Sondeo durante la autenticación
A partir de la compilación 13.0.79.64 de la versión de NetScaler, se puede configurar un dispositivo NetScaler para el mecanismo de sondeo durante la autenticación multifactor.
Si el sondeo está configurado en un dispositivo NetScaler, los endpoints (como un explorador web o una aplicación) pueden sondear (sondear) el dispositivo durante la autenticación a intervalos configurados para obtener el estado de la solicitud de autenticación enviada.
El sondeo se puede configurar para gestionar las autenticaciones cuando un punto final interrumpe una conexión TCP mientras se autentica con un dispositivo NetScaler.
Puntos que tener en cuenta
-
La configuración de sondeo es compatible con los métodos de autenticación LDAP, RADIUS y TACACS.
-
El cliente puede sondear las solicitudes de autenticación desde el segundo factor en adelante.
¿Por qué configurar el sondeo?
A veces, durante la autenticación, al cambiar entre las aplicaciones (por ejemplo, una aplicación de inicio de sesión y una aplicación de autenticación), los puntos finales pierden la conexión con el dispositivo NetScaler, lo que provoca una interrupción en el flujo de autenticación. Con el sondeo configurado, se puede evitar esta interrupción en la autenticación.
Descripción del mecanismo de votación
A continuación se muestra un ejemplo del flujo de eventos durante la autenticación sin necesidad de que se haya configurado el sondeo.
El mecanismo de sondeo permite que un dispositivo NetScaler reanude una autenticación continua con el endpoint sin tener que reiniciar el proceso de autenticación en un caso raro de restablecimiento de la conexión TCP en el extremo.
- Un endpoint (aplicación o explorador web) se autentica con credenciales.
- El nombre de usuario y la contraseña se verifican con un directorio de primer factor existente (LDAP/Active Directory).
- Si se proporcionan las credenciales correctas, la autenticación pasa al siguiente factor.
- En este punto, el dispositivo NetScaler envía una solicitud al servidor RADIUS Push.
- Mientras el dispositivo NetScaler espera una respuesta del servidor RADIUS, el extremo interrumpe la conexión TCP.
- El NetScaler recibe una respuesta del servidor RADIUS Push.
- Como no se encuentra ninguna conexión TCP del cliente, el dispositivo NetScaler interrumpe la sesión y se produce un error en el inicio de sesión.
A continuación se muestra un ejemplo del flujo de eventos durante la autenticación con el sondeo configurado.
- Un endpoint (aplicación o explorador web) se autentica con credenciales.
- El nombre de usuario y la contraseña se verifican con un directorio de primer factor existente (LDAP/Active Directory).
- Si se proporcionan las credenciales correctas, la autenticación pasa al siguiente factor.
- En este punto, el dispositivo NetScaler envía una solicitud al servidor RADIUS Push.
- Mientras el dispositivo NetScaler espera una respuesta del servidor RADIUS, el extremo interrumpe la conexión TCP.
- Endpoint envía una encuesta (sonda) al dispositivo NetScaler para comprobar el estado de la autenticación.
- Como el dispositivo NetScaler no recibe respuesta del servidor RADIUS, solicita al terminal que continúe con el sondeo.
- El dispositivo NetScaler recibe la respuesta del servidor RADIUS Push.
- Como no se encuentra ninguna conexión TCP de cliente, ADC guarda el estado de la sesión.
- Endpoint vuelve a sondeos para comprobar el estado de autenticación.
- El dispositivo NetScaler establece la sesión y el inicio de sesión se realiza correctamente.
Configurar sondeos mediante CLI
A continuación se muestra un ejemplo de configuración CLI.
Configurar primer factor
add authentication ldapAction ldap-new -serverIP 10.106.40.65 -serverPort 636 -ldapBase "dc=aaatm-test,dc=com" -ldapBindDn administrator@aaatm-test.com -ldapBindDnPassword 2f63d3659103464a4fad0ade65e2ccfd4e8440e36ddff941d29796af03e01139 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -alternateEmailAttr userParameters
add authentication Policy ldap-new -rule true -action ldap-new
bind authentication vserver avs -policy ldap-new -priority 1 -nextFactor rad_factor
<!--NeedCopy-->
Configurar segundo factor
add authentication radiusAction rad1 -serverIP 10.102.229.120 -radKey 1b1613760143ce2371961e9a9eb5392c86a4954a62397f29a01b5d12b42ce232 -encrypted -encryptmethod ENCMTHD_3
add authentication Policy rad -rule true -action rad1
<!--NeedCopy-->
Configurar esquema de inicio de sesión Poll.xml
add authentication loginSchema polling_schema -authenticationSchema LoginSchema/Poll.xml
add authentication policylabel rad_factor -loginSchema polling_schema
bind authentication policylabel rad_factor -policyName rad -priority 1 -gotoPriorityExpression NEXT
<!--NeedCopy-->
Configurar sondeos mediante GUI
Para obtener pasos detallados sobre la configuración de la autenticación multifactor mediante la GUI, consulte Configuración de la autenticación nFactor.
A continuación se muestran los pasos de alto nivel de ejemplo necesarios para configurar NetScaler for Polling a partir del segundo factor.
- Cree un primer factor para la autenticación, por ejemplo, LDAP.
- Cree un segundo factor para la autenticación, por ejemplo RADIUS.
- Agregue Poll.xml presente en NetScaler (/nsConfig/loginSchema/LoginSchema/) como esquema de inicio de sesión para el segundo factor.