ADC

Configurer l’analyse Endpoint Analysis de pré-authentification en tant que facteur d’authentification nFactor

Sur NetScaler Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et, par conséquent, autoriser l’accès aux ressources internes à l’utilisateur. Le plug-in Endpoint Analysis se télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs ouvrent une session sur NetScaler Gateway pour la première fois. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur ou choisit d’ignorer l’analyse, il ne peut pas ouvrir de session avec le plug-in NetScaler Gateway. Le cas échéant, l’utilisateur peut être placé dans un groupe de quarantaine où il a un accès limité aux ressources réseau internes.

Analyse EPA dans l'authentification nFactor ou multifacteur

Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifacteur.

L’utilisateur se connecte à l’adresse IP virtuelle NetScaler Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur est affiché avec une page de connexion avec des champs de nom d’utilisateur et de mot de passe pour l’authentification RADIUS ou OTP. Sinon, l’utilisateur est rendu avec une page de connexion, mais cette fois, l’utilisateur est authentifié à l’aide de l’authentification LDAP ou AD (Active Directory). En fonction du succès ou de l’échec des informations d’identification fournies par l’utilisateur, l’accès est accordé à l’utilisateur.

Mise en œuvre de cette logique après l’EPA :

  1. Si l’analyse EPA réussit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.

  2. Si l’analyse EPA échoue, l’utilisateur est placé ou marqué dans un groupe de quarantaine.

  3. La méthode d’authentification suivante (RADIUS ou LDAP) est choisie en fonction de l’appartenance au groupe d’utilisateurs telle que déterminée au cours des deux premières étapes.

Conditions préalables

Assurez-vous que la configuration suivante est en place.

  • Configuration du serveur virtuel ou de la passerelle VPN et du serveur virtuel d’authentification
  • Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et en quarantaine) et stratégies associées
  • Configurations des serveurs LDAP et RADIUS et stratégies associées

La figure suivante affiche le mappage des stratégies et de l’étiquette de stratégie. C’est l’approche utilisée pour la configuration, mais de droite à gauche.

Mappage des stratégies et de l'étiquette de stratégie dans cet exemple

Remarque : La configuration peut également être créée via le visualiseur nFactor disponible dans Citrix ADC version 13.0 et ultérieure.

Représentation de cette configuration dans le visualiseur

Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande

  1. Configurez une stratégie d’authentification LDAP pour vérifier l’appartenance à quarantined_group et l’associer à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier. Dans l’exemple de commande suivant, ldap-auth est le nom de la stratégie d’authentification et ldap_server1 le nom de l’action LDAP créée.

    add authentication Policy ldap-auth -rule "AAA.USER.IS_MEMBER_OF ("quarantined_group")" -action ldap_server1
    <!--NeedCopy-->
    
  2. Configurez la stratégie d’authentification RADIUS pour vérifier l’appartenance à default_group et l’associer à une stratégie RADIUS configurée pour s’authentifier auprès d’un serveur RADIUS particulier. Dans l’exemple de commande suivant, radius-auth est le nom de la stratégie d’authentification et radius_server1 le nom de l’action RADIUS créée.

    add authentication Policy radius-auth -rule "AAA.USER.IS_MEMBER_OF("default_group")" -action radius_server1
    <!--NeedCopy-->
    
  3. Configurez l’étiquette de stratégie post-epa-usergroup-check avec un schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.

    add authentication policylabel post-epa-usergroup-check -loginSchema lschema_single_factor_deviceid
    <!--NeedCopy-->
    

    Remarque : Si vous ne souhaitez pas utiliser le schéma intégré lschema_single_factor_deviceid, vous pouvez le remplacer par le schéma selon vos besoins.

  4. Associez les stratégies configurées aux étapes 1 et 2 à l’étiquette de stratégie configurée à l’étape 3.

    bind authentication policylabel post-epa-usergroup-check -policyName radius-auth -priority 100 -gotoPriorityExpression END
    
    bind authentication policylabel post-epa-usergroup-check -policyName ldap-auth -priority 110 -gotoPriorityExpression END
    <!--NeedCopy-->
    

    Remarque : END indique la fin du mécanisme d’authentification pour ce segment.

  5. Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr("app_0_MAC- BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")"  -defaultEPAGroup default_group -quarantineGroup quarantined_group
    <!--NeedCopy-->
    

    Les groupes default_group et quarantined_group sont des groupes d’utilisateurs préconfigurés. L’expression de l’étape 5 analyse si les utilisateurs de macOS ont une version de navigateur inférieure à 10.0.3 ou si le Service Pack 1 est installé sur les utilisateurs de Windows 7.

    add authentication Policy EPA-check -rule true -action EPA-client-scan
    <!--NeedCopy-->
    
  6. Associez une stratégie d’analyse EPA au serveur virtuel d’authentification, d’autorisation et d’audit, l’étape suivante pointant vers l’étiquette de stratégie post-epa-usergroup-check. Il s’agit de passer à l’étape suivante de l’authentification.

    bind authentication vserver MFA_AAA_vserver -policy EPA-check -priority 100 - nextFactor post-epa-usergroup-check -gotoPriorityExpression NEXT
    <!--NeedCopy-->
    

Configuration à l’aide de nFactor Visualizer

  1. Accédez à Sécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flow et cliquez sur Ajouter.

  2. Cliquez sur + pour ajouter le flux nFactor.

  3. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom pour le facteur

    Remarque : Aucun schéma n’est requis pour le premier facteur.

  4. Cliquez sur Ajouter une stratégie, puis sur Ajouter pour créer une stratégie d’authentification pour la vérification EPA.

    Cliquez pour ajouter une stratégie

  5. Dans le champ Action, cliquez sur Ajouter pour ajouter l’action EPA.

    Cliquez pour ajouter une action

    Pour plus de détails sur l’EPA, reportez-vous à la section Configuration de l’analyse avancée des points de terminaison.

  6. Cliquez sur le signe + vert du bloc EPA_NFactor pour ajouter le facteur suivant pour la vérification du groupe d’utilisateurs post-EPA.

  7. Cliquez sur Add Schema (Ajouter un schéma) pour ajouter le schéma du deuxième facteur. Sélectionnez le schéma lschema_single_factor_deviceid.

    Cliquez pour ajouter un schéma pour le second facteur

    Sélectionner un schéma pour le deuxième facteur

  8. Cliquez sur Ajouter une stratégie pour sélectionner la stratégie d’authentification LDAP.

    Cliquez ici pour ajouter une stratégie d'authentification LDAP

    La stratégie pour LDAP vérifie si l’utilisateur fait partie du groupe mis en quarantaine. Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Configuration de l’authentification LDAP.

    Sélectionnez la stratégie pour l'authentification LDAP

  9. Cliquez sur le signe + bleu sur le bloc EPA_nFactor pour ajouter la deuxième authentification.

    Cliquez pour ajouter une deuxième authentification

  10. Cliquez sur Ajouter pour sélectionner la stratégie pour l’authentification RADIUS. Pour plus d’informations sur la création de l’authentification RADIUS, voir Configuration de l’authentification RADIUS.

    Cliquez sur Ajouter pour sélectionner une stratégie pour l'authentification RADIUS

    La stratégie du LDAP vérifie si l’utilisateur fait partie du groupe par défaut.

    Sélectionnez la stratégie pour LDAP

  11. Cliquez sur Terminé.

  12. Une fois le flux nFactor terminé, liez ce flux au serveur virtuel d’authentification, d’autorisation et d’audit. Cliquez sur Liaison au serveur d’authentification, puis cliquez sur Créer.

Dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.

Configurer l’analyse Endpoint Analysis de pré-authentification en tant que facteur d’authentification nFactor