Configurer le CLUF en tant que facteur d’authentification dans le système NetScaler nFactor
La figure suivante illustre un flux d’ouverture de session de l’utilisateur final avec CLUF. Dans ce flux, le premier facteur existant est déplacé après le CLUF. Le CLUF devient un premier profil de serveur virtuel, le premier facteur précédent devenant un second facteur.
Présentation du flux nFactor
La configuration peut également être créée via nFactor Visualizer présent dans ADC version 13.0 et supérieure.
Configuration à l’aide de l’interface de ligne de commande
- Copiez eula.xml dans /nsconfig/loginschema sur votre NetScaler. Le schéma de connexion utilisé dans cet exemple est présent dans la version 13.0 de NetScaler et n’a pas besoin d’être créé séparément. Pour plus d’informations sur le schéma de connexion, reportez-vous à la dernière section de cette page.
-
Ajoutez un schéma de connexion pour le CLUF.
add authentication loginSchema eulaschema -authenticationSchema eula.xml add authentication loginSchemaPolicy eula_schema -rule true -action eulaschema bind authentication vserver auth -policy eula_schema -priority 5 <!--NeedCopy-->
-
Ajoutez le facteur d’authentification en tant que facteur secondaire.
add authentication loginSchema single_auth -authenticationSchema "LoginSchema/SingleAuth.xml" add authentication policylabel single_factor -loginSchema single_auth bind authentication policylabel single_factor -policyName ldap-adv -priority 5 <!--NeedCopy-->
-
Ajoutez une stratégie de non-authentification à la cascade du serveur virtuel.
add authentication Policy noauth_pol -rule "http.req.url.contains("/nf/auth/doAuthentication.do")" -action NO_AUTHN bind authentication vserver auth -policy noauth_pol -priority 1 -nextFactor single_factor -gotoPriorityExpression NEXT <!--NeedCopy-->
La capture d’écran suivante est celle du CLUF qui est configuré sur le serveur virtuel en tant que facteur.
Configuration à l’aide de nFactor Visualizer
-
Accédez à Sécurité > AAA-Application Traffic > NFactor Visualizer > NFactor Flow, puis cliquez sur Ajouter.
-
Cliquez sur le signe + pour ajouter le flux NFactor.
-
Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.
-
Cliquez sur Ajouter un schéma pour ajouter un schéma pour le premier facteur, puis cliquez sur Ajouter.
-
Créez un schéma EULA_Schema en sélectionnant le schéma de connexion eula.xml.
-
Choisissez le schéma du premier facteur, c’est-à-dire le CLUF.
-
Cliquez sur Ajouter une stratégie pour créer une stratégie d’authentification pour NO_AUTHN, puis cliquez sur Ajouter.
-
Cliquez sur le signe + vert pour ajouter le facteur suivant, c’est-à-dire single_auth.
-
Cliquez à nouveau sur Ajouter un schéma pour ajouter un schéma pour le deuxième facteur, puis cliquez sur Ajouter.
-
Créez un schéma single_auth en sélectionnant le schéma de connexion Single_Auth.xml, puis cliquez sur Créer.
-
Cliquez sur Ajouter une stratégie pour sélectionner une stratégie d’authentification LDAP, puis cliquez sur Ajouter.
Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Configuration de l’authentification LDAP.
-
Cliquez sur Terminé La configuration est enregistrée.
-
Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor créé pour lier le flux à un serveur virtuel d’authentification, d’autorisation et d’audit, puis cliquez sur Créer.
Remarque : Liez et déliez le flux NFactor via l’option fournie dans le flux nFactor sous Afficher les liaisons uniquement.
Pour délier le flux NFactor
-
Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.
-
Sélectionnez le serveur virtuel d’authentification auquel le flux nFactor est lié, puis cliquez sur Délier.
Schéma de connexion utilisé dans cet exemple
Lorsque vous copiez du texte à partir d’un navigateur Web, certains guillemets sont affichés différemment. Il est recommandé de copier le schéma dans un éditeur de texte pour normaliser les guillemets.
Remarque : Ce schéma de connexion est présent dans la version 13.0 de NetScaler et n’a pas besoin d’être créé séparément.
<?xml version="1.0" encoding="UTF-8"?>
<AuthenticateResponse xmlns="http://citrix.com/authentication/response/1">
<Status>success</Status>
<Result>more-info</Result>
<StateContext></StateContext>
<AuthenticationRequirements>
<PostBack>/nf/auth/doAuthentication.do</PostBack>
<CancelPostBack>/nf/auth/doLogoff.do</CancelPostBack>
<CancelButtonText>Cancel</CancelButtonText>
<Requirements>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>End User License Agreement</Text><Type>heading</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Protecting Gateway's information and information systems is the responsibility of every user of Gateway.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>This computer, including any devices attached to this computer and the information systems accessed from this point contain information which is confidential to Organization. Your activities and use of these facilities are monitored and recorded. They are not private and may be reviewed at any time. Unauthorised or inappropriate use of Organization's Information Technology facilities, including but not limited to Electronic Mail and Internet services, is against company policy and can lead to disciplinary outcomes, including termination and/or legal actions. Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><Type>none</Type></Credential><Label><Text>Use of these facilities confirms that you accept the conditions detailed in Organization's Group Information Security Policy and Organization's Code of Conduct.</Text><Type>plain</Type></Label><Input /></Requirement>
<Requirement><Credential><ID>loginBtn</ID><Type>none</Type></Credential><Label><Type>none</Type></Label><Input><Button>Continue</Button></Input></Requirement>
</Requirements>
</AuthenticationRequirements>
</AuthenticateResponse>
<!--NeedCopy-->