Gateway

nFactor para autenticación de puerta de enlace

La autenticación nFactor permite un conjunto completamente nuevo de posibilidades en relación con la autenticación. Los administradores que utilizan nFactor disfrutan de flexibilidad de autenticación, autorización y auditoría al configurar factores de autenticación para servidores virtuales.

Dos bancos de directivas o dos factores ya no restringen a un administrador. El número de bancos de directivas puede ampliarse para adaptarse a diferentes necesidades. En función de factores anteriores, nFactor determina un método de autenticación. Los formularios de inicio de sesión dinámicos y las acciones en caso de fallo son posibles mediante nFactor.

Importante

  • A partir de la versión 13.0, compilación 67.x, la autenticación nFactor solo se admite con la licencia estándar para el servidor virtual Gateway/VPN, y no para el servidor virtual de autenticación. En la licencia estándar, la GUI del visualizador nFactor no se puede utilizar para crear EPA en el flujo nFactor. Además, no puede modificar el esquema de inicio de sesión, pero debe usar el esquema de inicio de sesión listo para usar tal cual.
  • Para que NetScaler admita la autenticación nFactor, se necesita una licencia Advanced o Premium. Para obtener más información sobre la autenticación nFactor con NetScaler, consulte Autenticación nFactor.

Requisitos de licencia de funciones de autenticación, autorización y auditoría

En la siguiente tabla se enumeran los requisitos de licencia para las funciones de autenticación, autorización y auditoría disponibles.

Licencia estándar Licencia avanzada Licencia premium
  Autentificación LOCAL
  Autenticación LDAP
  Autenticación RADIUS
  Autenticación TACACS
  Autentificación web
  Autenticación de certificados cliente
  Negociar la autenticación
  Autenticación SAML
  Autenticación OAuth No
  OTP nativo No
  Correo electrónico OTP No
  Notificación push para OTP No No
  Preguntas y respuestas basadas en el conocimiento (autenticación KBA) No
  Restablecimiento de contraseña de autoservicio (SSPR) No
  Visualizador nFactor

Nota

  • Para obtener los pasos para configurar nFactor para la licencia estándar de NetScaler, consulte la sección Crear un servidor virtual de puerta de enlace para la autenticación nFactor en la licencia estándar de NetScaler.
  • Solo un servidor virtual de autenticación, autorización y auditoría no direccionable se puede vincular a un servidor virtual de puerta de enlace o VPN en la licencia NetScaler Standard.
  • La personalización de LoginSchema no está permitida en la licencia NetScaler Standard. La compatibilidad con nFactor es básica, con esquemas de inicio de sesión predeterminados y ya agregados que vienen con el dispositivo. El administrador puede utilizarlos en sus configuraciones, pero no puede agregar un esquema de inicio de sesión. Por lo tanto, la opción GUI está inhabilitada.

Casos de uso

La autenticación nFactor permite flujos de autenticación dinámicos basados en el perfil de usuario. En ocasiones, los flujos pueden ser sencillos e intuitivos para el usuario. En otros casos, se pueden combinar con la protección de active directory u otros servidores de autenticación. A continuación se indican algunos requisitos específicos de Gateway:

  1. Selección dinámica de nombre de usuario y contraseña. Tradicionalmente, los clientes (incluidos los exploradores web y los Receivers) utilizan la contraseña de Active Directory (AD) como primer campo de contraseña. La segunda contraseña está reservada para la contraseña de un solo tiempo (OTP). Sin embargo, para proteger los servidores de AD, es necesario validar primero OTP. nFactor puede hacerlo sin necesidad de modificaciones del cliente.

  2. Punto final de autenticación multiarrendatario. Algunas organizaciones utilizan distintos servidores de puerta de enlace para usuarios certificados y no certificados. Dado que los usuarios utilizan sus propios dispositivos para iniciar sesión, los niveles de acceso de los usuarios varían según el dispositivo NetScaler en función del dispositivo que se esté mediante. Gateway puede satisfacer diferentes necesidades de autenticación.

  3. Autenticación basada en la pertenencia a un grupo. Algunas organizaciones obtienen propiedades de usuario de los servidores de AD para determinar los requisitos de autenticación. Los requisitos de autenticación pueden variar para cada usuario.

  4. Cofactores de autenticación. En ocasiones, se utilizan diferentes pares de directivas de autenticación para autenticar distintos conjuntos de usuarios. La provisión de directivas de pares aumenta la autenticación efectiva. Las directivas dependientes se pueden crear a partir de un flujo. De esta manera, los conjuntos de directivas independientes se convierten en flujos propios que aumentan la eficiencia y reducen la complejidad.

Gestión de respuestas de autenticación

Los registros de devolución de llamada de NetScaler Gateway gestionan las respuestas de autenticación. Las respuestas AAAD (daemon de autenticación) y los códigos de éxito/fallo/error/diálogo se alimentan al gestor de devolución de llamada. Los códigos de éxito/fracaso/error/diálogo dirigen a Gateway a tomar las medidas adecuadas.

Soporte al cliente

En la tabla siguiente se detallan los detalles de configuración.

Cliente Soporte nFactor Punto de enlace de directiva de autenticación EPA
Exploradores web Autenticación
Aplicación Citrix Workspace VPN
Plug-in de Gateway VPN

Nota:

  • La aplicación Citrix Workspace admite la autenticación nFactor para los sistemas operativos compatibles de las siguientes versiones de la lista.
    • Windows 4.12
    • Linux 13.10
    • Mac 1808
    • iOS 2007
    • Android 1808
    • HTML5: compatible con Store Web
    • Chrome: compatible con Store Web

Configuración de línea de comandos

El servidor virtual de puerta de enlace necesita un servidor virtual de autenticación denominado como atributo. El nombre del servidor virtual como atributo es la única configuración necesaria para este modelo.

add authnProfile <name-of-profile> -authnVsName <name-of-auth-vserver>
<!--NeedCopy-->

authnVsName es el nombre del servidor virtual de autenticación. El servidor virtual authnVsName debe configurarse con directivas de autenticación avanzadas y se utiliza para la autenticación nFactor.

add vpn vserver <name> <serviceType> <IP> <PORT> -authnProfile <name-of-profile>
set vpn vserver <name> -authnProfile <name-of-profile>
<!--NeedCopy-->

Donde authnProfile es el perfil de autenticación creado anteriormente.

Retos de interoperabilidad

La mayoría de los clientes de Legacy Gateway, además de los clientes rfWeb, se modelan según las respuestas enviadas por Gateway. Por ejemplo, se espera una respuesta 302 a /vpn/index.html para muchos clientes. Estos clientes también dependen de varias cookies de puerta de enlace, como “pwcount”, “NSC_CERT”.

Análisis de puntos finales (EPA)

EPA en nFactor no es compatible con el módulo de autenticación, autorización y auditoría de NetScaler. Por lo tanto, el servidor virtual de NetScaler Gateway lleva a cabo EPA. Después de EPA, las credenciales de inicio de sesión se envían al servidor virtual de autenticación mediante la API mencionada anteriormente. Una vez finalizada la autenticación, Gateway continúa con el proceso posterior a la autenticación y establece la sesión del usuario.

Consideraciones sobre configuraciones erróneas

El cliente Gateway envía las credenciales de usuario solo una vez. Gateway obtiene una o dos credenciales del cliente con la solicitud de inicio de sesión. En el modo heredado, hay un máximo de dos factores. Las contraseñas obtenidas se utilizan para estos factores. Sin embargo, con nFactor el número de factores que se pueden configurar es prácticamente ilimitado. Las contraseñas obtenidas del cliente Gateway se reutilizan (según la configuración) para los factores configurados. Se debe tener cuidado de que la contraseña de un solo uso (OTP) no se vuelva a utilizar varias veces. Del mismo modo, un administrador debe asegurarse de que la contraseña reutilizada en un factor sea aplicable a ese factor.

Definición de clientes

La opción de configuración se proporciona para ayudar a NetScaler a determinar los clientes del explorador en comparación con los clientes pesados como Receiver.

Se proporciona un conjunto de patrones, ns_vpn_client_useragents, para que el administrador configure los patrones para todos los clientes.

Del mismo modo, vincular la cadena “Citrix Receiver” al patset anterior para ignorar todos los clientes que tengan “Citrix Receiver” en el user-Agent.

Restricción de nFactor para Gateway

nFactor para autenticación de puerta de enlace no se produce si se dan las siguientes condiciones.

  1. authnProfile no está establecido en NetScaler Gateway.

  2. Las directivas de autenticación avanzada no están vinculadas al servidor virtual de autenticación y el mismo servidor virtual de autenticación se menciona en authnProfile.

  3. La cadena User-Agent de la solicitud HTTP coincide con los agentes de usuario configurados en patset ns_vpn_client_useragents.

Si no se cumplen estas condiciones, se utiliza la directiva de autenticación clásica vinculada a Gateway.

Si un agente de usuario, o parte de él, está vinculado a lo mencionado anteriormente patset, las solicitudes procedentes de esos agentes de usuario no participan en el flujo de nFactor. Por ejemplo, el siguiente comando restringe la configuración de todos los exploradores (suponiendo que todos los exploradores contengan “Mozilla” en la cadena user-agent):

bind patset ns_vpn_client_useragents Mozilla
<!--NeedCopy-->

LoginSchema

LoginSchema es una representación lógica del formulario de inicio de sesión. El lenguaje XML lo define. La sintaxis de LoginSchema se ajusta a la especificación Common Forms Protocol de Citrix.

LoginSchema define la “vista” del producto. Un administrador puede proporcionar una descripción personalizada, texto de ayuda, etc. del formulario. El esquema de inicio de sesión incluye las etiquetas del propio formulario. Un cliente puede proporcionar el mensaje de éxito o fracaso que describe el formulario presentado en un momento determinado.

Utilice el siguiente comando para configurar un esquema de inicio de sesión.

add authentication loginSchema <name> -authenticationSchema <string> [-userExpression <string>] [-passwdExpression <string>] [-userCredentialIndex <positive_integer>]
[-passwordCredentialIndex <positive_integer>] [-authenticationStrength <positive_integer>] [-SSOCredentials ( YES | NO )]
<!--NeedCopy-->

Descripción del parámetro

  • name: nombre del nuevo esquema de inicio de sesión. Se trata de un argumento obligatorio. Longitud máxima: 127

  • authenticationSchema: Nombre del archivo para leer el esquema de autenticación que se va a enviar para la interfaz de usuario de la página de inicio de sesión. Este archivo contiene la definición xml de los elementos según el Protocolo de autenticación de formularios de Citrix para poder representar el formulario de inicio de sesión. Si el administrador no quiere solicitar otras credenciales a los usuarios, pero continúa con las credenciales obtenidas anteriormente, se puede dar noschema como argumento. Esto solo se aplica a los esquemas de inicio de sesión que se utilizan con los factores definidos por el usuario y no con el factor de servidor virtual.

Se trata de un argumento obligatorio. Longitud máxima: 255

  • userExpression: Expresión para extraer el nombre de usuario durante el inicio de sesión. Esta puede ser cualquier expresión directiva avanzada relevante. Longitud máxima: 127

  • passwdExpression: Expresión para extraer contraseñas durante el inicio de sesión. Esta puede ser cualquier expresión directiva avanzada relevante. Longitud máxima: 127

  • userCredentialIndex: Índice en el que el usuario ha introducido el nombre de usuario debe almacenarse en la sesión. Valor mínimo: 1, Valor máximo: 16

  • passwordCredentialIndex: El índice en el que el usuario ha introducido la contraseña debe almacenarse en la sesión. Valor mínimo: 1, Valor máximo: 16

  • authenticationStrength: Peso de la autenticación actual Valor mínimo: 0, Valor máximo: 65535

  • SSOCredentials: Esta opción indica si las credenciales de factor actuales son las credenciales de SSO (SingleSignOn) predeterminadas. Valores posibles: SÍ, NO. Valor por defecto: NO

Se requieren conocimientos de loginSchema y nFactor

Los archivos loginSchema precompilados se encuentran en la siguiente ubicación de NetScaler /nsconfig/loginschema/LoginSchema/. Estos archivos de loginSchema prediseñados se adaptan a casos de uso comunes y se pueden modificar para obtener ligeras variaciones si es necesario.

Además, la mayoría de los casos de uso de factor único con pocas personalizaciones no necesitan la configuración del esquema de inicio de sesión.

Se recomienda al administrador que consulte la documentación para ver otras opciones de configuración que permitan a NetScaler descubrir los factores. Una vez que el usuario envía las credenciales, el administrador puede configurar más de un factor para elegir y procesar de forma flexible los factores de autenticación.

Configuración de la autenticación de doble factor sin usar LoginSchema

NetScaler determina automáticamente los requisitos de doble factor según la configuración. Una vez que el usuario presenta estas credenciales, el administrador puede configurar el primer conjunto de directivas en el servidor virtual. En cada directiva, puede haber un “nextFactor” configurado como un “passthrough”. Un “acceso directo” implica que NetScaler debe procesar el inicio de sesión con el conjunto de credenciales existente sin ir al usuario. Mediante el uso de factores de “acceso directo”, un administrador puede dirigir el flujo de autenticación mediante programación. Se recomienda a los administradores que lean la especificación nFactor o las guías de implementación para obtener más detalles. Consulte Autenticación multifactor (nFactor).

Expresiones de nombre de usuario y contraseña

Para procesar las credenciales de inicio de sesión, el administrador debe configurar LoginSchema. Los casos de uso de factor único o doble factor con pocas personalizaciones de LoginSchema no necesitan una definición XML específica. LoginSchema tiene otras propiedades, como userExpression y passwdExpression, que se pueden utilizar para modificar el nombre de usuario o la contraseña que presenta el usuario.

Los esquemas de inicio de sesión son expresiones de directivas avanzadas y también se pueden utilizar para anular la entrada del usuario. Esto se puede lograr agregando una cadena para los parámetros en -authenticationSchema, como se muestra en el siguiente ejemplo.

A continuación se presentan los ejemplos para modificar las entradas de usuario para el nombre de usuario y la contraseña, respectivamente.

  • Cambiar la entrada de usuario para el nombre de usuario de username@citrix.com a username@xyz.com

     add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -userExpression "AAA.LOGIN.USERNAME.BEFORE_STR("@").APPEND("@xyz.com")"
     <!--NeedCopy-->
    
  • Considere un caso en el que el usuario proporciona una contraseña y un código de acceso en el primer factor como parte del esquema de inicio de sesión configurado. Para utilizar el código de acceso proporcionado por el usuario en el primer factor y la contraseña en el segundo factor, puede modificar el esquema de inicio de sesión existente mediante los siguientes comandos.

     add authentication loginSchema user_schema -authenticationSchema LoginSchema/DualAuth.xml -passwdExpression "AAA.LOGIN.PASSWORD2"
     <!--NeedCopy-->
    
     add authentication loginSchema user_schema_second -authenticationSchema noschema  -passwdExpression "AAA.LOGIN.PASSWORD"
     <!--NeedCopy-->
    

Pasos de alto nivel en la configuración de n

El siguiente diagrama ilustra los pasos de alto nivel implicados en la configuración de nFactor.

Workflow

Configuración GUI

En esta sección se describen los temas siguientes:

  • Creación de un servidor virtual

  • Crear servidor virtual de autenticación

  • Crear perfil CERT de autenticación

  • Creación de una directiva de autenticación

  • Agregar un servidor de autenticación LDAP

  • Agregar una directiva de autenticación LDAP

  • Agregar un servidor de autenticación RADIUS

  • Agregar una directiva de autenticación RADIUS

  • Crear un esquema de inicio de sesión de autenticación

  • Creación de una etiqueta de directiva

Crear un servidor virtual

  1. Vaya a NetScaler Gateway> Servidores virtuales.

  2. Haga clic en el botón Agregar para crear un servidor virtual de puerta de enlace.

  3. Introduzca la siguiente información y haga clic en Aceptar.

    Nombre del parámetro Descripción del parámetro
    Escriba el nombre del servidor virtual. Nombre del servidor virtual de NetScaler Gateway. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). Se puede cambiar una vez creado el servidor virtual. El siguiente requisito solo se aplica a la CLI de NetScaler: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi servidor” o “mi servidor”).
    Introduzca el tipo de dirección IP del servidor virtual Seleccione una opción Dirección IP o No direccionable del menú desplegable.
    Introduzca la dirección IP del servidor virtual. Una dirección de protocolo de Internet (dirección IP) es una etiqueta numérica asignada a cada dispositivo que participa en la red informática que utiliza el protocolo de Internet para la comunicación.
    Introduzca el número de puerto del servidor virtual. Introduzca el número de puerto.
    Introduzca el perfil de autenticación. Entidad de perfil de autenticación en el servidor virtual. Esta entidad se puede utilizar para descargar la autenticación al servidor virtual de autenticación, autorización y auditoría para la autenticación multifactor (nFactor)
    Introduzca el perfil del servidor RDP. Nombre del perfil del servidor RDP asociado al servidor virtual.
    Introduzca el número máximo de usuarios. Número máximo de sesiones de usuario simultáneas permitidas en este servidor virtual. El número real de usuarios permitidos para iniciar sesión en este servidor virtual depende del número total de licencias de usuario.
    Introduzca el número máximo de intentos de inicio Número máximo de intentos de inicio de sesión.
    Escriba el tiempo de espera de inicio de sesión fallido. Número de minutos que se bloquea una cuenta si el usuario supera el número máximo de intentos permitidos.
    Introduzca a la actualización del plug-in de EPA de Windows. Opción para establecer el comportamiento de actualización de plug-ins para Win.
    Introduzca la actualización del complemento EPA de Linux. Opción para establecer el comportamiento de actualización de plug-ins para Linux.
    Introduzca la actualización del plug-in MAC EPA Opción para establecer el comportamiento de actualización de plug-ins para Mac.
    Login Once Esta opción habilita o inhabilita el SSO sin interrupciones para este servidor virtual.
    Solo ICA Cuando se establece en ON, implica el modo Básico, en el que el usuario puede iniciar sesión con la aplicación Citrix Workspace o con un explorador y obtener acceso a las aplicaciones publicadas configuradas en el entorno de Citrix Virtual Apps and Desktops señalado por el parámetro Wihome. Los usuarios no pueden conectarse mediante el cliente Citrix Secure Access y no se pueden configurar los escaneos de puntos finales. El número de usuarios que pueden iniciar sesión y acceder a las aplicaciones no está limitado por la licencia de este modo. - Cuando se establece en OFF, implica el modo SmartAccess, en el que el usuario puede iniciar sesión mediante la aplicación Citrix Workspace, un explorador web o un cliente Citrix Secure Access. El administrador puede configurar los análisis de puntos finales para que se ejecuten en los sistemas cliente y, a continuación, utilizar los resultados para controlar el acceso a las aplicaciones publicadas. En este modo, el cliente puede conectarse a la puerta de enlace en otros modos de cliente, como VPN y VPN sin cliente. El número de usuarios que pueden iniciar sesión y acceder a los recursos está limitado por las licencias de la CCU en este modo.
    Habilitar autenticación Requiere autenticación para los usuarios que se conectan a NetScaler Gateway.
    Doble salto Utilice el dispositivo NetScaler Gateway en una configuración de doble salto. Una implementación de doble salto proporciona una capa adicional de seguridad para la red interna mediante el uso de tres firewalls para dividir la DMZ en dos etapas. Dicha implementación puede tener un dispositivo en la DMZ y un dispositivo en la red segura.
    Flush de estado descendente Cierre las conexiones existentes cuando el servidor virtual esté marcado como DOWN, lo que significa que es posible que el servidor haya agotado el tiempo de espera. La desconexión de las conexiones existentes libera recursos y, en algunos casos, acelera la recuperación de configuraciones de equilibrio de carga sobrecargadas. Habilite este ajuste en los servidores en los que las conexiones se puedan cerrar de forma segura cuando estén marcadas como DOWN. No habilite el vaciado de estado DOWN en los servidores que deben completar sus transacciones.
    DTLS Esta opción inicie/detiene el servicio de turno en el servidor virtual
    Registro de AppFlow Registre registros de AppFlow que contienen información estándar de NetFlow o IPFIX, como marcas de tiempo para el inicio y el final de un flujo, recuento de paquetes y recuento de bytes. También registra registros que contienen información a nivel de aplicación, como direcciones web HTTP, métodos de solicitud HTTP y códigos de estado de respuesta, tiempo de respuesta del servidor y latencia.
    Migración de sesión proxy ICA Esta opción determina si se transfiere una sesión de proxy ICA existente cuando el usuario inicie sesión desde otro dispositivo.
    State El estado actual del servidor virtual, como UP, DOWN, BUSY, etc.
    Habilitar certificado de dispositivo Indica si la comprobación del certificado de dispositivo como parte de EPA está activada o desactivada.

    Parámetros básicos

  4. Seleccione la sección Sin certificado de servidor de la página.

  5. Haga clic en **en **Seleccionar certificado de servidor para seleccionar el certificado de servidor.

  6. Seleccione el Certificado SSL y haga clic en el botón Seleccionar.

  7. Haga clic en Bind.

  8. Si aparece una advertencia sobre No hay cifrados utilizables, haga clic en Aceptar

  9. Haga clic en el botón Continuar.

  10. En la sección Autenticación, haga clic en el icono + en la parte superior derecha.

Creación de un servidor virtual de autenticación

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Servidores virtuales.

  2. Haga clic en el botón Add.

  3. Complete la siguiente configuración básica para crear el servidor virtual de autenticación.

    Nota: El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    • Introduzca el nombre del nuevo servidor virtual de autenticación.

    • Introduzca el tipo de dirección IP. El tipo de dirección IP se puede configurar como no direccionable.

    • Introduzca la dirección IP. La dirección IP puede ser cero.

    • Introduzca el tipo de protocolo del servidor virtual de autenticación.

    • Introduzca el puerto TCP en el que el servidor virtual acepta conexiones.

    • Introduzca el dominio de la cookie de autenticación establecida por el servidor virtual de autenticación.

  4. Haga clic en Aceptar.

  5. Haga clic en la sección Sin certificado de servidor .

  6. Haga clic en ** en **Seleccionar certificado de servidor.

  7. Elija el certificado SSL deseado y haga clic en el botón Seleccionar.

    Nota: El servidor virtual de autenticación no necesita un certificado vinculado a él.

  8. Configure el enlace de certificados de servidor.

    • Marque la casilla Certificado de servidor para SNI para enlazar una o más claves de certificado utilizadas para el procesamiento de SNI.

    • Haga clic en el botón Vincular.

    Enlazar certificado

Crear un perfil CERT de autenticación

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas básicas > CERT.

  2. Seleccione la ficha Perfiles y, a continuación, seleccione Agregar.

  3. Complete los campos siguientes para crear el perfil CERT de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    • Nombre: Nombre del perfil del servidor de autenticación del certificado del cliente (acción).

    • Dos factores: En este caso, la opción de autenticación de dos factores es NOOP.

    • Campo Nombre de usuario: Introduzca el campo client-cert del que se extrae el nombre de usuario. Debe establecerse en “Asunto” o “Emisor” (incluir ambos juegos de comillas dobles).

    • Campo de nombre de grupo: Introduzca el campo cliente-cert del que se extrae el grupo. Debe establecerse en “Asunto” o “Emisor” (incluir ambos juegos de comillas dobles).

    • Grupo de autenticación predeterminado: Es el grupo predeterminado que se elige cuando la autenticación se realiza correctamente además de los grupos extraídos.

  4. Haga clic en Crear.

Crear una directiva de autenticación

Nota

Si configura una directiva de primer factor con una regla de directivas mediante AAA.login, la siguiente expresión debe configurarse con la condición OR para que la aplicación Citrix Workspace admita la implementación de nFactor.

|| HTTP.REQ.URL.CONTAINS("/cgi/authenticate")

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva.

  2. Seleccione el botón Agregar

  3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    a) Nombre: Introduzca el nombre de la directiva de autenticación avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva de autenticación.

    El siguiente requisito solo se aplica a la CLI de NetScaler: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Introduzca el tipo de acción de autenticación.

    c) Acción: Introduzca el nombre de la acción de autenticación que se realizará si la directiva coincide.

    d) Acción de registro: Introduzca el nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    e) Expresión: Introduzca el nombre de la regla con nombre de NetScaler, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

    f) Comentarios: Introduzca cualquier comentario para conservar la información sobre esta directiva.

  4. Haga clic en Crear.

Agregar un servidor de autenticación LDAP

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas básicas > LDAP.

  2. Agregue un servidor LDAP seleccionando la ficha Servidor y seleccionando el botón Agregar.

Agregar una directiva de autenticación LDAP

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva.

  2. Haga clic en Agregar para agregar una directiva de autenticación.

  3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    a) Nombre: nombre de la directiva AUTENTICACIÓN avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva de autenticación.

    El siguiente requisito solo se aplica a la CLI de NetScaler: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    b) Tipo de acción: Tipo de acción de autenticación.

    c) Acción: Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

    d) Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    e) Expresión: Nombre de la regla con nombre de NetScaler, o una expresión de sintaxis predeterminada, que la directiva utiliza para determinar si se intenta autenticar al usuario con el servidor AUTHENTICATION.

    f) Comentarios: Cualquier comentario para preservar la información sobre esta directiva.

  4. Haga clic en Crear.

Agregar un servidor de autenticación RADIUS

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Autenticación de directivas > Directivas básicas > RADIUS.

  2. Para agregar un servidor, seleccione la ficha Servidores y seleccione el botón Agregar.

  3. Introduzca lo siguiente para crear un servidor RADIUS de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    1. Escriba un nombre para la acción RADIUS.

    2. Introduzca el nombre del servidoro la dirección IP del servidor asignados al servidor RADIUS.

    3. Introduzca el número de puerto en el que el servidor RADIUS escucha las conexiones.

    4. Introduzca el valor Tiempo de espera en unos segundos. El dispositivo NetScaler espera una respuesta del servidor RADIUS hasta que caduque el valor de tiempo de espera configurado.

    5. Introduzca la clave secreta compartida entre el servidor RADIUS y el dispositivo NetScaler. La clave secreta es necesaria para permitir que el dispositivo NetScaler se comunique con el servidor RADIUS.

    6. Confirma la clave secreta.

  4. Haga clic en Crear.

Agregar una directiva de autenticación RADIUS

  1. Vaya a Seguridad > AAA: Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva.

  2. Haga clic en Agregar para crear una directiva de autenticación.

  3. Complete la siguiente información para crear una directiva de autenticación. El signo * situado a la derecha del nombre de la configuración indica campos obligatorios.

    1. Nombre: Nombre de la directiva AUTHENTICATION avanzada. Debe comenzar con una letra, un número o un carácter de guión bajo (_) y debe contener solo letras, números y guión (-), punto (.) almohadilla (#), espacio (), en (@), igual a (=), dos puntos (:) y guión bajo. No se puede cambiar una vez creada la directiva AUTENTICACIÓN.

    El siguiente requisito solo se aplica a la CLI de NetScaler: Si el nombre incluye uno o más espacios, escriba el nombre entre comillas dobles o simples (por ejemplo, “mi directiva de autenticación” o “mi directiva de autenticación”).

    1. Tipo de acción: Tipo de acción de autenticación.

    2. Acción: Nombre de la acción de autenticación que se va a realizar si la directiva coincide.

    3. Acción de registro: Nombre de la acción de registro de mensajes que se utilizará cuando una solicitud coincida con esta directiva.

    4. Expresión: Nombre de la regla denominada de NetScaler o expresión de sintaxis predeterminada que utiliza la directiva para determinar si se intenta autenticar al usuario en el servidor AUTHENTICATION.

    5. Comentarios: Cualquier comentario para preservar la información sobre esta directiva.

  4. Haga clic en Aceptar. La directiva de autenticación que creó aparece en la lista de directivas.

    Crear directiva1

Crear un esquema de inicio de sesión de autenticación

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Esquema de inicio de sesión.

  2. Seleccione la ficha Perfiles y haga clic en el botón Agregar.

  3. Complete los campos siguientes para crear un esquema de inicio de sesión de autenticación:

    1. Introducir nombre: Nombre para el nuevo esquema de inicio de sesión.

    2. Introducir esquema de autenticación: Nombre del archivo para leer el esquema de autenticación que se va a enviar para la interfaz de usuario de la página de inicio de sesión. Este archivo debe contener la definición xml de los elementos según el Protocolo de autenticación de Citrix Forms para poder generar un formulario de inicio de sesión. Si un administrador no quiere solicitar más credenciales a los usuarios, pero continúa con las credenciales obtenidas anteriormente, se puede darnoschema”” como argumento. Esto solo se aplica a los loginSchemas que se utilizan con factores definidos por el usuario y no al factor de servidor virtual

    3. Introducir expresión de usuario: Expresión para extraer el nombre de usuario durante el inicio de sesión

    4. Introducir expresión de contraseña: Expresión para extraer la contraseña durante el inicio de sesión

    5. Introducir índice de credenciales de usuario: Índice en el que el nombre de usuario introducido por el usuario se almacena en la sesión.

    6. Introducir índice de credenciales de contraseña: Índice en el que el usuario ha introducido la contraseña debe almacenarse en la sesión.

    7. Introduzca Fuerza de autenticación: Peso de la autenticación actual.

  4. Haga clic en Crear. El perfil de esquema de inicio de sesión que creó debe aparecer en la lista de perfiles de esquema de inicio de sesión.

    Crear esquema de inicio de sesión

Crear una etiqueta de directiva

Una etiqueta de directiva especifica las directivas de autenticación de un factor concreto. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para distintos mecanismos de autenticación.

  1. Vaya a Seguridad > AAA — Tráfico de aplicaciones > Políticas > Autenticación > Políticas avanzadas > Etiqueta de política.

  2. Haga clic en el botón Add.

  3. Complete los campos siguientes para crear una etiqueta de directiva de autenticación:

    1. Introduzca el nombre de la nueva etiqueta de directiva de autenticación.

    2. Introduzca el esquema de inicio de sesión asociado a la etiqueta de directiva de autenticación.

    3. Haga clic en Continuar.

  4. Seleccione una directiva en el menú desplegable.
  5. Elija la directiva de autenticación deseada y haga clic en el botón Seleccionar.

  6. Rellene los campos siguientes:

    1. Introduzca la prioridad de la vinculación de la directiva.

    2. Introduzca la expresión Goto: La expresión especifica la prioridad de la siguiente directiva que se evaluará si la regla de directiva actual se evalúa como TRUE.

    Agregar expresión

  7. Seleccione la directiva de autenticación deseada y haga clic en el botón Seleccionar.

  8. Haga clic en el botón Vincular.

  9. Haga clic en Listo.

  10. Revise la etiqueta de directiva de autenticación.

Configuración re-Captcha para autenticación nFactor

A partir de la versión 12.1 compilación 50.x de NetScaler, NetScaler Gateway admite una nueva acción de primera clase “captchaAction” que simplifica la configuración de Captcha. Como Captcha es una acción de primera clase, puede ser un factor propio. Puede inyectar Captcha en cualquier parte del flujo de nFactor.

Anteriormente, tenías que escribir directivas WebAuth personalizadas con cambios en la RfWebUI también. Con la introducción de captchaAction, no es necesario modificar el JavaScript.

Importante

Si se utiliza Captcha junto con campos de nombre de usuario o contraseña en el esquema, el botón Enviar se desactiva hasta que se cumpla el Captcha.

Configuración de captcha

La configuración de captcha consta de dos partes.

  1. Configuración en Google para registrar Captcha.
  2. Configuración en el dispositivo NetScaler para utilizar Captcha como parte del flujo de inicio de sesión.

Configuración de captcha en Google

Registre un dominio para Captcha en https://www.google.com/recaptcha/admin#list.

  1. Al navegar a esta página, aparece la siguiente pantalla.

    registro recaptcha 1

    Nota

    Utilice únicamente la versión 2 de reCAPTCHA. El reCAPTCHA invisible sigue en vista previa.

  2. Después de registrar un dominio, se muestran “SiteKey” y “SecretKey”.

    registro recaptcha 1

    Nota

    La “SiteKey” y la “SecretKey” están atenuadas por motivos de seguridad. “SecretKey” debe mantenerse a salvo.

Configuración de captcha en el dispositivo NetScaler

La configuración de Captcha en el dispositivo NetScaler se puede dividir en tres partes:

  • Mostrar pantalla Captcha
  • Publicar la respuesta Captcha en el servidor de Google
  • La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

Mostrar pantalla Captcha

La personalización del formulario de inicio de sesión se realiza mediante el esquema de inicio de sesión SingleAuthCaptcha.xml. Esta personalización se especifica en el servidor virtual de autenticación y se envía a la interfaz de usuario para representar el formulario de inicio de sesión. El esquema de inicio de sesión integrado, SingleAuthCaptcha.xml, se encuentra en el directorio /nsconfig/loginSchema/LoginSchema del dispositivo NetScaler.

Importante

  • En función de su caso de uso y de los diferentes esquemas, puede modificar el esquema existente. Por ejemplo, si solo necesitas factor Captcha (sin nombre de usuario ni contraseña) o autenticación dual con Captcha.
  • Si se realizan modificaciones personalizadas o se cambia el nombre del archivo, Citrix recomienda copiar todos los esquemas de inicio de sesión del directorio /nsconfig/loginschema/loginSchema en el directorio principal, /nsconfig/loginschema.

Para configurar la visualización de Captcha mediante CLI

-  add authentication loginSchema singleauthcaptcha -authenticationSchema /nsconfig/loginschema/SingleAuthCaptcha.xml

-  add authentication loginSchemaPolicy singleauthcaptcha -rule true -action singleauthcaptcha

-  add authentication vserver auth SSL <IP> <Port>

-  add ssl certkey vserver-cert -cert <path-to-cert-file> -key <path-to-key-file>
-  bind ssl vserver auth -certkey vserver-cert
-  bind authentication vserver auth -policy singleauthcaptcha -priority 5 -gotoPriorityExpression END
<!--NeedCopy-->

Publicar la respuesta Captcha en el servidor de Google

Una vez configurado el Captcha que debe mostrarse a los usuarios, los administradores publican la configuración en el servidor de Google para verificar la respuesta de Captcha desde el explorador.

Para verificar la respuesta de Captcha desde el explorador
-  add authentication captchaAction myrecaptcha -sitekey <sitekey-copied-from-google> -secretkey <secretkey-from-google>

-  add authentication policy myrecaptcha -rule true -action myrecaptcha
-  bind authentication vserver auth -policy myrecaptcha -priority 1
<!--NeedCopy-->

Los siguientes comandos son necesarios para configurar si se quiere la autenticación de AD. De lo contrario, puede ignorar este paso.

-  add authentication ldapAction ldap-new -serverIP x.x.x.x -serverPort 636 -ldapBase "cn=users,dc=aaatm,dc=com" -ldapBindDn adminuser@aaatm.com -ldapBindDnPassword <password> -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberof -subAttributeName CN -secType SSL -passwdChange ENABLED -defaultAuthenticationGroup ldapGroup

-  add authenticationpolicy ldap-new -rule true -action ldap-new
<!--NeedCopy-->

La configuración LDAP es el segundo factor para el inicio de sesión del usuario (opcional)

La autenticación LDAP se produce después de Captcha, se agrega al segundo factor.

-  add authentication policylabel second-factor
-  bind authentication policylabel second-factor -policy ldap-new -priority 10
-  bind authentication vserver auth -policy myrecaptcha -priority 1 -nextFactor second-factor
<!--NeedCopy-->

El administrador debe agregar los servidores virtuales adecuados en función de si se utiliza un servidor virtual de equilibrio de carga o un dispositivo NetScaler Gateway para el acceso. El administrador debe configurar el siguiente comando si se necesita un servidor virtual de equilibrio de carga:

add lb vserver lbtest HTTP <IP> <Port> -authentication ON -authenticationHost nssp.aaatm.com`
<!--NeedCopy-->

nssp.aaatm.com: Se resuelve en el servidor virtual de autenticación.

Validación de usuario de Captcha

Una vez configurados todos los pasos mencionados en las secciones anteriores, consulte las capturas de pantalla anteriores de la interfaz de usuario.

  1. Una vez que el servidor virtual de autenticación carga la página de inicio de sesión, aparece la pantalla de inicio de sesión. Elinicio de sesión está inhabilitado hasta que se complete Captcha.

    Validar recaptcha

  2. Selecciona la opción No soy un robot. Se muestra el widget Captcha.

    Validar recpatcha2

  3. Se navega por una serie de imágenes Captcha antes de que se muestre la página de finalización.
  4. Introduzca las credenciales de AD, active la casilla de verificación No soy un robot y haga clic en Iniciar sesión. Si la autenticación se realiza correctamente, se le redirigirá al recurso deseado.

    Validar recpatcha2

    Nota:

    • Si se utiliza Captcha con autenticación de AD, el botón Enviar para las credenciales se inhabilita hasta que se complete Captcha.
    • El Captcha ocurre en un factor propio. Por lo tanto, cualquier validación posterior como AD debe realizarse en nextfactor del Captcha.

Crear un servidor virtual de puerta de enlace para la autenticación nFactor en la licencia NetScaler Standard

  1. Vaya a NetScaler Gateway> Servidores virtuales.
  2. En la página Servidores virtuales de NetScaler Gateway, haga clic en Agregar.
  3. Introduzca los siguientes detalles en la página del servidor virtual VPN, haga clic en Aceptar y, a continuación, en Continuar.
    • Nombre: Nombre del servidor virtual de NetScaler Gateway
    • Protocolo: seleccione SSL
    • Dirección IP: dirección IP del servidor virtual NetScaler Gateway
    • Puerto: introduzca 443

Crear licencia estándar VS

  1. En la página Servidor virtual de VPN, haga clic en el icono más situado junto a Perfil de autenticación.

  2. Haga clic en Agregar para configurar el perfil de autenticación.

    Configurar perfil de autenticación

  3. Introduzca un nombre para el perfil de autenticación y haga clic en Agregar.

    Escriba el nombre del perfil de autenticación

  4. Introduzca los siguientes detalles en la página del servidor virtual VPN , haga clic en Aceptar y, a continuación, en Continuar .

    • Nombre: nombre del servidor virtual de autenticación, autorización y auditoría
    • Protocolo: seleccione No direccionable. Solo un servidor virtual de autenticación, autorización y auditoría no direccionable se puede vincular a un servidor virtual de puerta de enlace o VPN en la licencia NetScaler Standard.

    Licencia estándar VS

    Nota:

    • En la licencia NetScaler Standard, los pasos para crear directivas son los mismos que los de la licencia Premium para los tipos de directivas compatibles.
    • La licencia NetScaler Standard no admite la adición de nuevos esquemas de inicio de sesión en la configuración de nFactor.

Referencias

Para ver un ejemplo de configuración de nFactor de extremo a extremo, consulte Configuración de la autenticación de nFactor.

nFactor para autenticación de puerta de enlace