EPA-Scan als Faktor bei der nFactor-Authentifizierung
Wichtig:
Die Endpunktanalyse dient dazu, das Benutzergerät anhand vorab festgelegter Konformitätskriterien zu analysieren. Die Sicherheit der Endbenutzergeräte wird nicht erzwungen oder validiert. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.
Im Folgenden sind einige der grundlegenden Einheiten von nFactor EPA aufgeführt.
EPA-Aktion: EPA Action ist ein Aktionstyp, der für nFactor EPA eingeführt wurde. Es enthält Folgendes:
- Ausdruck zur Überprüfung des Client-Geräts: Dieser Ausdruck wird zur Auswertung an das Gateway-EPA-Plug-In gesendet.
- Erfolgsgruppe: Diese Gruppe wird, sofern konfiguriert, an die Gateway-Sitzung vererbt, wenn das EPA-Ergebnis wahr ist.
- Quarantänegruppe: Diese Gruppe wird, sofern konfiguriert, an die Gateway-Sitzung vererbt, wenn das EPA-Ergebnis falsch ist.
- KillProcess: Dies ist der Name des Prozesses, den der EPA-Prozess beenden muss.
- DeleteFiles: Gibt durch Kommas getrennte Pfade zu Dateien an, die der EPA-Prozess löschen muss.
Gruppen können während der Dauer der Sitzung verwendet werden, um festzustellen, ob der Kunde bestimmte EPA-Bedingungen erfüllt. Wenn die EPA bei einem bestimmten Faktor fehlschlägt und die letzte Aktion “Quarantänegruppe” nicht enthält, wird die Authentifizierung für diesen Benutzer beendet. Wenn die “Quarantänegruppe” existiert, wird die Authentifizierung fortgesetzt und der Administrator kann überprüfen, ob die Gruppe eingeschränkten Zugriff gewährt. Weitere Einzelheiten finden Sie unter EPA-Ausführung.
So konfigurieren Sie eine Authentifizierungs-EPA-Aktion mit der GUI:
-
Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > Authentifizierungs-EPA-Aktion.
-
Konfigurieren Sie die folgenden Parameter:
- Name: Name der EPA-Aktion.
- Standardgruppe: Die Standardgruppe, die ausgewählt wird, wenn die EPA-Prüfung erfolgreich ist.
- Quarantänegruppe: Die Quarantänegruppe, die ausgewählt wird, wenn die EPA-Prüfung fehlschlägt.
- Prozess beenden: Zeichenfolge, die den Namen eines Prozesses angibt, der vom EPA-Tool beendet werden soll. Mehrere Prozesse werden durch Kommas getrennt.
- Dateien löschen: Zeichenfolge, die die Pfade und Namen der Dateien angibt, die vom EPA-Tool gelöscht werden sollen. Mehrere Dateien werden durch Kommas getrennt.
- Ausdruck: Client-Sicherheitsausdruck, der an den Client gesendet werden soll.
So konfigurieren Sie eine EPA-Authentifizierungsaktion mit der CLI:
add authentication epaAction CWA version check scan -csecexpr sys.client_expr("sys_0_MAC-CWA_version_>=_23.9.0.99")
Das vorherige CLI-Beispiel zeigt einen EPA-Scan zur Überprüfung der Citrix Workspace-App-Version auf einem macOS-Computer.
EPA-Richtlinie: In nFactor werden alle Richtlinien mit derselben Syntax “Authentifizierungsrichtlinie hinzufügen” hinzugefügt. Die Art der Maßnahme qualifiziert die Richtlinie jedoch als EPA-Richtlinie.
EPA-Faktor: Der EPA-Faktor ist ein reguläres Policy Label. Es gibt kein Unternehmen, das als EPA-Faktor bezeichnet wird. Sobald die EPA-Richtlinie an einen Faktor gebunden ist, erbt sie bestimmte Eigenschaften, die sie zu einem EPA-Faktor machen.
Hinweis:
Der Begriff “EPA-Faktor” wird in diesem Dokument häufig verwendet, um einen Faktor zu bezeichnen, der in den EPA-Richtlinien enthalten ist.
EPA — Quarantäne: Wenn bei einem bestimmten Faktor alle Prüfausdrücke aller Aktionen auf dem Client-Gerät fehlschlagen und wenn die letzte Aktion “Quarantänegruppe” enthält, wird diese Gruppe zur Sitzung hinzugefügt und der NextFactor wird untersucht. Das heißt, trotz des Scheiterns qualifiziert die Anwesenheit der “Quarantänegruppe” die Sitzung für die nächste Stufe. Aufgrund der Vererbung einer speziellen Gruppe kann der Administrator die Sitzung jedoch auf eingeschränkten Zugriff oder zusätzliche Authentifizierungsrichtlinien wie OTP oder SAML abweisen.
Wenn bei der letzten Aktion keine Quarantänegruppe vorhanden ist, wird die Authentifizierung bei einem Fehler beendet.
EPA in nFactor verwendet auch die folgenden Entitäten:
- LoginSchema: XML-Darstellung des Anmeldeformulars. Es definiert die “Ansicht” des Anmeldeformulars und hat auch Eigenschaften eines “Faktors”.
- Policy Label oder Richtlinienfaktor: Es handelt sich um eine Sammlung von Richtlinien, die in einer bestimmten Authentifizierungsphase getestet werden.
- Virtuelles Serverlabel: Virtueller Server ist auch ein Policy Label, das heißt, man kann Richtlinien an einen virtuellen Server binden. Der virtuelle Server ist jedoch die Sammlung verschiedener Policy Label, da er der Einstiegspunkt für den Benutzerzugriff ist.
- nächster Faktor: Er wird verwendet, um das Policylabel/den Policy-Faktor anzugeben, der angewendet werden soll, sobald die angegebene Authentifizierungsrichtlinie erfolgreich ist.
- NO_AUTHN-Richtlinie: Spezielle Richtlinie, deren Aktion immer erfolgreich ist.
- Passthrough-Faktor: Ist ein Policylabel/ein Policy-Faktor, dessen Anmeldeschema keine Ansicht enthält. Dies ist ein Hinweis für die NetScaler Appliance, die Authentifizierung mit dem angegebenen Faktor ohne Benutzereingriff fortzusetzen.
Weitere Informationen finden Sie unter Konzepte, Entitäten und Terminologie von nFactor.
gegenseitige Exklusivität des EPA-Faktors
EPA-Faktor enthält eine oder mehrere EPA-Richtlinien. Sobald die EPA-Richtlinien an einen Faktor gebunden sind, sind reguläre Authentifizierungsrichtlinien für diesen Faktor nicht zulässig. Diese Einschränkung soll die beste Benutzererfahrung und eine saubere Trennung der Endpunktanalyse bieten. Die einzige Ausnahme von dieser Regel ist die Richtlinie NO_AUTHN. Da es sich bei der NO_AUTHN-Richtlinie um eine spezielle Richtlinie handelt, mit der ein “On-Failure-Jump” simuliert wird, ist sie im EPA-Faktor zulässig.
EPA-Ausführung
Bei jedem bestimmten Faktor (einschließlich des Faktors für virtuelle Server) prüft die NetScaler Appliance vor dem Ausfüllen des Anmeldeformulars, ob der Faktor für EPA konfiguriert ist. Wenn ja, sendet es eine bestimmte Antwort an den Client (UI), sodass die EPA-Sequenz ausgelöst wird. Diese Sequenz umfasst, dass der Client Ausdrücke zur Überprüfung des Client-Geräts anfordert und die Ergebnisse sendet. Die Ausdrücke für die Überprüfung des Client-Geräts für alle Richtlinien in einem Faktor werden gleichzeitig an den Client gesendet. Sobald Ergebnisse auf der NetScaler Appliance erhalten wurden, wird jeder der Ausdrücke in allen Aktionen in einer Sequenz ausgewertet. Die erste Aktion, die zu einer erfolgreichen EPA führt, beendet diesen Faktor, und DefaultGroup wird, falls konfiguriert, in die Sitzung vererbt. Wenn eine NO_AUTHN-Richtlinie angetroffen wird, gilt dies als automatischer Erfolg. Wenn der NextFactor angegeben wird, fährt die Appliance mit diesem Faktor fort. Andernfalls endet die Authentifizierung. Diese Bedingung gilt auch für den ersten Faktor. Wenn nach EPA auf dem virtuellen Server kein Authentifizierungsrichtlinienfaktor vorhanden ist, wird die Authentifizierung beendet. Dies unterscheidet sich vom klassischen Richtlinienverhalten, bei dem dem Benutzer immer die Anmeldeseite nach EPA angezeigt wird. Falls jedoch keine erfolgreiche EPA-Richtlinie vorliegt, betrachtet NetScaler Gateway die Quarantänegruppe, die für die letzte EPA-Richtlinie in diesem Faktor oder dieser Kaskade konfiguriert wurde. Wenn die letzte Richtlinie mit der Quarantänegruppe konfiguriert ist, wird diese Gruppe zur Sitzung hinzugefügt und der NextFactor wird überprüft. Wenn ein NextFactor existiert, geht die Authentifizierung zu diesem Faktor über. Andernfalls ist die Authentifizierung abgeschlossen.
EPA-Scan so konfigurieren, dass er nach der Authentifizierung ausgeführt wird
Sie können den EPA-Scan so konfigurieren, dass er nach der Authentifizierung ausgeführt wird. Im folgenden Beispiel wird der EPA-Scan als letzte Überprüfung bei einer nFactor- oder Multifaktor-Authentifizierung verwendet. Wenn in diesem Setup der EPA-Scan bei einer solchen Überprüfung fehlschlägt, wird die Sitzung beendet.
- Der Benutzer versucht, eine Verbindung zu NetScaler Gateway Virtual IP herzustellen.
- Eine Anmeldeseite mit Benutzernamen und Kennwortfeld wird an den Benutzer gerendert, um Anmeldeinformationen anzugeben. Mit diesen Anmeldeinformationen wird eine LDAP- oder AD-basierte Authentifizierung im Back-End durchgeführt. Bei Erfolg wird dem Benutzer ein Popup angezeigt, um den EPA-Scan zu autorisieren.
- Sobald der Benutzer autorisiert hat, wird der EPA-Scan durchgeführt und basierend auf dem Erfolg oder Misserfolg der Benutzerclienteinstellungen wird Zugriff gewährt.
- Wenn der Scan erfolgreich ist, wird der EPA-Scan in regelmäßigen Abständen durchgeführt, um festzustellen, ob die konfigurierten Geräteprüfanforderungen weiterhin erfüllt sind.
- Wenn der EPA-Scan bei einer solchen Überprüfung fehlschlägt, wird die Sitzung beendet.
Voraussetzungen
Es wird davon ausgegangen, dass die folgende Konfiguration vorhanden ist:
- Konfiguration des virtuellen VPN-Servers, des Gateway und der virtuellen Authentifizierungsserver
- LDAP-Serverkonfigurationen und zugehörige Richtlinien.
Im folgenden Abschnitt werden die erforderlichen Richtlinien und Policy Label-Konfigurationen sowie die Zuordnung von Richtlinien und Policy Label zu einem Authentifizierungsprofil beschrieben.
Über die Befehlszeilenschnittstelle
-
Erstellen Sie eine Aktion, um einen EPA-Scan vor der LDAP-Authentifizierung durchzuführen, und verknüpfen Sie sie mit einer EPA-Scanrichtlinie.
add authentication epaAction pre-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_firefox")" add authentication Policy pre-ldap-epa-pol -rule true -action pre-ldap-epa-action <!--NeedCopy-->
Der vorherige Ausdruck scannt, ob der Prozess ‘Firefox’ läuft. Der EPA-Client überprüft alle 2 Minuten, ob der Prozess existiert, was durch die Ziffer “2” im Scanausdruck gekennzeichnet ist.
-
Konfigurieren Sie das Richtlinienlabel
pre-ldap-epa-label
, das die Richtlinie für den EPA-Scan hostet.add authentication policylabel pre-ldap-epa-label -loginSchema LSCHEMA_INT <!--NeedCopy-->
Hinweis:
LSCHEMA_INT ist ein eingebautes Schema ohne Schema (noschema), was bedeutet, dass dem Benutzer in diesem Schritt keine zusätzliche Webseite präsentiert wird.
-
Ordnen Sie die in Schritt 1 konfigurierte Policy dem in Schritt 2 konfigurierten Policy Label zu. Dies vervollständigt den Authentifizierungsmechanismus.
bind authentication policylabel pre-ldap-epa-label -policyName pre-ldap-epa-pol -priority 100 -gotoPriorityExpression END <!--NeedCopy-->
-
Konfigurieren Sie eine LDAP-Aktion und Richtlinie.
add authentication ldapAction ldap-act -serverIP 10.106.103.60 -ldapBase "dc=cgwsanity,dc=net" -ldapBindDn user1@example.net -ldapBindDnPassword 1.cloud -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN -passwdChange ENABLED add authentication Policy ldap-pol -rule true -action ldap-act <!--NeedCopy-->
-
Erstellen Sie ein Anmeldeschema mit aktiviertem SSO.
add authentication loginSchema ldap-schema -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuth.xml" -SSOCredentials Yes <!--NeedCopy-->
-
Konfigurieren Sie das Richtlinienlabel
ldap-pol-label
, das die Richtlinie für die LDAP-Authentifizierung hostet.add authentication policylabel ldap-pol-label -loginSchema ldap-schema <!--NeedCopy-->
-
Binden Sie das in Schritt 5 konfigurierte Anmeldeschema an das in Schritt 6 konfigurierte Richtlinienlabel.
bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT <!--NeedCopy-->
-
Erstellen Sie eine Aktion, um einen EPA-Scan nach der LDAP-Authentifizierung durchzuführen, und verknüpfen Sie sie mit einer EPA-Scanrichtlinie.
add authentication epaAction post-ldap-epa-action -csecexpr "sys.client_expr ("proc_2_chrome")" add authentication Policy post-ldap-epa-pol -rule true -action post-ldap-epa-action add authentication policylabel post-ldap-epa-label -loginSchema LSCHEMA_INT bind authentication policylabel post-ldap-epa-label -policyName post-ldap-epa-pol -priority 100 -gotoPriorityExpression <!--NeedCopy-->
-
Wenn Sie alles zusammenfügen, ordnen Sie die Richtlinie dem virtuellen Authentifizierungsserver
pre-ldap-epa-pol
zu, wobei der nächste Schritt auf das Richtlinienlabel zeigtldap-pol-label
, um einen EPA-Scan durchzuführen.bind authentication vserver user.auth.test -policy pre-ldap-epa-pol -priority 100 -nextFactor ldap-pol-label -gotoPriorityExpression NEXT bind authentication policylabel ldap-pol-label -policyName ldap-pol -priority 100 -gotoPriorityExpression NEXT -nextFactor post-ldap-epa-label <!--NeedCopy-->
Hinweis:
- Bei periodischen EPA, die als mehrere Faktoren konfiguriert sind, wird der neueste Faktor mit periodischer EPA-Konfiguration berücksichtigt.
- Regelmäßige Scans können nur mit dem EPA-Plug-In und nicht im Browser ausgeführt werden.
- Im ersten Beispiel ist EPA der erste Faktor, bei dem der Scan nach dem Prozess ‘Firefox’ sucht.
- Wenn der EPA-Scan erfolgreich ist, führt er zur LDAP-Authentifizierung, gefolgt vom nächsten EPA-Scan, der nach dem Prozess “Chrome” sucht.
- Wenn mehrere regelmäßige Scans als verschiedene Faktoren konfiguriert sind, hat der neueste Scan Vorrang. In diesem Fall sucht das EPA-Plug-in nach dem Prozess ‘Chrome’ alle 2 Minuten, nachdem die Anmeldung erfolgreich war.
Auf der GUI (mit nFactor Visualizer)
Mit dem nFactor-Visualizer auf der GUI können Sie den erweiterten EPA-Scan als Faktor konfigurieren. Im folgenden Beispiel haben wir LDAP als ersten Faktor und EPA als nächsten Faktor verwendet.
-
Erstellen Sie einen ersten Faktor für den nFactor-Flow.
-
Navigieren Sie zu Sicherheit > AAA-Application Traffic > nFactor Visualizer > nFactor Flows und klicken Sie auf Hinzufügen.
- Klicken Sie auf +, um den nFactor-Flow hinzuzufügen.
- Fügen Sie einen Faktor hinzu und klicken Sie auf Erstellen.
-
-
Erstellen Sie ein Anmeldeschema und eine Richtlinie für den ersten Faktor.
- Klicken Sie auf der ersten Faktorkachel auf Schema hinzufügen, um ein Anmeldeschema hinzuzufügen. Sie können entweder ein vorhandenes Authentifizierungs-Anmeldeschema aus der Dropdownliste auswählen oder ein Anmeldeschema erstellen.
-
Um ein Authentifizierungs-Anmeldeschema zu erstellen, klicken Sie auf Hinzufügen. Ausführliche Informationen zum Anmeldeschema für die Authentifizierung finden Sie unter Konfiguration der nFactor-Authentifizierung.
-
Klicken Sie auf Richtlinie hinzufügen, um die LDAP-Richtlinie hinzuzufügen. Wenn die LDAP-Richtlinie bereits erstellt wurde, können Sie dieselbe auswählen. Klicken Sie auf Hinzufügen.
Hinweis:
Wenn keine LDAP-Richtlinie erstellt wurde, können Sie eine erstellen. Klicken Sie neben der Dropdownliste Richtlinie auswählen auf die Schaltfläche Hinzufügen. Wählen Sie im Feld Aktion die Option LDAP aus. Einzelheiten zum Hinzufügen eines Authentifizierungs-LDAP-Servers finden Sie unter
https://support.citrix.com/article/CTX123782
.
-
Erstellen Sie einen nächsten Faktor und verbinden Sie ihn mit dem ersten Faktor.
- Klicken Sie auf das grüne oder rote Plus-Symbol, um EPA als nächsten Faktor hinzuzufügen.
- Erstellen Sie den nächsten Faktor auf der Seite Next Factor to Connect.
- Lassen Sie den Abschnitt Schema hinzufügen leer, wenn für diesen Faktor standardmäßig kein Schema angewendet werden soll.
-
Fügen Sie eine Richtlinie für den nächsten Faktor hinzu.
- Klicken Sie auf Richtlinie hinzufügen, um die EPA-Richtlinie und Aktion nach der Authentifizierung hinzuzufügen.
- Sie können entweder aus einer vorhandenen Liste von Richtlinien wählen oder eine Richtlinie erstellen. Um aus den vorhandenen Richtlinien auszuwählen, wählen Sie eine Richtlinie aus der Dropdownliste Richtlinie auswählen aus, geben Sie die verbindlichen Details ein und klicken Sie auf Hinzufügen.
- Um eine Richtlinie zu erstellen, klicken Sie neben der Dropdownliste Richtlinie auswählen auf die Schaltfläche Hinzufügen.
-
Nachdem der nFactor-Flow abgeschlossen ist, klicken Sie auf Fertig.
-
Binden Sie den nFactor-Flow an einen Authentifizierungsserver.
- Navigieren Sie zu Security AAA - Application Traffic > nFactor Visualizer > nFactor Flows.
- Wählen Sie den nFactor aus und klicken Sie auf An Authentifizierungsserver binden.