Configure pre-auth and post-auth EPA scan as a factor in nFactor authentication
En Citrix Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple determinados requisitos de seguridad y, en consecuencia, permitir el acceso de los recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo del usuario cuando los usuarios inician sesión en Citrix Gateway por primera vez. Si un usuario no instala el plug-in de Endpoint Analysis en el dispositivo de usuario, el usuario no puede iniciar sesión con el plug-in de Citrix Gateway.
Para conocer la EPA en los conceptos de nFactor, consulte Conceptos y entidades utilizadas para EPA en la autenticación de nFactor a través de NetScaler.
En este tema, el escaneo EPA se utiliza como comprobación inicial en una autenticación NFactor o multifactor, seguido por el inicio de sesión y el escaneo EPA como comprobación final.
El usuario se conecta a la dirección IP virtual de Citrix Gateway. Se inicia una exploración EPA. Si la exploración EPA se realiza correctamente, el usuario muestra la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en LDAP o AD (Active Directory). En función del éxito de las credenciales de usuario, se redirige al usuario al siguiente factor EPA.
Pasos de alto nivel implicados en esta configuración
-
Si el análisis se realiza correctamente, el usuario se coloca o se etiqueta en un grupo de usuarios predeterminado.
-
Se elige el siguiente método de autenticación (LDAP).
-
Según el resultado de la autenticación, se presenta al usuario el siguiente conjunto de análisis.
Requisitos previos
Se supone que la siguiente configuración está en su lugar.
- Configuraciones de servidor/puerta de enlace virtual VPN y servidor virtual de autenticación
- Grupos de usuarios de autenticación, autorización y auditoría (para grupos de usuarios predeterminados y en cuarentena) y directivas asociadas
- Configuraciones del servidor LDAP y directivas asociadas
Configuración mediante la CLI
-
Cree una acción para realizar un análisis de la EPA y asociarlo a una directiva de análisis de la EPA.
add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")" <!--NeedCopy-->
La expresión anterior analiza si el proceso de Firefox se está ejecutando en el equipo cliente.
add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan <!--NeedCopy-->
-
Configure la etiqueta de directiva post-epa-scan que aloja la directiva para la exploración EPA.
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->
Nota: LSCHEMA_INT es un esquema integrado sin esquema (sin esquema), lo que significa que no se presenta ninguna página web adicional al usuario en este paso.
-
Asocia la directiva configurada en el paso 1 con la etiqueta de directiva configurada en el paso 2.
bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->
END indica el fin del mecanismo de autenticación.
-
Configure la directiva ldap-auth y asóciala a una directiva LDAP configurada para autenticarse con un servidor LDAP concreto.
add authentication Policy ldap-auth -rule true -action ldap_server1 ldap_server1 is LDAP policy and ldap-auth is policy name <!--NeedCopy-->
-
Configure ldap-factor de etiqueta de directiva, con esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml <!--NeedCopy-->
Nota: Sustitúyalo por el esquema que necesites, en caso de que no quiera usar en el esquema integrado LoginSchema/SingleAuth.xml
-
Asocie la directiva configurada en el paso 4 con la etiqueta de directiva configurada en el paso 5.
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan <!--NeedCopy-->
END indica el final del mecanismo de autenticación para ese tramo y nextFactor indica el siguiente factor después de la autenticación.
-
Cree una acción para realizar un análisis de la EPA y asociarlo a una directiva de análisis de la EPA.
add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group <!--NeedCopy-->
Aquí default_group es un grupo de usuarios preconfigurado.
La expresión anterior analiza si los usuarios de Windows 7 tienen instalado el Service Pack 1.
add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan <!--NeedCopy-->
-
Asocie una directiva de exploración EPA al servidor virtual de autenticación, autorización y auditoría con el siguiente paso que apunte al factor ldap de etiqueta de directiva para realizar el siguiente paso en la autenticación.
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT <!--NeedCopy-->
Configuración mediante la interfaz gráfica de usuario
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Acciones > EPA.
Primer análisis de la EPA para buscar actualizaciones automáticas de Windows y un grupo predeterminado
Segundo escaneo de la EPA para buscar el explorador Firefox
-
Cree una directiva de la EPA. Vaya a Seguridad > Tráfico de aplicaciones AAA > Directivas > Autenticación > Directivas avanzadas > Directiva y vincule la acción creada en el paso 1.
Directiva para el primer escaneo de la EPA
Directiva para el segundo escaneo de la EPA
Para obtener más información sobre la EPA avanzada, consulte Análisis avanzados de endpoint Analysis.
-
Cree un flujo de nFactor. Vaya a Seguridad > Tráfico de aplicaciones AAA > nFactor Visualizer > nFactor Flow y haga clic en Agregar.
Nota: nFactor Visualizer está disponible en el firmware 13.0 y versiones posteriores.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.
No se requiere ningún esquema para la exploración de la EPA.
-
Haga clic en Agregar directiva para agregar una directiva para el primer factor.
-
Seleccione la primera directiva de EPA creada en el paso 2.
-
Haga clic en el signo + verde y agregue el siguiente factor, es decir, la autenticación LDAP.
-
Haga clic en Agregar esquema y, a continuación, haga clic en Agregar para agregar un esquema para el segundo factor.
-
Cree un esquema, en este ejemplo Single_Auth y elija este esquema.
-
Haga clic en Agregar directiva para agregar una directiva LDAP para la autenticación.
Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.
-
Crear factor siguiente para la exploración EPA posterior a la autenticación.
-
Haga clic en Agregar directiva, seleccione la directiva Secondepa_check creada en el paso 2 y haga clic en Agregar.
-
Haga clic en Listo.
-
Haga clic en Vincular al servidor de autenticación, seleccione el flujo nFactor y, a continuación, haga clic en Crear.
Desenlazar el flujo de nFactor
-
Seleccione el flujo nFactor y haga clic en Mostrar enlaces.
-
Seleccione el servidor virtual de autenticación y haga clic en Desvincular.