Configurar el nombre de usuario de relleno previo del certificado en la autenticación nFactor de NetScaler
En la siguiente sección se describe el caso de uso de la autenticación de dos factores. El primer factor es la autenticación de certificados seguida de LDAP.
Caso de uso: Autenticación de certificados y LDAP
Supongamos un caso de uso donde los administradores configuran la autenticación de dos factores. Autenticación de certificado de primer nivel y seguida de autenticación LDAP. Como parte del primer factor, el cliente solicita un certificado de usuario. El nombre de usuario se extrae del certificado y se rellena previamente en el campo de nombre de usuario del formulario de inicio de sesión devuelto para el siguiente factor.
-
El explorador cliente accede al servidor virtual de administración del tráfico y se le redirige a una página de inicio de sesión para su autenticación.
-
El primer factor se evalúa en función de una acción de certificado que extrae el nombre de usuario. La evaluación es correcta y pasa al siguiente factor, la directiva “label1” en este caso.
-
La etiqueta de la directiva especifica que el segundo factor es el esquema de inicio de sesión “PrefilUserFromExpr.xml” con la directiva LDAP.
-
Se devuelve el formulario de inicio de sesión con el nombre de usuario rellenado previamente para obtener la contraseña del usuario para la autenticación LDAP.
-
El servidor de autenticación devuelve cookies y una respuesta que redirige el explorador del cliente al servidor virtual de administración del tráfico, donde se encuentra el contenido solicitado. Por otro lado, si el inicio de sesión falla, el explorador del cliente recibe la página de inicio de sesión original para que el cliente pueda volver a intentarlo.
Nota
La configuración también se puede crear a través del visualizador nFactor disponible en NetScaler versión 13.0 y posteriores.
Realice lo siguiente mediante la CLI
-
Configure el servidor virtual de administración del tráfico y el servidor de autenticación.
add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
-
set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory
o
set ssl parameter –denysslrenegotiation NO
-
Configure un primer factor como acción de certificado.
add authentication certAction cert -userNameField Subject:CN
add authentication Policy certpol -rule true -action cert
-
Configura un segundo factor.
add authentication loginSchema PrefilUserFromExpr -authenticationSchema PrefilUserFromExpr.xml
add authentication policylabel label1 -loginSchema PrefilUserFromExpr
-
Configure la acción LDAP.
add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
add authentication Policy ldappolicy -rule true -action ldapact
-
Enlazar las directivas.
bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END
Configuración mediante nFactor Visualizer
-
Vaya a Seguridad > Tráfico de aplicaciones AAA > nFactor Visualizer > nFactor Flow y haga clic en Agregar.
-
Haga clic en + para agregar el flujo de nFactor.
-
Agregue un factor. El nombre que introduzca es el nombre del flujo de nFactor.
-
No se necesita ningún esquema para la autenticación del certificado.
-
Haga clic en Agregar directiva para crear una directiva para la autenticación de certificados.
-
Agregar directiva para la autenticación de certificados.
Nota
Para obtener más información sobre la autenticación de certificados, consulte Configuración y vinculación de una directiva de autenticación de certificados de cliente.
-
Haga clic en verde + junto a la directiva de certificado para agregar el siguiente factor.
-
Seleccione Crear factor para crear un factor para la autenticación LDAP.
-
Haga clic en Agregar esquema para agregar un esquema PrefilUserFormExpr.xml para el segundo factor que tiene el nombre de usuario rellenado previamente.
-
Seleccione Agregar directiva para agregar directivas para la autenticación LDAP.
Nota
Para obtener más información sobre la creación de autenticación LDAP, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.
-
Haga clic en Listo para guardar la configuración.
-
Para enlazar el nFactor Flow creado a un servidor virtual de autenticación, autorización y auditoría, haga clic en Vincular al servidor de autenticación y, a continuación, en Crear.
Nota
Enlazar y desvincular el flujo nFactor a través de la opción dada en nFactor Flow en Mostrar enlaces solamente.
Desvincular el flujo nFactor
-
Seleccione el flujo de nFactor y haga clic en Mostrar enlaces.
-
Seleccione el servidor virtual de autenticación y haga clic en Desvincular.