Configurar la autenticación de dos factores con un esquema de inicio de sesión y un esquema de acceso directo en la autenticación nFactor de Citrix ADC
En la siguiente sección se describe el caso de uso de la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso.
Autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso
Supongamos un caso de uso donde los administradores configuran la autenticación de dos factores con un esquema de inicio de sesión y un esquema de paso a través. El cliente envía un nombre de usuario y dos contraseñas. El primer conjunto de nombre de usuario y contraseña se evalúa mediante una directiva LDAP como primer factor y la segunda contraseña se evalúa mediante una directiva RADIUS como segundo factor.
-
Una vez que acceda al servidor virtual de administración del tráfico, se le redirigirá a la página de inicio de sesión para la autenticación.
-
El cliente envía un nombre de usuario y dos contraseñas, por ejemplo: usuario1, pass1 y pass2.
-
El primer factor se evalúa con respecto a una acción LDAP para usuario1 y pass1. La evaluación tiene éxito y pasa al siguiente factor, la directiva “label1”; en este caso.
-
La etiqueta de directiva especifica que el segundo factor es la transferencia con una directiva RADIUS. Un esquema de acceso directo significa que el dispositivo Citrix ADC no regresa al cliente para recibir más información. Citrix ADC simplemente utiliza la información que ya tiene. En este caso, es user1 y pass2. El segundo factor se evalúa implícitamente.
-
El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración del tráfico, donde está disponible el contenido solicitado. Si se produce un error en el inicio de sesión, el explorador del cliente se muestra con la página de inicio de sesión original para que el cliente pueda volver a intentarlo.
Realice lo siguiente mediante la CLI
-
Configure el servidor virtual de autenticación y administración del tráfico.
add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
-
Configure un segundo factor.
add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
add authentication loginSchemaPolicy login1 -rule true -action login1
add authentication loginSchema login2 -authenticationSchema noschema
add authentication loginSchemaPolicy login2 -rule true -action login2
add authentication policylabel label1 -loginSchema login2
-
Configure el factor LDAP y RADIUS.
add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
add authentication Policy ldap -rule true -action ldapAct1
add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
add authentication Policy radius -rule true -action radius
-
Enlazar las directivas.
bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end
Nota
La configuración también se puede crear a través del visualizador nFactor disponible en Citrix ADC versión 13.0 y posteriores.
Configuración mediante nFactor Visualizer
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador de nFactor > Flujos de nFactor y haga clic en Agregar.
-
Haga clic en + para agregar el flujo de nFactor.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor. Haga clic en Crear.
-
Para agregar el esquema de dos contraseñas para el primer factor, haga clic en Agregar esquema.
-
Haga clic en Agregar directiva para agregar la directiva LDAP. Puede crear una directiva de autenticación o seleccionar una directiva de autenticación existente de la lista.
-
En la ficha Acción, seleccione servidor LDAP.
Nota
Si no se agrega el servidor LDAP, para obtener más información sobre cómo agregar un servidor LDAP, consulte Directivas de autenticación LDAP
-
Haga clic en verde + para agregar el factor RADIUS y haga clic en Crear.
-
No agregue un esquema para este factor, ya que de forma predeterminada no toma ningún esquema. Para agregar la directiva de autenticación RADIUS, haga clic en Agregar directiva.
Nota
Si no se agrega el servidor RADIUS, para obtener más información sobre cómo agregar un servidor RADIUS, consulte Para configurar la autenticación RADIUS
-
Haga clic en Listo para guardar la configuración.
-
Para enlazar el flujo nFactor creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.