Gateway

nFactor für Gateway Authentifizierung

Die nFactor-Authentifizierung ermöglicht eine ganze Reihe neuer Möglichkeiten für die Authentifizierung. Administratoren, die nFactor verwenden, profitieren von Authentifizierungs-, Autorisierungs- und Audit-Flexibilität bei der Konfiguration von Authentifizierungsfaktoren für virtuelle Server.

Zwei Richtlinienbanken oder zwei Faktoren schränken einen Administrator nicht mehr ein. Die Anzahl der Richtlinienbanken kann auf unterschiedliche Bedürfnisse ausgeweitet werden. Basierend auf früheren Faktoren bestimmt nFactor eine Authentifizierungsmethode. Dynamische Anmeldeformulare und Aktionen bei einem Fehler sind mithilfe von nFactor möglich.

Wichtig!

  • Ab Version 13.0 Build 67.x wird die nFactor-Authentifizierung mit der Standardlizenz nur für den virtuellen Gateway-/VPN-Server und nicht für den virtuellen Authentifizierungsserver unterstützt. In der Standardlizenz kann die nFactor-Visualizer-GUI nicht verwendet werden, um die EPA im nFactor-Flow zu erstellen. Außerdem können Sie das Anmeldeschema nicht bearbeiten, sondern müssen das sofort einsatzbereite Anmeldeschema unverändert verwenden.
  • Damit NetScaler die nFactor-Authentifizierung unterstützt, ist eine Advanced-Lizenz oder eine Premium-Lizenz erforderlich. Weitere Informationen zur nFactor-Authentifizierung mit NetScaler finden Sie unter nFactor-Authentifizierung.

Lizenzanforderungen für Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen

In der folgenden Tabelle sind die Lizenzanforderungen für die verfügbaren Authentifizierungs-, Autorisierungs- und Überwachungsfunktionen aufgeführt.

Standardlizenz Advanced Lizenz Premium Lizenz
  LOKALE Authentifizierung Ja Ja Ja
  LDAP-Authentifizierung Ja Ja Ja
  RADIUS-Authentifizierung Ja Ja Ja
  TACACS-Authentifizierung Ja Ja Ja
  Web-Authentifizierung Ja Ja Ja
  Clientzertifikat-Authentifizierung Ja Ja Ja
  Authentifizierung aushandeln Ja Ja Ja
  SAML-Authentifizierung Ja Ja Ja
  OAuth-Authentifizierung Nein Ja Ja
  Natives OTP Nein Ja Ja
  E-Mail OTP Nein Ja Ja
  Pushbenachrichtigung für OTP Nein Nein Ja
  Wissensbasierte Frage und Antwort (KBA-Authentifizierung) Nein Ja Ja
  Self-Service-Kennwort-Reset (SSPR) Nein Ja Ja
  nFactor Visualizer Ja Ja Ja

Hinweis

  • Schritte zum Konfigurieren von nFactor für die NetScaler Standardlizenz finden Sie im Abschnitt Erstellen eines virtuellen Gateway-Servers für die nFactor-Authentifizierung in der NetScaler Standard-Lizenz.
  • Nur ein nicht adressierbarer virtueller Authentifizierungs-, Autorisierungs- und Überwachungsserver kann in der NetScaler Standard-Lizenz an einen virtuellen Gateway-/VPN-Server gebunden werden.
  • Die Anpassung von LoginSchema ist in der NetScaler Standard-Lizenz nicht zulässig. Die nFactor-Unterstützung ist einfach und bietet nur standardmäßige und bereits hinzugefügte Anmeldeschemas, die mit der Appliance geliefert werden. Der Administrator kann sie in seinen Konfigurationen verwenden, aber er kann kein Anmeldeschema hinzufügen. Daher ist die GUI-Option deaktiviert.

Anwendungsfälle

nFactor-Authentifizierung ermöglicht dynamische Authentifizierungsflüsse basierend auf dem Benutzerprofil. Manchmal können die Abläufe für den Benutzer einfach und intuitiv sein. In anderen Fällen können sie mit der Sicherung von Active Directory oder anderen Authentifizierungsservern gekoppelt werden. Im Folgenden sind einige Gateway-spezifische Anforderungen aufgeführt:

  1. Dynamische Auswahl von Benutzernamen und Kennwort. Traditionell verwenden die Clients (einschließlich Browser und Receiver) das Active Directory-Kennwort (AD) als erstes Kennwortfeld. Das zweite Kennwort ist für das Einmalkennwort (OTP) reserviert. Um AD-Server zu sichern, muss OTP jedoch zuerst validiert werden. nFactor kann dies tun, ohne dass Clientänderungen erforderlich sind.

  2. Endpunkt für mehrinstanzenfähige Authentifizierung. Einige Organisationen verwenden unterschiedliche Gateway-Server für Benutzer von Zertifikaten und Nicht-Zertifikaten. Wenn Benutzer ihre eigenen Geräte zum Anmelden verwenden, variieren die Zugriffsebenen des Benutzers auf der NetScaler Appliance je nach verwendetem Gerät. Das Gateway kann unterschiedliche Authentifizierungsanforderungen erfüllen.

  3. Authentifizierung auf der Grundlage der Gruppenmitgliedschaft. Einige Organisationen beziehen Benutzereigenschaften von AD-Servern, um Authentifizierungsanforderungen zu ermitteln. Die Authentifizierungsanforderungen können für einzelne Benutzer variiert werden.

  4. Kofaktoren für die Authentifizierung. Manchmal werden verschiedene Paare von Authentifizierungsrichtlinien verwendet, um verschiedene Benutzersätze zu authentifizieren. Die Bereitstellung von Paarrichtlinien erhöht die effektive Authentifizierung Abhängige Richtlinien können aus einem Fluss erstellt werden. Auf diese Weise werden unabhängige Richtlinien zu eigenen Abläufen, die die Effizienz erhöhen und die Komplexität verringern.

Behandlung der Antwort auf Authentifizierung

Die NetScaler Gateway Callback-Register verarbeiten Authentifizierungsantworten. AAAD-Antworten (Authentication Daemon) und Erfolgs-/Fehler-/Dialogcodes werden an das Rückruf-Handle eingespeist. Die Erfolg/Misserfolg/Fehler-/Dialogcodes weisen Gateway an, die entsprechenden Maßnahmen zu ergreifen.

Client-Support

In der folgenden Tabelle werden die Konfigurationsdetails beschrieben.

Client nFactor Unterstützung Bindepunkt für Authentifizierungsrichtlinien EPA
Browser Ja Authentifizierung Ja
Citrix Workspace-App Ja VPN Ja
Gateway Plug-In Ja VPN Ja

Hinweis:

  • Die Citrix Workspace-App unterstützt die nFactor-Authentifizierung für die unterstützten Betriebssysteme aus den folgenden aufgelisteten Versionen.
    • Windows 4.12
    • Linux 13.10
    • Mac 1808
    • iOS 2007
    • Android 1808
    • HTML5: Unterstützt durch Store Web
    • Chrome: Unterstützt durch Store Web

Konfiguration der Befehlszeile

Der virtuelle Gateway-Server benötigt einen virtuellen Authentifizierungsserver, der als Attribut benannt ist. Der Name des virtuellen Servers als Attribut ist die einzige Konfiguration, die für dieses Modell erforderlich ist.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

Der AuthNvsName ist der Name des virtuellen Authentifizierungsservers. Der virtuelle AuthNvsName-Server muss mit erweiterten Authentifizierungsrichtlinien konfiguriert werden und wird für die nFactor-Authentifizierung verwendet.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Wobei AuthnProfile das zuvor erstellte Authentifizierungsprofil ist.

Interop-Herausforderungen

Die meisten Legacy Gateway-Clients, zusätzlich zu den RFWeb-Clients, sind den von Gateway gesendeten Antworten nachempfunden. Beispielsweise wird für viele Clients eine 302-Antwort auf /vpn/index.html erwartet. Diese Clients sind auch auf verschiedene Gateway-Cookies wie ““pwcount, “NSC_CERT angewiesen. “

Endpunktanalyse (EPA)

EPA in nFactor wird für das NetScaler-Authentifizierungs-, Autorisierungs- und Überwachungsmodul nicht unterstützt. Daher führt der virtuelle NetScaler Gateway-Server EPA durch. Nach EPA werden die Anmeldeinformationen mithilfe der zuvor erwähnten API an den virtuellen Authentifizierungsserver gesendet. Sobald die Authentifizierung abgeschlossen ist, setzt Gateway den Nachauthentifizierungsprozess fort und richtet die Benutzersitzung ein.

Überlegungen zur Fehlkonfiguration

Der Gateway-Client sendet die Benutzeranmeldeinformationen nur einmal. Gateway erhält entweder eine oder zwei Anmeldeinformationen vom Client mit der Anmeldeanforderung. Im Legacy-Modus gibt es maximal zwei Faktoren. Die erhaltenen Kennwörter werden für diese Faktoren verwendet. Mit nFactor ist die Anzahl der konfigurierbaren Faktoren jedoch praktisch unbegrenzt. Die vom Gateway-Client erhaltenen Kennwörter werden (gemäß Konfiguration) für konfigurierte Faktoren wiederverwendet. Es muss darauf geachtet werden, dass das Einmalkennwort (OTP) nicht mehrfach wiederverwendet werden darf. Ebenso muss ein Administrator sicherstellen, dass das bei einem Faktor wiederverwendete Kennwort tatsächlich auf diesen Faktor anwendbar ist.

Clients definieren

Die Konfigurationsoption hilft NetScaler dabei, Browserclients im Vergleich zu Thick-Clients wie Receiver zu ermitteln.

Ein Mustersatz, ns_vpn_client_useragents, steht dem Administrator zur Verfügung, um Muster für alle Clients zu konfigurieren.

Binden Sie ebenfalls die Zeichenfolge „Citrix Receiver“ an die obige Zeichenfolge patset, um alle Clients zu ignorieren, die „Citrix Receiver“ im User-Agent haben.

Beschränken von nFactor für Gateway

nFactor für die Gateway-Authentifizierung tritt nicht ein, wenn die folgenden Bedingungen erfüllt sind.

  1. authnProfile ist nicht auf NetScaler Gateway eingestellt.

  2. Erweiterte Authentifizierungsrichtlinien sind nicht an den virtuellen Authentifizierungsserver gebunden, und derselbe virtuelle Authentifizierungsserver wird in authnProfile erwähnt.

  3. Die User-Agent-Zeichenfolge in der HTTP-Anforderung entspricht den in patset ns_vpn_client_useragents konfigurierten User-Agents.

Wenn diese Bedingungen nicht erfüllt sind, wird die klassische Authentifizierungsrichtlinie verwendet, die an Gateway gebunden ist.

Wenn ein User-Agent oder ein Teil davon an das zuvor erwähnte patset gebunden ist, nehmen Anfragen von diesen Benutzeragenten nicht am nFactor-Flow teil. Der folgende Befehl schränkt beispielsweise die Konfiguration für alle Browser ein (vorausgesetzt, alle Browser enthalten “Mozilla” in der User-Agent-Zeichenfolge):

bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->

LoginSchema

LoginSchema ist eine logische Darstellung des Anmeldeformulars. Die XML-Sprache definiert es. Die Syntax von loginSchema entspricht der Common Forms Protocol-Spezifikation von Citrix.

LoginSchema definiert die “Ansicht” des Produkts. Ein Administrator kann eine angepasste Beschreibung, einen Hilfstext usw. des Formulars bereitstellen. Das Anmeldeschema enthält die Beschriftungen des Formulars selbst. Ein Kunde kann die Erfolgs- oder Misserfolgsmeldung übermitteln, die das zu einem bestimmten Zeitpunkt vorgelegte Formular beschreibt.

Verwenden Sie den folgenden Befehl, um ein Anmeldeschema zu konfigurieren.

add authentication loginSchema <name> -authenticationSchema <string> [-userExpression <string>] [-passwdExpression <string>] [-userCredentialIndex <positive_integer>]
[-passwordCredentialIndex <positive_integer>] [-authenticationStrength <positive_integer>] [-SSOCredentials ( YES | NO )]
<!--NeedCopy-->

Beschreibung des Parameters

  • name - Name für das neue Anmeldeschema. Dies ist ein obligatorisches Argument. Maximale Länge: 127

  • authenticationSchema - Name der Datei zum Lesen des Authentifizierungsschemas, die für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei enthält die xml-Definition der Elemente gemäß dem Citrix Forms Authentication Protocol, um das Anmeldeformular rendern zu können. Wenn der Administrator Benutzer nicht zur Eingabe anderer Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kann noschema als Argument angegeben werden. Dies gilt nur, wenn loginSchemas mit den benutzerdefinierten Faktoren verwendet wird und nicht für den Faktor des virtuellen Servers.

Dies ist ein obligatorisches Argument. Maximale Länge: 255

  • userExpression - Ausdruck für die Extraktion von Benutzernamen während der Anmeldung. Dies kann jeder relevante erweiterte Richtlinienausdruck sein. Maximale Länge: 127

  • passwdExpression - Ausdruck für die Kennwortextraktion während der Anmeldung. Dies kann jeder relevante erweiterte Richtlinienausdruck sein. Maximale Länge: 127

  • userCredentialIndex - Der Index, bei dem der Benutzer den Benutzernamen eingegeben hat, muss in der Sitzung gespeichert werden. Mindestwert: 1, Maximalwert: 16

  • PasswordCredentialIndex - Der Index, bei dem der Benutzer das Kennwort eingegeben hat, muss in der Sitzung gespeichert werden. Mindestwert: 1, Maximalwert: 16

  • authenticationStrength - Gewicht der aktuellen Authentifizierung Mindestwert: 0, Maximalwert: 65535

  • SSOCredentials - Diese Option gibt an, ob die Anmeldeinformationen für den aktuellen Faktor die Standardanmeldeinformationen für SSO (SingleSignon) sind. Mögliche Werte: YES, NO. Standardwert: NO

LoginSchema und nFactor Wissen erforderlich

Vorgefertigte LoginSchema-Dateien sind im folgenden NetScaler-Speicherort /NSConfig/loginSchema/loginSchema/. Diese vorgefertigten LoginSchema-Dateien dienen gängigen Anwendungsfällen und können bei Bedarf für geringfügige Abweichungen modifiziert werden.

Außerdem benötigen die meisten Ein-Faktor-Anwendungsfälle mit wenigen Anpassungen die Konfiguration des Anmeldeschemas nicht.

Dem Administrator wird empfohlen, in der Dokumentation nach anderen Konfigurationsoptionen zu suchen, mit denen NetScaler die Faktoren ermitteln kann. Sobald der Benutzer die Anmeldeinformationen übermittelt hat, kann der Administrator mehr als einen Faktor konfigurieren, um die Authentifizierungsfaktoren flexibel auszuwählen und zu verarbeiten.

Konfigurieren der Dual-Faktor-Authentifizierung ohne LoginSchema

NetScaler bestimmt automatisch die Dual-Faktor-Anforderungen basierend auf der Konfiguration. Sobald der Benutzer diese Anmeldeinformationen vorlegt, kann der Administrator den ersten Satz von Richtlinien auf dem virtuellen Server konfigurieren. Für jede Richtlinie kann ein “NextFactor” als “Passthrough” konfiguriert sein. Ein “Passthrough” bedeutet, dass der NetScaler die Anmeldung mit dem vorhandenen Berechtigungssatz verarbeiten muss, ohne an den Benutzer zu gehen. Durch die Verwendung von “Passthrough” -Faktoren kann ein Administrator den Authentifizierungsablauf programmatisch steuern. Administratoren wird empfohlen, die nFactor-Spezifikation oder die Bereitstellungshandbücher für weitere Details zu lesen. Siehe Multi-Factor (nFactor) -Authentifizierung.

Benutzername und Kennwortausdrücke

Um die Anmeldeinformationen zu verarbeiten, muss der Administrator das LoginSchema konfigurieren. Ein-Faktor- oder Dual-Faktor-Anwendungsfälle mit wenigen LoginSchema-Anpassungen benötigen keine angegebene XML-Definition. Das LoginSchema hat andere Eigenschaften wie UserExpression und PasswdExpression, die verwendet werden können, um den Benutzernamen oder das Kennwort zu ändern, das der Benutzer angibt.

Anmeldeschemas sind erweiterte Richtlinienausdrücke und können auch verwendet werden, um die Benutzereingaben zu überschreiben. Dies kann erreicht werden, indem eine Zeichenfolge für Parameter in -authenticationSchema angehängt wird, wie im folgenden Beispiel gezeigt.

Im Folgenden finden Sie Beispiele zum Ändern von Benutzereingaben für den Benutzernamen bzw. für das Kennwort.

  • Ändern Sie die Benutzereingabe für den Benutzernamen von username@citrix.com auf username@xyz.com

     add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -userExpression "AAA.LOGIN.USERNAME.BEFORE_STR("@").APPEND("@xyz.com")"
     <!--NeedCopy-->
    
  • Stellen Sie sich ein Szenario vor, in dem der Benutzer im ersten Faktor ein Kennwort und einen Passcode als Teil des konfigurierten Anmeldeschemas angibt. Um den vom Benutzer im ersten Faktor bereitgestellten Passcode und das Kennwort im zweiten Faktor zu verwenden, können Sie das vorhandene Anmeldeschema mithilfe der folgenden Befehle ändern.

     add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -passwdExpression "AAA.LOGIN.PASSWORD2"
     <!--NeedCopy-->
    
     add authentication loginSchema user_schema_second -authenticationSchema noschema  -passwdExpression "AAA.LOGIN.PASSWORD"
     <!--NeedCopy-->
    

Schritte auf hoher Ebene in der nFactor-Konfiguration

Das folgende Diagramm veranschaulicht die Schritte auf hoher Ebene, die bei der Konfiguration von nFactor erforderlich sind.

Workflow

GUI-Konfiguration

Die folgenden Themen werden in diesem Abschnitt beschrieben:

  • Erstellen Sie einen virtuellen Server

  • Erstellen eines virtuellen Authentifizierungsservers

  • Erstellen eines Authentifizierungs-CERT-Profils

  • Erstellen einer Authentifizierungsrichtlinie

  • Einen LDAP-Authentifizierungsserver hinzufügen

  • Hinzufügen einer LDAP-Authentifizierungsrichtlinie

  • Einen RADIUS-Authentifizierungsserver hinzufügen

  • Hinzufügen einer RADIUS-Authentifizierungsrichtlinie

  • Erstellen eines Authentifizierungs-Login-Schemas

  • Erstellen eines Richtlinienlabels

Erstellen Sie einen virtuellen Server

  1. Navigieren Sie zu NetScaler Gateway > Virtuelle Server.

  2. Klicken Sie auf die Schaltfläche Hinzufügen, um einen virtuellen Gateway-Server zu erstellen.

  3. Geben Sie die folgenden Informationen ein und klicken Sie auf OK.

    Parametername Beschreibung des Parameters
    Geben Sie den Namen des virtuellen Servers ein. Name für den virtuellen NetScaler Gateway-Server. Muss mit einem ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) enthalten. Kann geändert werden, nachdem der virtuelle Server erstellt wurde. Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “mein Server” oder “mein Server”).
    Geben Sie den IP-Adresstyp für den virtuellen Server ein Wählen Sie im Dropdownmenü eine Option für IP-Adresse oder nicht adressierbar aus.
    Geben Sie die IP-Adresse des virtuellen Servers ein. Eine Internetprotokolladresse (IP-Adresse) ist ein numerisches Etikett, das jedem am Computernetzwerk teilnehmenden Gerät zugewiesen wird, das das Internetprotokoll für die Kommunikation verwendet.
    Geben Sie die Portnummer für den virtuellen Server ein. Geben Sie die Portnummer ein.
    Gib das Authentifizierungsprofil ein. Authentifizierungsprofilentität auf dem virtuellen Server. Diese Entität kann verwendet werden, um die Authentifizierung auf den virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsserver für die Multi-Faktor (nFactor) -Authentifizierung
    Geben Sie das RDP-Serverprofil ein. Name des RDP-Serverprofils, das dem virtuellen Server zugeordnet ist.
    Geben Sie die maximale Benutzerzahl ein. Maximale Anzahl gleichzeitiger Benutzersitzungen, die auf diesem virtuellen Server zulässig sind. Die tatsächliche Anzahl der Benutzer, die sich an diesem virtuellen Server anmelden dürfen, hängt von der Gesamtzahl der Benutzerlizenzen ab.
    Geben Sie die maximalen Anmeldeversuche ein. Maximale Anzahl von Anmeldeversuchen.
    Geben Sie das Zeitlimit für fehlgeschlagene Anmeldung ein Anzahl der Minuten, die ein Konto gesperrt ist, wenn der Benutzer die maximal zulässigen Versuche überschreitet.
    Rufen Sie das Windows EPA-Plug-In-Upgrade auf. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Win.
    Rufen Sie das Linux EPA-Plug-In-Upgrade auf. Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Linux.
    Rufen Sie das MAC EPA-Plug-In-Upgrade auf Option zum Festlegen des Plug-In-Upgrade-Verhaltens für Mac.
    Einmal anmelden Diese Option aktiviert/deaktiviert Seamless SSO für diesen virtuellen Server.
    Nur ICA Bei Einstellung auf ON bedeutet dies den Basismodus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser anmelden und Zugriff auf die veröffentlichten Apps erhalten kann, die in der Citrix Virtual Apps and Desktops-Umgebung konfiguriert wurden, auf die der Parameter Wihome hinweist. Benutzer dürfen keine Verbindung mit dem Citrix Secure Access-Client herstellen, und Endpunktscans können nicht konfiguriert werden. Die Anzahl der Benutzer, die sich anmelden und auf die Apps zugreifen können, ist in diesem Modus nicht durch die Lizenz begrenzt. - Wenn diese Option auf OFF gesetzt ist, bedeutet dies den SmartAccess-Modus, in dem sich der Benutzer entweder mit der Citrix Workspace-App oder einem Browser oder einem Citrix Secure Access-Client anmelden kann. Der Administrator kann Endpunkt-Scans so konfigurieren, dass sie auf den Client-Systemen ausgeführt werden, und dann die Ergebnisse verwenden, um den Zugriff auf die veröffentlichten Apps zu steuern. In diesem Modus kann der Client in anderen Clientmodi, nämlich VPN und clientloses VPN, eine Verbindung zum Gateway herstellen. Die Anzahl der Benutzer, die sich anmelden und auf die Ressourcen zugreifen können, ist durch die CCU-Lizenzen in diesem Modus begrenzt.
    Authentifizierung aktivieren Erfordert Authentifizierung für Benutzer, die sich mit NetScaler Gateway verbinden.
    Doppel Hop Verwenden Sie das NetScaler Gateway-Gerät in einer Double-Hop-Konfiguration. Eine Double-Hop-Bereitstellung bietet eine zusätzliche Sicherheitsebene für das interne Netzwerk, indem drei Firewalls verwendet werden, um die DMZ in zwei Stufen zu unterteilen. Eine solche Bereitstellung kann eine Appliance in der DMZ und eine Appliance im sicheren Netzwerk haben.
    State Flush nach unten Schließen Sie bestehende Verbindungen, wenn der virtuelle Server als DOWN markiert ist, was bedeutet, dass der Server möglicherweise eine Zeitüberschreitung hat. Das Trennen vorhandener Verbindungen befreit Ressourcen und beschleunigt in bestimmten Fällen die Wiederherstellung überlasteter Lastausgleichseinrichtungen. Aktivieren Sie diese Einstellung auf Servern, auf denen die Verbindungen sicher geschlossen werden können, wenn sie als DOWN markiert sind. Aktivieren Sie nicht DOWN State Flush auf Servern, die ihre Transaktionen abschließen müssen.
    DTLS Diese Option start/stoppt den Turn Service auf dem virtuellen Server
    AppFlow-Protokollierung Protokollieren Sie AppFlow-Datensätze, die standardmäßige NetFlow- oder IPFIX-Informationen enthalten, wie Zeitstempel für den Beginn und das Ende eines Flusses, Paketanzahl und Byteanzahl. Protokollieren Sie auch Datensätze, die Informationen auf Anwendungsebene enthalten, wie HTTP-Webadressen, HTTP-Anforderungsmethoden und Antwortstatuscodes, Serverreaktionszeit und Latenz.
    ICA-Proxysitzungsmigration Diese Option bestimmt, ob eine vorhandene ICA-Proxysitzung übertragen wird, wenn sich der Benutzer von einem anderen Gerät aus anmeldet.
    Status Der aktuelle Status des virtuellen Servers, wie UP, DOWN, BUSY usw.
    Gerätezertifikat aktivieren Zeigt an, ob die Gerätezertifikatsprüfung als Teil von EPA ein- oder ausgeschaltet ist.

    Grundeinstellungen

  4. Wählen Sie den Abschnitt Kein Serverzertifikat auf der Seite.

  5. Klicken Sie unter Serverzertifikat auswählenauf **, um das Serverzertifikat auszuwählen.

  6. Wählen Sie das SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.

  7. Klicken Sie auf Bind.

  8. Wenn Sie eine Warnung über Keine brauchbaren Chiffren sehen, klicken Sie auf OK

  9. Klicken Sie auf Weiter.

  10. Klicken Sie im Abschnitt Authentifizierung oben rechts auf das +-Symbol.

Erstellen Sie einen virtuellen Authentifizierungsserver

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.

  2. Klicken Sie auf die Schaltfläche Hinzufügen.

  3. Füllen Sie die folgenden Grundeinstellungen aus, um den virtuellen Authentifizierungsserver zu erstellen.

    Hinweis: Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    • Geben Sie den Namen für den neuen virtuellen Authentifizierungsserver ein.

    • Geben Sie den IP-Adresstyp ein. Der IP-Adresstyp kann als nicht adressierbar konfiguriert werden.

    • Geben Sie die IP-Adresseein. Die IP-Adresse kann Null sein.

    • Geben Sie den Protokolltyp des virtuellen Authentifizierungsservers ein.

    • Geben Sie den TCP-Port ein, auf dem der virtuelle Server Verbindungen akzeptiert.

    • Geben Sie die Domäne des Authentifizierungs-Cookies ein, das vom virtuellen Authentifizierungsserver gesetzt wurde.

  4. Klicken Sie auf OK.

  5. Klicken Sie auf den Abschnitt Kein Serverzertifikat.

  6. Klicken Sie unter Serverzertifikat auswählen auf**.

  7. Wählen Sie das gewünschte SSL-Zertifikat aus und klicken Sie auf die Schaltfläche Auswählen.

    Hinweis: Der virtuelle Authentifizierungsserver benötigt kein an ihn gebundenes Zertifikat.

  8. Konfigurieren Sie die Serverzertifikatbindung

    • Aktivieren Sie das Kästchen Serverzertifikat für SNI, um einen oder mehrere Cert-Schlüssel zu binden, die für die SNI-Verarbeitung verwendet werden.

    • Klicken Sie auf die Schaltfläche Binden.

    Bind cert

Erstellen eines CERT-Authentifizierungsprofils

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Grundrichtlinien > CERT.

  2. Wählen Sie die Registerkarte Profile und dann Hinzufügen.

  3. Füllen Sie die folgenden Felder aus, um das Authentifizierungs-CERT-Profil zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    • Name — Name für das Serverprofil für die Clientzertifikat Authentifizierung (Aktion).

    • Zwei Faktoren — In diesem Fall ist die Zwei-Faktor-Authentifizierungsoption NOOP.

    • Benutzernamenfeld — geben Sie das Client-Cert-Feld ein, aus dem der Benutzername extrahiert wird. Muss entweder auf “” Betreff “” oder “” Aussteller “” festgelegt sein (beide Sätze von doppelten Anführungszeichen enthalten).

    • Gruppennamenfeld - geben Sie das Client-Cert-Feld ein, aus dem die Gruppe extrahiert wird. Muss entweder auf “” Betreff “” oder “” Aussteller “” festgelegt sein (beide Sätze von doppelten Anführungszeichen enthalten).

    • Standardauthentifizierungsgruppe - Dies ist die Standardgruppe, die ausgewählt wird, wenn die Authentifizierung zusätzlich zu den extrahierten Gruppen erfolgreich ist.

  4. Klicken Sie auf Erstellen.

Erstellen einer Authentifizierungsrichtlinie

Hinweis

Wenn Sie eine Richtlinie für den ersten Faktor mit einer Richtlinienregel mithilfe von AAA.Login konfigurieren, muss der folgende Ausdruck mit der OR-Bedingung konfiguriert werden, damit die Citrix Workspace-App die nFactor-Bereitstellung unterstützt.

|| HTTP.REQ.URL.CONTAINS("/cgi/authenticate")

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  2. Wähle den Button “ Hinzufügen

  3. Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    a) Name — geben Sie den Namen für die Richtlinie für die erweiterte AUTHENTIFIZIERUNG ein. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).

    b) Aktionstyp - geben Sie den Typ der Authentifizierungsaktion ein.

    c) Aktion - geben Sie den Namen der Authentifizierungsaktion ein, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    d) Aktion protokollieren - geben Sie den Namen der Nachrichtenprotokollaktion ein, die verwendet werden soll, wenn eine Anforderung dieser Richtlinie entspricht.

    e) Ausdruck - Geben Sie den Namen der benannten NetScaler-Regel oder einen Standardsyntaxausdruck ein, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

    f) Kommentare — geben Sie Kommentare ein, um Informationen zu dieser Richtlinie aufzubewahren.

  4. Klicken Sie auf Erstellen.

Einen LDAP-Authentifizierungsserver hinzufügen

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Basisrichtlinien > LDAP.

  2. Fügen Sie einen LDAP-Server hinzu, indem Sie die Registerkarte Server auswählen und die Schaltfläche Hinzufügen auswählen.

Hinzufügen einer LDAP-Authentifizierungsrichtlinie

  1. Gehen Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  2. Klicken Sie auf Hinzufügen, um eine Authentifizierungsrichtlinie hinzuzufügen.

  3. Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    a) Name — Name für die erweiterte AUTHENTIFIZIERUNGS-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die Authentifizierungsrichtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).

    b) Aktionstyp - Typ der Authentifizierungsaktion.

    c) Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    d) Aktion protokollieren - Name der zu verwendenden Nachrichtenprotokollaktion, wenn eine Anforderung mit dieser Richtlinie übereinstimmt.

    e) Ausdruck - Name der benannten NetScaler-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

    f) Kommentare - Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.

  4. Klicken Sie auf Erstellen.

Einen RADIUS-Authentifizierungsserver hinzufügen

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinienauthentifizierung > Basisrichtlinien > RADIUS.

  2. Um einen Server hinzuzufügen, wählen Sie die Registerkarte Server und wählen Sie die Schaltfläche Hinzufügen.

  3. Geben Sie Folgendes ein, um einen Authentifizierungs-RADIUS-Server zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    1. Geben Sie einen Namen für die RADIUS-Aktion ein.

    2. Geben Sie den Servernamen oder die Server-IP-Adresse ein, die dem RADIUS-Server zugewiesen sind.

    3. Geben Sie die Portnummer ein, auf der der RADIUS-Server auf Verbindungen lauscht.

    4. Geben Sie den Timeout-Wert in wenigen Sekunden ein. Die NetScaler Appliance wartet auf eine Antwort vom RADIUS-Server, bis der konfigurierte Timeout-Wert abläuft.

    5. Geben Sie den geheimen Schlüssel ein, der zwischen dem RADIUS-Server und der NetScaler Appliance gemeinsam genutzt wird. Der geheime Schlüssel ist erforderlich, damit die NetScaler Appliance mit dem RADIUS-Server kommunizieren kann.

    6. Bestätige den geheimen Schlüssel.

  4. Klicken Sie auf Erstellen.

Hinzufügen einer RADIUS-Authentifizierungsrichtlinie

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsdatenverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Richtlinie.

  2. Klicke auf Hinzufügen, um eine Authentifizierungsrichtlinie zu erstellen.

  3. Füllen Sie die folgenden Informationen aus, um eine Authentifizierungsrichtlinie zu erstellen. Das * -Zeichen rechts neben dem Einstellungsnamen weist auf Pflichtfelder hin.

    1. Name — Name für die erweiterte AUTHENTIFIZIERUNGS-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestriche (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), gleich (=), Doppelpunkt (:) und Unterstriche enthalten. Kann nicht geändert werden, nachdem die AUTHENTICATION Richtlinie erstellt wurde.

    Die folgende Anforderung gilt nur für die NetScaler CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “meine Authentifizierungsrichtlinie” oder “meine Authentifizierungsrichtlinie”).

    1. Aktionstyp — Typ der Authentifizierungsaktion.

    2. Aktion - Name der Authentifizierungsaktion, die ausgeführt werden soll, wenn die Richtlinie übereinstimmt.

    3. Aktion protokollieren — Name der Nachrichtenprotokollaktion, die verwendet werden soll, wenn eine Anfrage dieser Richtlinie entspricht.

    4. Ausdruck - Name der benannten NetScaler-Regel oder eines Standardsyntaxausdrucks, mit dem die Richtlinie bestimmt, ob versucht wird, den Benutzer beim AUTHENTICATION-Server zu authentifizieren.

    5. Kommentare — Alle Kommentare zur Aufbewahrung von Informationen zu dieser Richtlinie.

  4. Klicken Sie auf OK. Die von Ihnen erstellte Authentifizierungsrichtlinie ist in der Liste der Richtlinien aufgeführt.

    Erstellen Sie Richtlinie1

Erstellen eines Authentifizierungs-Login-Schemas

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Anmeldeschema.

  2. Wählen Sie die Registerkarte Profile und klicken Sie auf die Schaltfläche Hinzufügen.

  3. Füllen Sie die folgenden Felder aus, um ein Authentifizierungs-Login-Schema zu erstellen

    1. Name eingeben — Name für das neue Anmeldeschema.

    2. Enter Authentication Schema - Name der Datei zum Lesen des Authentifizierungsschemas, das für die Benutzeroberfläche der Anmeldeseite gesendet werden soll. Diese Datei muss die XML-Definition der Elemente gemäß dem Citrix Forms Authentication Protocol enthalten, um ein Anmeldeformular rendern zu können. Wenn ein Administrator Benutzer nicht zur Eingabe weiterer Anmeldeinformationen auffordern möchte, sondern mit zuvor erhaltenen Anmeldeinformationen fortfahren möchte, kannnoschema”” als Argument angegeben werden. Dies gilt nur für LoginSchemas, die mit benutzerdefinierten Faktoren verwendet werden, und nicht für den Faktor des virtuellen Servers

    3. Benutzerausdruck eingeben - Ausdruck für die Extraktion des Benutzernamens während der Anmeldung

    4. Enter Password Expression - Ausdruck für Kennwortextraktion während der Anmeldung

    5. Geben Sie den Benutzeranmeldeinformationsindex ein - Ein Index, bei dem der vom Benutzer eingegebene Benutzername in der Sitzung gespeichert wird.

    6. Enter Password Credential Index - Ein Index, bei dem das vom Benutzer eingegebene Kennwort in der Sitzung gespeichert werden muss.

    7. Geben Sie die Authentifizierungsstärke ein - Gewicht der aktuellen Authentifizierung.

  4. Klicken Sie auf Erstellen. Das Anmeldeschemaprofil, das Sie erstellt haben, muss in der Profilliste des Anmeldeschemas erscheinen.

    Erstellen eines Anmeldeschemas

Erstellen einer Policy Label

Ein Policy Label gibt die Authentifizierungsrichtlinien für einen bestimmten Faktor an. Jedes Policy Label entspricht einem einzelnen Faktor. Das Policy Label gibt das Anmeldeformular an, das dem Benutzer vorgelegt werden muss. Das Policy Label muss als nächster Faktor einer Authentifizierungsrichtlinie oder einer anderen Authentifizierungsrichtlinienbezeichnung gebunden sein. In der Regel enthält ein Policy Label Authentifizierungsrichtlinien für einen bestimmten Authentifizierungsmechanismus. Sie können jedoch auch ein Policy Label haben, das Authentifizierungsrichtlinien für verschiedene Authentifizierungsmechanismen enthält.

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Policy-Label.

  2. Klicken Sie auf die Schaltfläche Hinzufügen.

  3. Füllen Sie die folgenden Felder aus, um ein Authentifizierungsrichtlinienlabel zu erstellen:

    1. Geben Sie den Namen für die neue Bezeichnung der Authentifizierungsrichtlinie ein.

    2. Geben Sie das mit der Bezeichnung der Authentifizierungsrichtlinie verknüpfte Login-Sch ein.

    3. Klicken Sie auf Weiter.

  4. Wählen Sie eine Richtlinie aus dem Dropdownmenü aus.
  5. Wählen Sie die gewünschte Authentifizierungsrichtlinie und klicken Sie auf die Schaltfläche Auswählen.

  6. Füllen Sie die folgenden Felder aus:

    1. Geben Sie die Priorität der Policy-Bindung ein.

    2. Geben Sie den Gehe zu Ausdruck ein — der Ausdruck gibt die Priorität der nächsten Richtlinie an, die ausgewertet wird, wenn die aktuelle Richtlinienregel mit TRUE ausgewertet wird.

    Ausdruck hinzufügen

  7. Wählen Sie die gewünschte Authentifizierungsrichtlinie aus und klicken Sie auf die Schaltfläche Auswählen.

  8. Klicken Sie auf die Schaltfläche Binden.

  9. Klicken Sie auf Fertig.

  10. Überprüfen Sie das Label der Authentifizierungsrichtlinie

Re-Captcha-Konfiguration für die nFactor-Authentifizierung

Ab NetScaler Release 12.1 Build 50.x unterstützt NetScaler Gateway eine neue erstklassige Aktion ‘CaptchaAction’, die die Captcha-Konfiguration vereinfacht. Da Captcha eine erstklassige Aktion ist, kann es ein eigener Faktor sein. Sie können Captcha an beliebiger Stelle im nFactor-Flow injizieren.

Zuvor mussten Sie benutzerdefinierte WebAuth Richtlinien mit Änderungen an der RFWebUI schreiben. Mit der Einführung von CaptchaAction müssen Sie das JavaScript nicht ändern.

Wichtig!

Wenn Captcha zusammen mit Benutzernamen- oder Kennwortfeldern im Schema verwendet wird, ist die Schaltfläche Senden deaktiviert, bis Captcha erreicht ist.

Captcha-Konfiguration

Die Captcha-Konfiguration umfasst zwei Teile.

  1. Konfiguration bei Google für die Registrierung von Captcha.
  2. Konfiguration auf der NetScaler Appliance zur Verwendung von Captcha als Teil des Anmeldeflusses.

Captcha-Konfiguration bei Google

Registrieren Sie eine Domain für Captcha unter https://www.google.com/recaptcha/admin#list.

  1. Wenn Sie zu dieser Seite navigieren, wird der folgende Bildschirm angezeigt.

    recaptcha registration1

    Hinweis

    Verwenden Sie nur reCAPTCHA v2. Unsichtbares reCAPTCHA ist immer noch in der Vorschau.

  2. Nachdem eine Domain registriert wurde, werden der “SiteKey” und “SecretKey” angezeigt.

    recaptcha registration1

    Hinweis

    Der “SiteKey” und “SecretKey” sind aus Sicherheitsgründen ausgegraut. “SecretKey” muss sicher aufbewahrt werden.

Captcha-Konfiguration auf der NetScaler Appliance

Die Captcha-Konfiguration auf der NetScaler Appliance kann in drei Teile unterteilt werden:

  • Captcha-Bildschirm anzeigen
  • Posten Sie die Captcha-Antwort auf dem Google-Server
  • Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Captcha-Bildschirm anzeigen

Die Anpassung des Anmeldeformulars erfolgt über das Anmeldeschema SingleAuthCaptcha.xml. Diese Anpassung wird auf dem virtuellen Authentifizierungsserver angegeben und zum Rendern des Anmeldeformulars an die Benutzeroberfläche gesendet. Das integrierte Anmeldeschema, SingleAuthCaptcha.xml, ist im Verzeichnis /nsconfig/loginSchema/LoginSchema auf der NetScaler Appliance.

Wichtig!

  • Basierend auf Ihrem Anwendungsfall und verschiedenen Schemas können Sie das vorhandene Schema ändern. Zum Beispiel, wenn Sie nur Captcha-Faktor (ohne Benutzernamen oder Kennwort) oder doppelte Authentifizierung mit Captcha benötigen.
  • Wenn benutzerdefinierte Änderungen vorgenommen werden oder die Datei umbenannt wird, empfiehlt Citrix, alle Anmeldeschemas aus dem Verzeichnis /NSConfig/loginSchema/loginSchema in das übergeordnete Verzeichnis /nsconfig/loginschema zu kopieren.

So konfigurieren Sie die Anzeige von Captcha mit CLI

-  add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml

-  add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

-  add authentication vserver auth SSL <IP> <Port>

-  add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
-  bind ssl vserver auth -certkey vserver-cert
-  bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->

Posten Sie die Captcha-Antwort auf dem Google-Server

Nachdem Sie das Captcha konfiguriert haben, das den Benutzern angezeigt werden muss, veröffentlichen die Administratoren die Konfiguration auf dem Google-Server, um die Captcha-Antwort vom Browser zu überprüfen.

So überprüfen Sie die Captcha-Antwort vom Browser
-  add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>

-  add authentication policy myrecaptcha -rule true -action myrecaptcha
-  bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->

Die folgenden Befehle sind erforderlich, um zu konfigurieren, ob AD-Authentifizierung gewünscht ist. Andernfalls können Sie diesen Schritt ignorieren.

-  add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup

-  add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->

Die LDAP-Konfiguration ist der zweite Faktor für die Benutzeranmeldung (optional)

Die LDAP-Authentifizierung erfolgt nach Captcha, Sie fügen sie dem zweiten Faktor hinzu.

-  add authentication policylabel second-factor
-  bind authentication policylabel second-factor -policy ldap-new -priority 10
-  bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->

Der Administrator muss entsprechende virtuelle Server hinzufügen, je nachdem, ob der virtuelle Lastausgleichsserver oder das NetScaler Gateway-Gerät für den Zugriff verwendet wird. Der Administrator muss den folgenden Befehl konfigurieren, wenn ein virtueller Lastausgleichsserver erforderlich ist:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`
<!--NeedCopy-->

nssp.aaatm.com — Löst zum virtuellen Authentifizierungsserver auf.

Benutzervalidierung von Captcha

Nachdem Sie alle in den vorherigen Abschnitten genannten Schritte konfiguriert haben, sehen Sie sich die vorherigen Bildschirmaufnahmen der Benutzeroberfläche an.

  1. Sobald der virtuelle Authentifizierungsserver die Anmeldeseite geladen hat, wird der Anmeldebildschirm angezeigt. DieAnmeldung ist deaktiviert, bis Captcha abgeschlossen ist.

    Validieren Sie recaptcha

  2. Wählen Sie “Ich bin kein Roboter” aus. Das Captcha-Widget wird angezeigt.

    Validieren recpatcha2

  3. Sie werden durch eine Reihe von Captcha-Bildern navigiert, bevor die Fertigstellungsseite angezeigt wird.
  4. Geben Sie die AD-Anmeldeinformationen ein, aktivieren Sie das Kontrollkästchen Ich bin kein Roboter und klicken Sie auf Anmelden. Wenn die Authentifizierung erfolgreich ist, werden Sie zur gewünschten Ressource weitergeleitet.

    Validieren recpatcha2

    Hinweis:

    • Wenn Captcha mit AD-Authentifizierung verwendet wird, ist die Schaltfläche Senden für Anmeldeinformationen deaktiviert, bis Captcha abgeschlossen ist.
    • Das Captcha geschieht in einem eigenen Faktor. Daher müssen alle nachfolgenden Validierungen wie AD in nextfactor von Captcha erfolgen.

Erstellen Sie einen virtuellen Gateway-Server für die nFactor-Authentifizierung in der NetScaler Standard-Lizenz

  1. Navigieren Sie zu NetScaler Gateway > Virtuelle Server.
  2. Klicken Sie auf der Seite NetScaler Gateway Virtual Servers auf Hinzufügen.
  3. Geben Sie auf der Seite VPN Virtual Server die folgenden Details ein, klicken Sie auf OKund dann auf Weiter.
    • Name — Name des virtuellen NetScaler Gateway-Servers
    • Protokoll - Wählen Sie SSL
    • IP-Adresse — IP-Adresse des virtuellen NetScaler Gateway-Servers
    • Port - Geben Sie 443 ein

Erstellen Sie Standardlizenz VS

  1. Klicken Sie auf der Seite VPN Virtual Server auf das Plus-Symbol neben Authentifizierungsprofil.

  2. Klicken Sie auf Hinzufügen, um das Authentifizierungsprofil zu

    Konfigurieren Sie das Authentifizierungsprofil

  3. Geben Sie einen Namen für das Authentifizierungsprofil ein und klicken Sie auf Hinzufügen.

    Namen für Authentifizierungsprofil eingeben

  4. Geben Sie auf der Seite VPN Virtual Server die folgenden Details ein, klicken Sie auf OK und dann auf Weiter.

    • Name — Name des virtuellen Authentifizierungs-, Autorisierungs- und Überwachungsservers
    • Protokoll - Wählen Sie Nicht adressierbaraus. Nur ein nicht adressierbarer virtueller Authentifizierungs-, Autorisierungs- und Überwachungsserver kann in der NetScaler Standard-Lizenz an einen virtuellen Gateway-/VPN-Server gebunden werden.

    Standardlizenz VS

    Hinweis:

    • In der NetScaler Standard-Lizenz entsprechen die Schritte zum Erstellen einer Richtlinie mit der Premium-Lizenz für unterstützte Richtlinientypen.
    • Die NetScaler Standard-Lizenz unterstützt kein Hinzufügen neuer Anmeldeschemas in der nFactor-Konfiguration.

Referenzen

Ein Beispiel für eine Ende-zu-Ende-nFactor-Konfiguration finden Sie unter Konfigurieren der nFactor-Authentifizierung.

nFactor für Gateway Authentifizierung