Configurar la exploración de Endpoint Analysis previa a la autenticación como factor en la autenticación nFactor
En NetScaler Gateway, Endpoint Analysis (EPA) se puede configurar para comprobar si un dispositivo de usuario cumple determinados requisitos de seguridad y, en consecuencia, permitir el acceso de los recursos internos al usuario. El complemento Endpoint Analysis se descarga e instala en el dispositivo del usuario cuando los usuarios inician sesión en NetScaler Gateway por primera vez. Si un usuario no instala el complemento Endpoint Analysis en el dispositivo del usuario o decide omitir el análisis, no podrá iniciar sesión con el complemento NetScaler Gateway. De manera opcional, el usuario se puede poner en un grupo de cuarentena en el que el usuario obtiene acceso limitado a los recursos de la red interna.
En este tema, se utiliza una exploración de la EPA como verificación inicial en una autenticación nFactor o multifactor.
El usuario se conecta a la dirección IP virtual de NetScaler Gateway. Se inicia una exploración de la EPA. Si un escaneo EPA se realiza correctamente, el usuario se representa con la página de inicio de sesión con los campos de nombre de usuario y contraseña para la autenticación basada en RADIUS u OTP. De lo contrario, el usuario se representa con una página de inicio de sesión, pero esta vez el usuario se autentica mediante la autenticación basada en LDAP o AD (Active Directory). En función del éxito o el fracaso de las credenciales proporcionadas por el usuario, se le proporciona acceso.
La implementación de esta lógica publica la EPA:
-
Si la exploración de la EPA tiene éxito, el usuario se coloca o etiqueta en un grupo de usuarios predeterminado.
-
Si la exploración de la EPA falla, el usuario se coloca o etiqueta en un grupo de cuarentena.
-
El siguiente método de autenticación (RADIUS o LDAP) se elige en función de la pertenencia al grupo de usuarios, tal como se determina en los dos primeros pasos.
Requisitos previos
Asegúrese de que la siguiente configuración esté en su lugar.
- Configuraciones de servidor virtual o puerta de enlace VPN y servidor virtual de autenticación
- Grupos de usuarios de autenticación, autorización y auditoría (para grupos de usuarios predeterminados y en cuarentena) y directivas asociadas
- Configuraciones de servidores LDAP y RADIUS y directivas asociadas
En la siguiente ilustración se muestra la asignación de directivas y etiquetas de directivas. Este es el enfoque utilizado para la configuración, pero de derecha a izquierda.
Nota: La configuración también se puede crear mediante el visualizador nFactor disponible en la versión 13.0 y versiones posteriores de NetScaler.
Realice lo siguiente mediante la CLI
-
Configure una directiva LDAP Auth para comprobar la pertenencia al grupo quarantined_group y asociarla a una directiva LDAP configurada para autenticarse con un servidor LDAP determinado. En el siguiente comando de ejemplo,
ldap-auth
es el nombre de la directiva de autenticación yldap_server1
es el nombre de la acción LDAP creada.add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1 <!--NeedCopy-->
-
Configure la directiva RADIUS-Auth para comprobar la pertenencia a default_group y asociarla a una directiva RADIUS configurada para autenticarse con un servidor RADIUS determinado. En el siguiente comando de ejemplo,
radius-auth
es el nombre de la directiva de autenticación yradius_server1
es el nombre de la acción RADIUS creada.add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1 <!--NeedCopy-->
-
Configure la etiqueta de directiva post-epa-usergroup-check con un esquema de inicio de sesión para capturar el nombre de usuario y la contraseña de un solo factor.
add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid <!--NeedCopy-->
Nota: Si no quiere utilizar el esquema incorporado lschema_single_factor_deviceid, puede reemplazarlo con el esquema según sus requisitos.
-
Asocie las directivas configuradas en los pasos 1 y 2 con la etiqueta de directiva configurada en el paso 3.
bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END <!--NeedCopy-->
Nota: END indica el fin del mecanismo de autenticación para ese tramo.
-
Cree una acción para realizar el análisis de la EPA y asociarlo a una directiva de análisis de la EPA.
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group -quarantineGroup quarantined_group <!--NeedCopy-->
Default_group y quarantined_group son grupos de usuarios preconfigurados. La expresión del paso 5 analiza si los usuarios de macOS tienen una versión de explorador inferior a la 10.0.3 o si los usuarios de Windows 7 tienen instalado el Service Pack 1.
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
Asocie una directiva de escaneo de la EPA al servidor virtual de autenticación, autorización y auditoría; el siguiente paso apunta a la etiqueta de la directiva posterior a la verificación de grupo de usuarios de la epa. Esto es para llevar a cabo el siguiente paso en la autenticación.
bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 -nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT <!--NeedCopy-->
Configuración mediante el visualizador nFactor
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > nFactor Visualizer > nFactor Flow y haga clic en Agregar.
-
Haga clic en + para agregar el flujo de nFactor.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.
Nota: No se requiere ningún esquema para el primer factor.
-
Haga clic en Agregar directiva y, a continuación, en Agregar para crear una directiva de autenticación para la comprobación de la EPA.
-
En el campo Acción, haga clic en Agregar para agregar la acción de la EPA.
Para obtener más información sobre la EPA, consulte Configuración del análisis avanzado de puntos finales.
-
Haga clic en el signo + verde en el bloque EPA_nFactor para agregar el siguiente factor para la verificación del grupo de usuarios posterior a la EPA.
-
Haga clic en Agregar esquema para agregar el esquema del segundo factor. Seleccione el esquema lschema_single_factor_deviceid.
-
Haga clic en Agregar directiva para seleccionar la directiva de autenticación LDAP.
La directiva de LDAP comprueba si el usuario forma parte del grupo en cuarentena. Para obtener más información sobre la creación de autenticación LDAP, consulte Configuración de la autenticación LDAP.
-
Haga clic en el signo + azul del bloque EPA_nFactor para agregar la segunda autenticación.
-
Haga clic en Agregar para seleccionar la directiva para la autenticación RADIUS. Para obtener más información sobre la creación de autenticación RADIUS, consulte Configuración de la autenticación RADIUS.
La directiva del LDAP comprueba si el usuario forma parte del grupo predeterminado.
-
Haga clic en Listo.
-
Una vez completado el flujo de nFactor, vincule este flujo al servidor virtual de autenticación, autorización y auditoría. Haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.
Desenlazar el flujo de nFactor
-
Seleccione el flujo nFactor y haga clic en Mostrar enlaces.
-
Seleccione el servidor virtual de autenticación y haga clic en Desvincular.