeichnis /NSConfig/loginSchema/loginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.
So konfigurieren Sie die Anzeige von Captcha mit CLI
- add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml
- add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha
- add authentication vserver auth SSL <IP> <Port>
- add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
- bind ssl vserver auth -certkey vserver-cert
- bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->
Posten Sie die Captcha-Antwort auf dem Google-Server
Nachdem Sie das Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, veröffentlichen die Administratoren die Konfiguration auf dem Google-Server, um die Captcha-Antwort vom Browser zu überprüfen.
So überprüfen Sie die Captcha-Antwort vom Browser
- add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>
- add authentication policy myrecaptcha -rule true -action myrecaptcha
- bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->
Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.
- add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup
- add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->
Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)
Die LDAP-Authentifizierung erfolgt nach Captcha, Sie fügen sie dem zweiten Faktor hinzu.
- add authentication policylabel second-factor
- bind authentication policylabel second-factor -policy ldap-new -priority 10
- bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->
Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das Citrix Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:
add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`
<!--NeedCopy-->
nssp.aaatm.com — Löst zum virtuellen Authentifizierungsserver auf.
Benutzervalidierung von Captcha
Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, sehen Sie sich die vorherigen Bildschirmaufnahmen der Benutzeroberfläche an.
-
Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. DieAnmeldung ist deaktiviert, bis Captcha abgeschlossen ist.
-
Wählen Sie “Ich bin kein Roboter” aus. Das Captcha-Widget wird angezeigt.
- Sie werden durch eine Reihe von Captcha-Bildern navigiert, bevor die Fertigstellungsseite angezeigt wird.
-
Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter und klicken Sie auf Anmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.
Hinweis:
- Wenn Captcha mit AD-Authentifizierung verwendet wird, ist die Schaltfläche Senden für Anmeldeinformationen deaktiviert, bis Captcha abgeschlossen ist.
- Das Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD in
nextfactor
von Captcha erfolgen.
Erstellen Sie einen virtuellen Gateway-Server für die nFactor-Authentifizierung in der Citrix ADC Standard-Lizenz
- Navigieren Sie zu Citrix Gateway> Virtuelle Server.
-
Klicken Sie auf der Seite Citrix Gateway Virtual Servers auf Hinzufügen.
- Geben Sie auf der Seite VPN Virtual Server die folgenden Details ein, klicken Sie auf OKund dann auf Weiter.
- Name — Name des virtuellen Citrix Gateway-Servers
- Protokoll - Wählen Sie SSL
- IP-Adresse — IP-Adresse des virtuellen Citrix Gateway-Servers
- Port - Geben Sie 443 ein
-
Klicken Sie auf der Seite VPN Virtual Server auf das Plus-Symbol neben Authentifizierungsprofil.
-
Klicken Sie auf Hinzufügen, um das Authentifizierungsprofil zu
-
Geben Sie einen Namen für das Authentifizierungsprofil ein und klicken Sie auf Hinzufügen.
- Geben Sie auf der Seite VPN Virtual Server die folgenden Details ein, klicken Sie auf OK und dann auf Weiter.
- Name — Name des virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsservers
- Protokoll - Wählen Sie Nicht adressierbaraus. Nur ein nicht adressierbarer virtueller Authentifizierungs-, Autorisierungs- und Überwachungsserver kann in der Citrix ADC Standard-Lizenz an einen virtuellen Gateway-/VPN-Server gebunden werden.
Hinweis:
- In der Citrix ADC Standard-Lizenz entsprechen die Schritte zum Erstellen einer Richtlinie mit der Premium-Lizenz für unterstützte Richtlinientypen.
- Die Citrix ADC Standard-Lizenz unterstützt kein Hinzufügen neuer Anmeldeschemas in der nFactor-Konfiguration.
Referenzen
Ein Beispiel für eine Ende-zu-Ende-nFactor-Konfiguration finden Sie unter Konfigurieren der nFactor-Authentifizierung.
In diesem Artikel
- Lizenzanforderungen für Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen
- Anwendungsfälle
- Behandlung der Antwort auf Authentifizierung
- Client-Support
- Konfiguration der Befehlszeile
- Interop-Herausforderungen
- Endpunktanalyse (EPA)
- Überlegungen zur Fehlkonfiguration
- Definieren von Citrix Clients
- Einschränkung von nFactor für Gateway
- LoginSchema
- LoginSchema und nFactor Wissen erforderlich
- Konfigurieren der Dual-Faktor-Authentifizierung ohne LoginSchema
- Benutzername und Kennwortausdrücke
- Schritte auf hoher Ebene in der nFactor-Konfiguration
- GUI-Konfiguration
- Erstellen Sie einen virtuellen Server
- Erstellen Sie einen virtuellen Authentifizierungsserver
- Erstellen eines CERT-Authentifizierungsprofils
- Erstellen einer Authentifizierungsrichtlinie
- Einen LDAP-Authentifizierungsserver hinzufügen
- Hinzufügen einer LDAP-Authentifizierungsrichtlinie
- Einen RADIUS-Authentifizierungsserver hinzufügen
- Hinzufügen einer RADIUS-Authentifizierungsrichtlinie
- Erstellen eines Authentifizierungs-Login-Schemas
- Erstellen einer Policy Label
- Re-Captcha-Konfiguration für die nFactor-Authentifizierung
- Erstellen Sie einen virtuellen Gateway-Server für die nFactor-Authentifizierung in der Citrix ADC Standard-Lizenz
- Referenzen