ADC

Configurar nFactor para aplicaciones con diferentes requisitos de sitio de inicio de sesión, incluida la autenticación escalonada

Por lo general, un NetScaler Gateway permite el acceso a varias aplicaciones. Dependiendo de los requisitos de seguridad, pueden tener un mecanismo de autenticación diferente. Es posible que algunas aplicaciones solo necesiten un factor, como una intranet común. Otras aplicaciones, como las herramientas de SAP o RRHH con datos más críticos, deben tener al menos una autenticación multifactorial. Sin embargo, la mayoría de los usuarios solo acceden a la intranet, por lo que la opción multifactorial para todas las aplicaciones no es la opción correcta.

En este tema se describe cómo cambiar el mecanismo de inicio de sesión de forma dinámica en función de las necesidades del usuario que desea acceder a la aplicación. Además, describa los pasos para configurar la autenticación.

Requisitos previos

Antes de configurar NetScaler Gateway, revise los siguientes requisitos previos.

  • Edición de licencia de NetScaler Advanced.
  • La versión de la función NetScaler es 11.1 y posterior.
  • Servidor LDAP.
  • Servidor RADIUS.
  • Dirección IP pública.

En el ejemplo de configuración, utiliza dos aplicaciones con los siguientes requisitos de autenticación.

  • Aplicación web verde
    • Requisito: nombre de usuario + contraseña de LDAP
  • Aplicación web roja
    • Requisito: nombre de usuario + contraseña LDAP + pin RADIUS

Nota

Además de LDAP y RADIUS, puede utilizar otros métodos de autenticación, como certificados de usuario, TACACS o SAML.

Instalación básica

  1. Agregue servidores y servicios virtuales de equilibrio de carga no direccionables para ambas aplicaciones web.

    • Servidores virtuales de equilibrio de carga

      Servidor virtual de equilibrio de carga

    • Servicios

      Servidor virtual de equilibrio de carga

  2. Agregue un servidor virtual básico de autenticación, autorización y auditoría sin direccionamiento para iniciar sesión. No hay necesidad de más configuración en este momento.

    Servidor virtual de equilibrio de carga

  3. Agregue un servidor virtual de conmutación de contenido de tipo SSL con IP pública. En esta dirección IP, necesita registros DNS para cada aplicación a la que desee acceder y también para la autenticación, la autorización y la auditoría del servidor virtual. En este ejemplo, utiliza los siguientes nombres DNS:
    • green.lab.local - Aplicación verde
    • red.lab.local -> Aplicación Red
    • aaa.lab.local -> servidor virtual de autenticación, autorización y auditoría

    Servidor virtual de equilibrio de carga

    • Enlaza un certificado SSL con CN o SAN coincidentes para todos los registros DNS.
  4. Agregue directivas de conmutación de contenido al servidor virtual. Uno para cada aplicación, que debe coincidir con el nombre de host individual. Así es como NetScaler determina a qué aplicación quiere acceder el usuario. Además, añada otra directiva de autenticación, autorización y auditoría con la expresión “true”.

    Servidor virtual de equilibrio de carga

  5. Asegúrese de que la directiva de autenticación, autorización y auditoría tenga la máxima prioridad. De lo contrario, no sería posible acceder a las aplicaciones.

  6. Agregue acciones de cambio de contenido para cada directiva que apunte al servidor virtual correspondiente. En este ejemplo, en cada servidor virtual de equilibrio de carga y un servidor virtual de autenticación.

    Servidor virtual de equilibrio de carga

Configuración del nivel de autenticación

Después de completar la configuración básica de servidores virtuales y conmutación de contenido, habilite la autenticación y defina las aplicaciones fuertes o débiles.

  1. Vaya al servidor virtual de equilibrio de carga para ver la aplicación Red y active la “Autenticación basada en formularios”. Y añada un perfil de autenticación.

    Servidor virtual de equilibrio de carga

    Servidor virtual de equilibrio de carga

  2. Introduzca el nombre de host del servidor virtual de autenticación, autorización y auditoría definido para la redirección cuando un usuario desee acceder a la aplicación y no tenga ninguna sesión existente.

  3. Elija el servidor virtual de autenticación como tipo y enlace al servidor virtual de autenticación, autorización y auditoría.

  4. Defina un nivel de autenticación para configurar si una aplicación es más fuerte o más débil que otra. Una sesión con el nivel 100 dado puede acceder a servidores virtuales con un nivel inferior sin necesidad de volver a autenticarse. Por otro lado, esta sesión se ve obligada a autenticarse una vez más si el usuario intenta acceder a un servidor virtual con un nivel superior.

    Configurar perfil de autenticación

  5. Repita los pasos 1 a 4 con la aplicación Green.

  6. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Perfiles de autenticación para añadir el perfil de autenticación.

    Configurar perfiles de autenticación

    Un perfil para cada aplicación, ambos apuntando al nombre de host del servidor virtual de autenticación, autorización y auditoría. En el ejemplo, la aplicación Red es más fuerte (nivel 100) que la aplicación Verde (nivel 90). Significa que un usuario con una sesión de Red existente puede acceder a Green sin necesidad de volver a autenticarse. Al revés, un usuario que accedió a Green al principio debe volver a autenticarse para la aplicación Red.

Configuración de nFactor para autenticación multifactorial

  1. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Esquema de inicio de sesión > Perfiles para añadir tres esquemas de inicio de sesión y acceder a la página de inicio de sesión de NetScaler necesaria.

    • Esquema para la autenticación LDAP normal
      • Seleccione SingleAuth XML para mostrar los dos campos. Uno para el nombre de usuario y el segundo para la contraseña de LDAP.
      • Asegúrese de guardar el nombre de usuario en el índice 1 y la contraseña en el índice 2. Esto es importante para realizar el reinicio de LDAP, cuando un usuario accede a la aplicación en rojo después de la aplicación en verde.
    • Esquema para la reautenticación de LDAP

      • Seleccione “noschema” porque el usuario no ve el proceso de reautenticación de LDAP.
      • Rellene la expresión de usuario y contraseña con los campos de atributos que definió en el primer esquema.

        Configurar perfiles de autenticación

    • Esquema de autenticación RADIUS
      • Seleccione “OnlyPassword XML” para mostrar solo un campo para el pin RADIUS. El nombre de usuario no es necesario debido al primer inicio de sesión en LDAP.

        Configurar el esquema de inicio de sesión de autenticación

  2. El siguiente paso es añadir todas las directivas de autenticación necesarias para controlar el comportamiento de nuestro mecanismo de inicio de sesión. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directiva.

    • Agregue la directiva LDAP predeterminada con el servidor LDAP requerido.

      Configurar la directiva de autenticación

    • Agregue la directiva RADIUS predeterminada con el servidor RADIUS requerido.

      Configurar la directiva de autenticación

    • Añada una tercera directiva de autenticación con el tipo de acción “NO_AUTH” y la expresión “true”. Esta directiva no tendrá más efecto que pasar al siguiente factor.

      Configurar la directiva de autenticación

    • La cuarta directiva evalúa si un usuario desea acceder a la aplicación más segura Red o no. Esto es importante para realizar una autenticación multifactorial para Red.
      • Selecciona “LDAP” como tipo de acción y elige tu servidor LDAP.
      • La expresión evalúa si la aplicación es roja comprobando la cookie NSC_TMAP. El usuario emite esta cookie accediendo al sitio de inicio de sesión de NetScaler y contiene el nombre del perfil de autenticación vinculado al servidor virtual de equilibrio de carga al que se ha accedido.

        Directiva de servidor virtual LDAP

        Página de inicio de sesión de NetScaler

    • La última directiva comprueba si el usuario ha guardado las credenciales de un primer inicio de sesión más débil. Esto es importante para volver a iniciar sesión automáticamente en LDAP cuando un usuario accedió por primera vez a la aplicación más débil y ahora quiere iniciar la más segura.

      Página de inicio de sesión de NetScaler

  3. Añada algunas etiquetas de directivas para vincular todas las directivas de autenticación y esquemas de inicio de sesión anteriores. Vaya a Seguridad > AAA: tráfico de aplicaciones > Directivas > Autenticación > PolicyLabel.

    • Al principio, comience con la etiqueta de autenticación RADIUS.

      • Introduzca un nombre apropiado para la etiqueta, seleccione el esquema anterior para RADIUS y haga clic en Continuar.

        Etiqueta de directiva

      • El último paso para esta etiqueta es vincular la directiva de autenticación RADIUS predeterminada.

        Etiqueta de directiva

    • La segunda etiqueta reinicia el inicio de sesión de LDAP.
      • Añada la etiqueta y vincule el esquema de reinicio de sesión.

        Esquema de reinicio de sesión

      • Enlazar la directiva de autenticación LDAP y establecer la etiqueta de directiva RADIUS como el siguiente factor.

        Directiva de autenticación LDAP de enlace

    • Añada la última etiqueta para la primera autenticación LDAP.
      • Seleccione el esquema apropiado y haga clic en Continuar.

        Seleccione la etiqueta de la directiva de autenticación

      • Enlaza la primera directiva para una autenticación segura y establece Goto Expression en “End”. Seleccione la etiqueta de la directiva RADIUS como siguiente factor.

      • La segunda directiva es para una autenticación verde débil sin RADIUS.

      • Garantice la prioridad de la encuadernación.

    • Configure la autenticación, la autenticación y la auditoría. Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

      • Abra el servidor virtual agregado anteriormente y defina el tema del portalpreferido.

        Seleccione la etiqueta de la directiva de autenticación

      • Enlazar las dos últimas directivas de autenticación restantes directamente en el servidor virtual.

        Directiva de autenticación avanzada

      • Enlaza la directiva de reinicio de sesión con “NO_AUTH” y la etiqueta de directiva de reinicio de sesión de LDAP como siguiente factor. Esto sirve para realizar el reinicio automático de LDAP con una sesión existente.
      • Establezca una segunda directiva para pasar directamente al LDAP del siguiente factor cuando antes no haya existido ninguna sesión.
      • Como siempre, establece las prioridades correctas.

        Directiva de autenticación prioritaria

Nota

El escalón también se puede crear mediante el visualizador nFactor, disponible en la versión 13.0 y versiones posteriores de NetScaler.

Visualizador nFactor configura la autenticación

Configuración de autenticación multifactorial mediante nFactor Visualizer

  1. Vaya a Seguridad > Tráfico de aplicaciones AAA > Visualizador nFactor > Flujo nFactor y haga clic en Agregar.
  2. Haga clic en el signo + para añadir el nFactor Flow.

    Agregar flujo de nFactor

  3. Introduzca el nombre del primer factor y haga clic en Crear.

    Crea el primer factor

  4. No se necesita ningún esquema para el primer factor. Haga clic en Agregar directiva para agregar la directiva NO_AUTH, como se muestra en el paso 2 de la configuración de autenticación multifactorial.

    Elija directiva agregar

  5. Haga clic en el signo azul + para añadir una segunda autenticación.

    Segunda autenticación

  6. Elija la directiva de autenticación creada y haga clic en Agregar.

    Directiva agregar elegir

  7. Haga clic en el signo verde + para añadir el siguiente factor.

    La directiva añade

  8. Para añadir el siguiente factor de autenticación, seleccione Crear factor, introduzca el nombre del factor y haga clic en Crear.

    Crear factor de inicio de sesión

  9. Para agregar un esquema, haga clic en Agregar esquema.

    Agregar autenticación escalonada

  10. Elija el esquema creado en (configuración de autenticación multifactorial) y haga clic en Aceptar.

    Esquema de inicio de sesión de Auth

  11. Haga clic en Agregar directiva y elija la directiva de autenticación.

    LDAP añade autenticación

  12. Haga clic en el signo verde + para añadir otro factor de autenticación RADIUS.

    Esquema de inicio de sesión de Auth

  13. Cree otro factor siguiendo el paso 8.

  14. Haga clic en Agregar esquema y seleccione un esquema solo para la contraseña de la lista.

    Lista de esquemas de contraseñas

  15. Haga clic en Agregar directiva para elegir la autenticación RADIUS y, a continuación, haga clic en Agregar.

    Autenticación de directivas RADIUS

  16. Haga clic en el signo verde + en el primer factor, junto a step_up-pol.

    Autenticación de directivas RADIUS

  17. Cree otro factor siguiendo el paso 8.

    Aumente el LDAP

  18. Haga clic en Agregar esquema y elija el esquema.

    Esquema de autenticación única

  19. Haga clic en Agregar directiva para elegir la directiva de autenticación.

    LDAP aumenta

  20. Haga clic en el signo azul + para añadir otra directiva de autenticación para la autenticación LDAP.

    LDAP: otra directiva

  21. Elija la directiva de autenticación LDAP y haga clic en Agregar.

    Directiva de publicidad de LDAP

  22. Haga clic en el signo verde + situado junto a LDAP_Step_Up para añadir la autenticación RADIUS.

    Agregar autenticación RADIUS

  23. Como la autenticación RADIUS ya está presente, seleccione Conectar a un factor existentey seleccione step_up-radius de la lista.

    Agregar autenticación RADIUS

  24. Haga clic en Listo para guardar la configuración.

  25. Para enlazar el nFactor Flow creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.

    Enlazar el servidor de autenticación creado

    Nota

    Enlaza y desvincula el flujo nFactor mediante la opción que aparece en nFactor Flow en Mostrar solo enlaces.

Desvincular el flujo nFactor

  1. Seleccione el flujo nFactor y haga clic en Mostrar enlaces.

  2. Seleccione el servidor virtual de autenticación y haga clic en Desvincular.

    Desenlazar servidor de autenticación

Resultado

Los siguientes pasos le ayudarán a acceder primero a la aplicación Red.

  1. Redireccionar a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría con un primer factor como LDAP, después de acceder a “red.lab.local”.

    Página de inicio de sesión de Auth

  2. nFactor evalúa que el usuario desea acceder a la aplicación Red y muestra el RADIUS del segundo factor.

    Segundo factor RADIUS

  3. NetScaler otorga acceso a la aplicación Red.

    Pantalla de aplicación roja

  4. Acceda a la aplicación Green de la siguiente manera. NetScaler otorga acceso inmediato debido a que la sesión de la aplicación más sólida es roja.

    Pantalla de aplicación verde

Los siguientes pasos le ayudan a acceder a la aplicación Green por primera vez.

  1. Redirigir a la página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría después de acceder a “green.lab.local”.

    Página de inicio de sesión de Auth

  2. nFactor evalúa la aplicación Green y concede el acceso sin el segundo factor.

    Pantalla de aplicación verde

  3. Accede a la aplicación Red a continuación. Un nivel de autenticación superior requiere volver a iniciar sesión y nFactor vuelve a iniciar sesión mediante LDAP automáticamente con las credenciales guardadas desde el primer inicio de sesión en la aplicación Green. Introduce únicamente la credencial RADIUS.

    Segundo factor RADIUS

  4. NetScaler otorga acceso a la aplicación Red.

    Pantalla de aplicación roja

Configurar nFactor para aplicaciones con diferentes requisitos de sitio de inicio de sesión, incluida la autenticación escalonada