-
-
Configurar los tipos de autenticación global predeterminados
-
Configuración de la autenticación con certificados del cliente
-
Configurar NetScaler Gateway para usar la autenticación RADIUS y LDAP con dispositivos móviles
-
Restringir el acceso a NetScaler Gateway para los miembros de un grupo de Active Directory
-
-
Compatibilidad de configuración para el atributo de cookie SameSite
-
Optimización del túnel dividido VPN de NetScaler Gateway para Office365
-
Configurar la experiencia de usuario VPN
-
Cómo funcionan las conexiones de usuario con el plug-in de NetScaler Gateway
-
Cómo configurar la configuración completa de VPN en un dispositivo Citrix Gateway
-
Implementar plug-ins de NetScaler Gateway para el acceso de usuarios
-
Integración del plug-in de NetScaler Gateway con Citrix Receiver
-
Configuración de conexiones para el plug-in de NetScaler Gateway
-
AlwaysOn VPN antes del inicio de sesión en Windows (formalmente servicio AlwaysOn)
-
-
Implementación en una DMZ de doble salto
-
Implementación de NetScaler Gateway en una DMZ de doble salto
-
Flujo de comunicación en una implementación DMZ de doble salto
-
Instalar y configurar NetScaler Gateway en una DMZ de doble salto
-
-
Mantener y supervisar el sistema
-
Cómo se conectan los usuarios a las aplicaciones, los escritorios y ShareFile
-
Implementación con Citrix Endpoint Management, Citrix Virtual Apps y Citrix Virtual Desktops
-
Acceder a los recursos de Citrix Virtual Apps and Desktops con la Interfaz Web
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Establecimiento de una conexión segura a la comunidad de servidores
-
Configurar opciones adicionales de la Interfaz Web en NetScaler Gateway
-
Configurar el acceso a aplicaciones y escritorios virtuales en la Interfaz Web
-
Configurar Single Sign-On en la Interfaz Web
-
Para configurar el inicio de sesión único en aplicaciones web globalmente
-
Para configurar el inicio de sesión único en aplicaciones web mediante una directiva de sesión
-
Para definir el puerto HTTP para Single Sign-On en aplicaciones web
-
Configurar Single Sign-On en la Interfaz Web mediante una tarjeta inteligente
-
Para configurar Single Sign-On para Citrix Virtual Apps y recursos compartidos de archivos
-
-
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Configurar parámetros para el entorno de Citrix Endpoint Management
-
Configurar servidores de equilibrio de carga para Citrix Endpoint Management
-
Configurar el filtrado ActiveSync de NetScaler Connector (XNC) de Citrix Endpoint Management
-
Permitir el acceso desde dispositivos móviles con aplicaciones móviles de productividad de Citrix
-
Configurar la autenticación de token de dominio y seguridad para Citrix Endpoint Management
-
Configurar el certificado de cliente o el certificado de cliente y la autenticación de dominio
-
-
RfWebUI Persona en la configuración de la experiencia de usuario de NetScaler Gateway
-
Compatibilidad con proxy PCoIP habilitado para NetScaler Gateway para VMware Horizon View
-
Configuración automática de proxy para proxy saliente compatible con NetScaler Gateway
-
Integrar NetScaler Gateway en Citrix Virtual Apps and Desktops
-
Compatibilidad nativa de OTP para la autenticación
-
Validar el certificado del servidor durante un protocolo de enlace SSL
-
Configuración simplificada de aplicaciones SaaS mediante una plantilla
-
Configurar el certificado de dispositivo en nFactor como un componente EPA
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Compatibilidad con OTP nativa para la autenticación
NetScaler Gateway admite contraseñas de un solo uso (OTP) sin tener que usar un servidor de terceros. La contraseña de un solo uso es una opción muy segura para autenticarse en servidores seguros, ya que el número o código de acceso generado es aleatorio. Anteriormente, firmas especializadas, como RSA con dispositivos específicos que generan números aleatorios, ofrecían los OTP. Este sistema debe estar en comunicación constante con el cliente para generar un número esperado por el servidor.
Además de reducir los gastos de capital y operativos, esta función mejora el control del administrador al mantener toda la configuración en el dispositivo Citrix ADC.
Nota: Dado que ya no se necesitan servidores de terceros, el administrador de NetScaler ADC debe configurar una interfaz para administrar y validar los dispositivos de usuario.
El usuario debe estar registrado en un servidor virtual de NetScaler Gateway para utilizar la solución OTP. El registro solo es necesario una vez por dispositivo único y se puede restringir a determinados entornos. La configuración y validación de un usuario registrado es similar a la configuración de una directiva de autenticación adicional.
Ventajas de tener función de OTP nativa
- Reduce los costes operativos al eliminar la necesidad de tener una infraestructura adicional en un servidor de autenticación además de Active Directory.
- Consolida la configuración solo en el dispositivo Citrix ADC, lo que ofrece un gran control a los administradores.
- Elimina la dependencia del cliente de un servidor de autenticación adicional para generar un número esperado por los clientes.
flujo de trabajo OTP nativo
La solución OTP nativa es un proceso doble y el flujo de trabajo se clasifica de la siguiente manera:
- Registro de dispositivos
- Inicio de sesión de usuario final
Importante: Puede omitir el proceso de registro si utiliza soluciones de terceros o administra otros dispositivos distintos del dispositivo NetScaler ADC. La cadena final que agregue debe tener el formato especificado por Citrix ADC.
En la siguiente ilustración se muestra el flujo de registro de dispositivos para registrar un nuevo dispositivo para recibir OTP.
Nota: El registro del dispositivo se puede realizar mediante cualquier número de factores. El factor único (como se especifica en la ilustración anterior) se utiliza como ejemplo para explicar el proceso de registro del dispositivo.
En la siguiente ilustración se muestra la verificación de OTP a través del dispositivo registrado.
Requisitos previos
Para utilizar la función OTP nativa, asegúrese de que se cumplen los siguientes requisitos previos.
- La versión de la función Citrix ADC es 12.0, compilación 51.24 y versiones posteriores.
- La licencia Advanced o Premium Edition está instalada en Citrix Gateway.
- NetScaler Gateway está configurado con IP de administración y se puede acceder a la consola de administración mediante un explorador y una línea de comandos.
- Citrix ADC está configurado con un servidor virtual de autenticación, autorización y auditoría para autenticar a los usuarios.
- El dispositivo Citrix ADC se configura con Unified Gateway y el perfil de autenticación, autorización y auditoría se asigna al servidor virtual Gateway.
- La solución OTP nativa está restringida al flujo de autenticación nFactor. Se requieren directivas avanzadas para configurar la solución. Para obtener más información, consulte el artículo CTX222713.
Asegúrese también de lo siguiente para Active Directory:
- Longitud mínima de atributo de 256 caracteres.
- El tipo de atributo debe ser ‘DirectoryString’, como UserParameters. Estos atributos pueden contener valores de cadena.
- El tipo de cadena de atributos debe ser Unicode, si el nombre del dispositivo no está escrito en inglés.
- El administrador LDAP de Citrix ADC debe tener acceso de escritura al atributo AD seleccionado.
- El dispositivo Citrix ADC y la máquina cliente deben sincronizarse con un servidor horario de red común.
Configurar OTP nativo mediante la GUI
El registro OTP nativo no es solo una autenticación de un solo factor. Las siguientes secciones le ayudan a configurar la autenticación de un solo factor y de segundo factor.
Crear esquema de inicio de sesión para el primer factor
- Vaya a Seguridad AAA > Tráfico de aplicaciones > Esquema de iniciode sesión.
- Vaya a Perfiles y haga clic en Agregar.
- En la página Crear esquema de inicio de sesión de autenticación, escriba lschema_single_auth_manage_otp en el campo Nombre y haga clic en Modificar junto a noschema.
- Haga clic en la carpeta LoginSchema.
- Desplácese hacia abajo para seleccionar SingleAuth.xml y haga clic en Seleccionar.
- Haga clic en Crear.
- Haga clic en Directivas y haga clic en Agregar.
-
En la pantalla Crear directiva de esquema de inicio de sesión de autenticación, introduzca los valores siguientes.
Nombre: lpol_single_auth_manage_otp_by_url Perfil: seleccione lpol_single_auth_manage_otp_by_url de la lista. Regla: HTTP.REQ.COOKIE.VALUE(“NSC_TASS”).EQ(“
manageotp
”)
Configurar el servidor virtual de autenticación, autorización y auditoría
- Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales de autenticación. Haga clic para modificar el servidor virtual existente.
- Haga clic en el icono + situado junto a Esquemas de inicio de sesión en Configuración avanzada en el panel derecho.
- Selecciona Sin esquema de inicio de sesión.
- Haga clic en la flecha y seleccione la directiva lpol_single_auth_manage_otp_by_url.
- Seleccione la directiva lpol_single_auth_manage_otp_by_url y haga clic en Seleccionar.
- Haga clic en Vincular.
- Desplácese hacia arriba y seleccione 1 Directiva de autenticación en Directiva de autenticación avanzada.
- Haga clic con el botón derecho en la directiva nFactor y seleccione Modificar enlace.
- Haga clic en el icono + presente en Seleccionar factor siguiente, cree un factor siguiente y haga clic en Vincular.
-
En la pantalla Crear autenticación
PolicyLabel
, introduzca lo siguiente y haga clic en Continuar:Nombre: manage_otp_flow_label
Esquema de inicio de sesión: Lschema_Int
-
En la pantalla Etiqueta de directiva de autenticación, haga clic en el icono + para crear una directiva.
-
En la pantalla Crear directiva de autenticación, escriba lo siguiente:
Nombre: auth_pol_ldap_otp_action
- Seleccione el tipo de acción mediante la lista Tipo de acción.
- En el campo Acción, haga clic en el icono + para crear una Acción.
-
En la página Crear servidor LDAP de autenticación, seleccione el botón de opción IP del servidor, anule la selección de la casilla de verificación situada junto a Autenticación, introduzca los valores siguientes y seleccione Probar conexión.
Nombre: ldap_otp_action
Dirección IP: 192.168.10.11
DN base: DC = formación, DC = laboratorio
Administrador: Administrator@training.lab
Contraseña:
xxxxx
- Desplácese hacia abajo hasta la sección Otros ajustes. Utilice el menú desplegable para seleccionar las siguientes opciones. Atributo de nombre de inicio de sesión del servidor como nuevo y escriba userprincipalname.
- Utilice el menú desplegable para seleccionar Atributo de nombre de SSO como Nuevo y escriba userprincipalname.
- Introduzca “UserParameters” en el campo OTP Secret y haga clic en Más.
-
Introduzca los siguientes atributos.
Atributo 1 = mail Atributo 2 = Atributo objectGUID 3 = immutableID
- Haga clic en Aceptar.
- En la página Crear directiva de autenticación, establezca la expresión en true y haga clic en Crear.
- En la página Crear etiqueta de directiva de autenticación, haga clic en Vincular y haga clic en Listo.
- En la página Enlace de directivas, haga clic en Vincular.
- En la página Directiva de autenticación, haga clic en Cerrar y haga clic en Listo.
Nota
El servidor virtual de autenticación debe estar vinculado al tema del portal RFWebUI. Enlace un certificado de servidor al servidor. La IP del servidor ‘1.2.3.5’ debe tener un FQDN correspondiente, es decir, otpauth.server.com, para su uso posterior.
Crear esquema de inicio de sesión para OTP de segundo factor
- Vaya a Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales. Seleccione el servidor virtual que va a modificar.
- Vaya hacia abajo y seleccione 1 esquema de inicio de sesión.
- Haga clic en Add Binding.
- En la sección Vinculación de directivas, haga clic en el icono + para agregar una directiva.
- En la página Crear directiva de esquema de inicio de sesión de autenticación, escriba Nombre como OTP y haga clic en el icono + para crear un perfil.
- En la página Crear esquema de inicio de sesión de autenticación, escriba Nombre como OTP y haga clic en el icono situado junto a noschema.
- Haga clic en la carpeta LoginSchema, seleccione DualAuthManageOTP.xmly, a continuación, haga clic en Seleccionar.
- Haga clic en Crear.
- En la sección Regla, escriba True. Haga clic en Crear.
- Haga clic en Bind.
- Observe los dos factores de autenticación. Haga clic en Cerrar y haga clic en Listo.
Configurar la directiva de cambio de contenido para administrar OTP
Las siguientes configuraciones son necesarias si utiliza Unified Gateway.
-
Vaya a Administración del tráfico > Cambio de contenido > Directivas. Seleccione la directiva de cambio de contenido, haga clic con el botón derecho y seleccione Modificar.
-
Modifique la expresión para evaluar la siguiente instrucción OR y haga clic en Aceptar:
es_vpn_url |
Configurar OTP nativo mediante la CLI
Debe disponer de la siguiente información para configurar la página de administración de dispositivos OTP:
- IP asignada al servidor virtual de autenticación
- FQDN correspondiente a la IP asignada
- Certificado de servidor para servidor virtual de autenticación
Nota: La OTP nativa es solo una solución basada en web.
Para configurar la página de registro y administración de dispositivos OTP
Crear servidor virtual de autenticación
add authentication vserver authvs SSL 1.2.3.5 443
bind authentication vserver authvs -portaltheme RFWebUI
bind ssl vserver authvs -certkeyname otpauthcert
<!--NeedCopy-->
Nota: El servidor virtual de autenticación debe estar enlazado al tema del portal RFWebUI. Enlace un certificado de servidor al servidor. La IP del servidor ‘1.2.3.5’ debe tener un FQDN correspondiente, es decir, otpauth.server.com, para su uso posterior.
Para crear una acción de inicio de sesión LDAP
add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> - serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWO> -ldapLoginName <USER FORMAT>
<!--NeedCopy-->
Ejemplo:
add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname
<!--NeedCopy-->
Para agregar la directiva de autenticación para el inicio de sesión de LDAP
add authentication Policy auth_pol_ldap_logon -rule true -action ldap_logon_action
<!--NeedCopy-->
Para presentar la interfaz de usuario a través de LoginSchema
Mostrar campo de nombre de usuario y campo de contraseña a los usuarios al iniciar sesión
add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/loginschema/LoginSchema/SingleAuthManageOTP.xml"
<!--NeedCopy-->
Mostrar la página de registro y administración de dispositivos
Citrix recomienda dos formas de mostrar la pantalla de registro y administración del dispositivo: URL o nombre de host.
-
Uso de URL
Cuando la URL contiene ‘/manageotp’
add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")" -action lschema_single_auth_manage_otp
bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END
-
Uso del nombre de host
Cuando el nombre de host es ‘alt.server.com’
add authentication loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")" -action lschema_single_auth_manage_otp
bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END
Para configurar la página de inicio de sesión de usuario mediante la CLI
Debe disponer de la siguiente información para configurar la página Inicio de sesión de usuario:
- IP de un servidor virtual de equilibrio de carga
- FQDN correspondiente para el servidor virtual de equilibrio de carga
-
Certificado de servidor para el servidor virtual de equilibrio de carga
vincular ssl vserver lbvs_https -certkeyname lbvs_server_cert
El servicio back-end en el equilibrio de carga se representa de la siguiente manera:
add service iis_backendsso_server_com 1.2.3.210 HTTP 80
bind lb vserver lbvs_https iis_backendsso_server_com
<!--NeedCopy-->
Para crear una acción de validación de código de acceso OTP
add authentication ldapAction <LDAP ACTION NAME> -serverIP <SERVER IP> -serverPort <SERVER PORT> -ldapBase <BASE> -ldapBindDn <AD USER> -ldapBindDnPassword <PASSWORD> -ldapLoginName <USER FORMAT> -authentication DISABLED -OTPSecret <LDAP ATTRIBUTE>
<!--NeedCopy-->
Ejemplo:
add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD -ldapLoginName userprincipalname -authentication DISABLED -OTPSecret userParameters
<!--NeedCopy-->
Importante: La diferencia entre el inicio de sesión LDAP y la acción OTP es la necesidad de inhabilitar la autenticación e introducir un nuevo parámetro
OTPSecret
. No utilice el valor del atributo AD.
Para agregar directiva de autenticación para la validación de código de acceso OTP
add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action
<!--NeedCopy-->
Para presentar la autenticación de dos factores a través de LoginSchema
Agregue la interfaz de usuario para la autenticación de dos factores.
```add authentication loginSchema lscheme_dual_factor -authenticationSchema “/nsconfig/loginschema/LoginSchema/DualAuth.xml” add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor
#### Para crear un factor de validación de código de acceso mediante la etiqueta de directiva
Crear una etiqueta de directiva de flujo OTP de administración para el siguiente factor (el primer factor es inicio de sesión LDAP)
add authentication loginSchema lschema_noschema -authenticationSchema noschema add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema
#### Para enlazar la directiva OTP a la etiqueta de directiva
bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT
#### Para enlazar el flujo de la interfaz de usuario
Enlazar el inicio de sesión LDAP seguido de la validación OTP con el servidor virtual de autenticación.
bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT bind authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END ```
Registre su dispositivo con Citrix ADC
- Vaya a el FQDN de NetScaler ADC (primera IP pública), con el sufijo /manageotp. Por ejemplo, inicie sesión en https://otpauth.server.com/manageotp con credenciales de usuario.
-
Haga clic en el ícono + para agregar un dispositivo.
- Introduzca el nombre de un dispositivo y presione Ir. Aparece un código de barras en la pantalla.
- Haga clic en Iniciar configuración y luego haga clic en Escanear código de barras
-
Coloque la cámara del dispositivo sobre el código QR. Si lo quiere, puede introducir el código de 16 dígitos.
Nota: El código QR mostrado es válido durante 3 minutos.
-
Una vez escaneado correctamente, se le presenta un código sensible al tiempo de 6 dígitos que se puede utilizar para iniciar sesión.
- Para realizar la prueba, haga clic en Listo en la pantalla QR y, a continuación, haga clic en la marca de verificación verde de la derecha.
- Seleccione su dispositivo en el menú desplegable e introduzca el código de Google Authenticator (debe ser azul, no rojo) y haga clic en Ir.
- Asegúrate de cerrar la sesión mediante el menú desplegable de la esquina superior derecha de la página.
Inicie sesión en Citrix ADC mediante la OTP
- Navegue a la primera URL pública e introduzca su OTP desde Google Authenticator para iniciar sesión.
-
Autenticación en la página inicial de Citrix ADC.
Compartir
Compartir
En este artículo
- Ventajas de tener función de OTP nativa
- flujo de trabajo OTP nativo
- Requisitos previos
- Configurar OTP nativo mediante la GUI
- Configurar OTP nativo mediante la CLI
- Mostrar la página de registro y administración de dispositivos
- Registre su dispositivo con Citrix ADC
- Inicie sesión en Citrix ADC mediante la OTP
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.