Configurar la devolución de contraseña con RADIUS
Puede reemplazar las contraseñas de dominio por una contraseña de un solo uso que genera un token desde un servidor RADIUS. Cuando los usuarios inician sesión en NetScaler Gateway, introducen un número de identificación personal (PIN) y el código de acceso del token. Una vez que NetScaler Gateway valida sus credenciales, el servidor RADIUS devuelve la contraseña de Windows del usuario a NetScaler Gateway. NetScaler Gateway acepta la respuesta del servidor y, a continuación, utiliza la contraseña devuelta para el inicio de sesión único en lugar de utilizar el código de acceso que los usuarios escribían durante el inicio de sesión. Esta devolución de contraseña con la función RADIUS permite configurar el inicio de sesión único sin que los usuarios tengan que recuperar su contraseña de Windows.
Cuando los usuarios inician sesión con la devolución de contraseña, pueden acceder a todos los recursos de red permitidos en la red interna, incluidos Citrix Endpoint Management, StoreFront y la interfaz web.
Para habilitar el inicio de sesión único mediante contraseñas devueltas, configure una directiva de autenticación RADIUS en NetScaler Gateway mediante los parámetros Identificador de proveedor de contraseña y Tipo de atributo de contraseña. Estos dos parámetros devuelven la contraseña de Windows del usuario a NetScaler Gateway.
NetScaler Gateway admite Imprivata OneSign. La versión mínima requerida de Imprivata OneSign es 4.0 con service pack 3. El identificador de proveedor de contraseñas predeterminado para Imprivata OneSign es 398. El código de tipo de atributo de contraseña predeterminado para Imprivata OneSign es 5.
Puede utilizar otros servidores RADIUS para devolver contraseñas, como RSA, Cisco o Microsoft. Configure el servidor RADIUS para que devuelva la contraseña de inicio de sesión único del usuario en un par de valores de atributos específicos del proveedor. En una directiva de autenticación de NetScaler Gateway, debe agregar los parámetros Identificador de proveedor de contraseña y Tipo de atributo de contraseña para estos servidores.
Puede encontrar una lista completa de identificadores de proveedores en el sitio web de la Autoridad de Números Asignados de Internet (IANA). Por ejemplo, el identificador de proveedor para la seguridad RSA es 2197, para Microsoft es 311 y para Cisco Systems es 9. El atributo específico del proveedor que admite un proveedor debe confirmarse con el proveedor. Por ejemplo, Microsoft ha publicado una lista de atributos específicos del proveedor en Atributos RADIUS específicos del proveedor de Microsoft.
Puede seleccionar cualquiera de los atributos específicos del proveedor para almacenar la contraseña de inicio de sesión único de los usuarios en el servidor RADIUS del proveedor. Si configura NetScaler Gateway con el identificador de proveedor y el atributo donde se almacena la contraseña de usuario en el servidor RADIUS, NetScaler Gateway solicita el valor del atributo en el paquete de solicitud de acceso que se envía al servidor RADIUS. Si el servidor RADIUS responde con el par atributo-valor correspondiente en el paquete de aceptación de acceso, la devolución de contraseña funciona independientemente del servidor RADIUS que utilice.
Para configurar el inicio de sesión único mediante contraseñas devueltas:
- En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas\ > Autenticación.
- En el panel de navegación, haga clic en RADIUS.
- En el panel de detalles, haga clic en Agregar.
- En el cuadro de diálogo Crear política de autenticación , en Nombre, escriba un nombre para la política.
- Junto a Servidor , haz clic en Nuevo .
- En Nombre, escriba el nombre del servidor.
- Configure los ajustes del servidor RADIUS.
- En Identificador de proveedor de contraseña, escriba el identificador de proveedor que devuelve el servidor RADIUS. Este identificador debe tener un valor mínimo de 1.
- En Tipo de atributo de contraseña, escriba el tipo de atributo que devuelve el servidor RADIUS en el código AVP específico del proveedor. El valor puede oscilar entre 1 y 255.
- En el cuadro de diálogo Crear directiva de autenticación , junto a Expresiones con nombre , seleccione la expresión, haga clic en Agregar expresión , en Crear y, a continuación, en Cerrar .