Configurar certificados de cliente y autenticación de dos factores LDAP
Puede utilizar un certificado de cliente seguro con autenticación y autorización LDAP, por ejemplo, mediante autenticación de tarjeta inteligente con LDAP. El usuario inicie sesión y, a continuación, se extrae el nombre de usuario del certificado de cliente. El certificado de cliente es la forma principal de autenticación y LDAP es el formulario secundario. La autenticación de certificados de cliente debe tener prioridad sobre la directiva de autenticación LDAP. Al establecer la prioridad de las directivas, asigne un número inferior a la directiva de autenticación de certificados de cliente que el número que asigna a la directiva de autenticación LDAP.
Para usar un certificado de cliente, debe tener una entidad de certificación (CA) de empresa, como Servicios de certificados de Windows Server 2008, ejecutándose en el mismo equipo que ejecuta Active Directory. Puede utilizar la entidad emisora de certificados para crear un certificado de cliente.
Para utilizar un certificado de cliente con autenticación y autorización LDAP, debe ser un certificado seguro que utilice la Secure Sockets Layer (SSL). Para utilizar certificados de cliente seguros para LDAP, instale el certificado de cliente en el dispositivo de usuario e instale el certificado raíz correspondiente en NetScaler Gateway.
Antes de configurar un certificado de cliente, haga lo siguiente:
- Cree un servidor virtual.
- Cree una directiva de autenticación LDAP para el servidor LDAP.
- Defina la expresión de la directiva LDAP en Valor verdadero.
Para configurar la autenticación de certificados de cliente con LDAP
- En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas\ > Autenticación.
- En el panel de navegación, en Autenticación, haga clic en Certificado.
- En el panel de detalles, haga clic en Agregar.
- En Nombre, escriba un nombre para la directiva.
- En Tipo de autenticación, seleccione Certificado.
- Junto a Servidor , haz clic en Nuevo .
- En Nombre, escriba un nombre para el servidor y, a continuación, haga clic en Crear.
- En el cuadro de diálogo Crear servidor de autenticación, en Nombre, escriba el nombre del servidor.
- Junto a Dos factores, selecciona ON.
- En el campo Nombre de usuario, seleccione Asunto:CN y, a continuación, haga clic en Crear.
- En el cuadro de diálogo Crear directiva de autenticación, junto a Expresiones con nombre, seleccione Valor verdadero, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.
Después de crear la directiva de autenticación de certificados, enlaza la directiva al servidor virtual. Después de vincular la directiva de autenticación de certificados, vincule la directiva de autenticación LDAP al servidor virtual.
Importante: Debe enlazar la directiva de autenticación de certificados al servidor virtual antes de enlazar la directiva de autenticación LDAP al servidor virtual.
Para instalar un certificado raíz en NetScaler Gateway
Después de crear la directiva de autenticación de certificados, descarga e instala un certificado raíz de la CA en formato Base64 y lo guarda en el equipo. A continuación, puede cargar el certificado raíz en NetScaler Gateway.
- En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda SSL y, a continuación, haga clic en Certificados.
- En el panel de detalles, haga clic en Instalar.
- En Certificado: nombre del par de claves, escriba un nombre para el certificado.
- En Nombre de archivo de certificado, haga clic en Examinar y, en la lista, seleccione Equipo o Local.
- Vaya a el certificado raíz, haga clic en Abrir y, a continuación, haga clic en Instalar.
Para agregar un certificado raíz a un servidor virtual
Después de instalar el certificado raíz en NetScaler Gateway, agregue el certificado al almacén de certificados del servidor virtual.
Importante: Al agregar el certificado raíz al servidor virtual para la autenticación con tarjeta inteligente, debe seleccionar el certificado en el cuadro de lista Seleccionar certificado de CA, como se muestra en la siguiente ilustración.
Figura 1. Agregar un certificado raíz como entidad emisora de certificados
-
En la utilidad de configuración, en la pestaña Configuración , en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Servidores virtuales .
-
En el panel de detalles, seleccione un servidor virtual y, a continuación, haga clic en Abrir .
-
En la ficha Certificados, en Disponible, seleccione el certificado, junto a Agregar, en la lista, haga clic en CA y, a continuación, haga clic en Aceptar.
-
Repita el paso 2.
-
En la ficha Certificados, haga clic en Parámetros SSL.
-
En Otros, seleccione Autenticación de cliente.
-
En Otros, junto a Certificado de cliente, seleccione Opcional y, a continuación, haga clic en Aceptar dos veces.
-
Después de configurar el certificado de cliente, pruebe la autenticación iniciando sesión en NetScaler Gateway con el plug-in de NetScaler Gateway. Si tiene más de un certificado instalado, recibirá un mensaje en el que se le pedirá que seleccione el certificado correcto. Después de seleccionar el certificado, aparece la pantalla de inicio de sesión con el nombre de usuario rellenado con la información obtenida del certificado. Escriba la contraseña y, a continuación, haga clic en Login.
Si no ve el nombre de usuario correcto en el campo Nombre de usuario de la pantalla de inicio de sesión, compruebe las cuentas de usuario y los grupos del directorio LDAP. Los grupos definidos en NetScaler Gateway deben ser los mismos que los del directorio LDAP. En Active Directory, configure grupos en el nivel raíz del dominio. Si crea grupos de Active Directory que no están en el nivel raíz del dominio, puede producirse una lectura incorrecta del certificado de cliente.
Si los usuarios y los grupos no están en el nivel raíz del dominio, la página de inicio de sesión de NetScaler Gateway muestra el nombre de usuario configurado en Active Directory. Por ejemplo, en Active Directory, tiene una carpeta denominada Usuarios y el certificado dice CN=Usuarios. En la página de inicio de sesión, en Nombre de usuario, aparece la palabra Usuarios.
Si no quiere mover sus cuentas de grupo y usuario al nivel de dominio raíz, cuando configure el servidor de autenticación de certificados en NetScaler Gateway, deje en blanco el campo de nombre de usuario y el campo de nombre de grupo.