Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor
Sur NetScaler Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et, par conséquent, autoriser l’accès aux ressources internes à l’utilisateur. Le plug-in Endpoint Analysis se télécharge et s’installe sur la machine utilisateur lorsque les utilisateurs ouvrent une session sur NetScaler Gateway pour la première fois. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur la machine utilisateur, l’utilisateur ne peut pas ouvrir de session avec le plug-in NetScaler Gateway.
Pour comprendre les concepts EPA dans nFactor, reportez-vous à la section Concepts et entités utilisés pour EPA dans nFactor Authentication Through NetScaler.
Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifactorielle, suivie de la connexion et de l’analyse EPA comme vérification finale.
L’utilisateur se connecte à l’adresse IP virtuelle NetScaler Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur affiche la page de connexion avec les champs de nom d’utilisateur et de mot de passe pour l’authentification LDAP ou AD (Active Directory). En fonction du succès des informations d’identification de l’utilisateur, l’utilisateur est redirigé vers le facteur EPA suivant.
Les étapes de haut niveau impliquées dans cette configuration
-
Si l’analyse aboutit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.
-
La prochaine méthode d’authentification (LDAP) est choisie.
-
En fonction du résultat de l’authentification, l’utilisateur se voit présenter le prochain ensemble de balayage.
Conditions préalables
Il est supposé que la configuration suivante est en place.
- Configuration des serveurs virtuels/passerelles VPN et des serveurs virtuels d’authentification
- Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et en quarantaine) et stratégies associées
- Configurations du serveur LDAP et stratégies associées
Configuration à l’aide de l’interface de ligne de commande
-
Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.
add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")" <!--NeedCopy-->
L’expression précédente analyse si le processus Firefox est en cours d’exécution sur la machine cliente.
add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan <!--NeedCopy-->
-
Configurez l’étiquette de stratégie après l’analyse EPA qui héberge la stratégie pour l’analyse EPA.
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->
Remarque : LSCHEMA_INT est un schéma intégré sans schéma (aucun schéma), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.
-
Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.
bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->
END indique la fin du mécanisme d’authentification.
-
Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.
add authentication Policy ldap-auth -rule true -action ldap_server1 ldap_server1 is LDAP policy and ldap-auth is policy name <!--NeedCopy-->
-
Configurez l’étiquette de stratégie ldap-factor, avec un schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml <!--NeedCopy-->
Remarque : Remplacez par le schéma dont vous avez besoin, au cas où vous ne voudriez pas utiliser dans le schéma intégré LoginSchema/SingleAuth.xml
-
Associez la stratégie configurée à l’étape 4 à l’étiquette de stratégie configurée à l’étape 5.
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan <!--NeedCopy-->
END indique la fin du mécanisme d’authentification pour ce segment et NextFactor indique le facteur suivant l’authentification.
-
Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.
add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group <!--NeedCopy-->
Dans ce cas, default_group est un groupe d’utilisateurs préconfiguré.
L’expression ci-dessus analyse si le Service Pack 1 est installé sur les utilisateurs de Windows 7.
add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan <!--NeedCopy-->
-
Associez une stratégie d’analyse EPA au serveur virtuel d’authentification, d’autorisation et d’audit, l’étape suivante pointant vers l’étiquette de stratégie ldap-factor pour effectuer l’étape suivante de l’authentification.
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT <!--NeedCopy-->
Configuration à l’aide de l’interface graphique
-
Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > EPA.
Première analyse EPA pour vérifier la mise à jour automatique de Windows et un groupe par défaut
Deuxième analyse EPA pour vérifier la présence du navigateur Firefox
-
Créez une stratégie EPA. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie et liez l’action créée à l’étape 1.
Stratégie pour la première analyse de l’EPA
Stratégie pour la deuxième analyse EPA
Pour plus d’informations sur Advanced EPA, reportez-vous à Advanced Endpoint Analysis Analysis.
-
Créez un flux nFactor. Accédez àSécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flowet cliquez sur Ajouter.
Remarque : nFactor Visualizer est disponible sur le firmware 13.0 et les versions ultérieures.
-
Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.
Aucun schéma n’est requis pour l’analyse EPA.
-
Cliquez sur Ajouter une stratégie pour ajouter une stratégie pour le premier facteur.
-
Sélectionnez la première stratégie EPA créée à l’étape 2.
-
Cliquez sur le signe + vert et ajoutez le facteur suivant, à savoir l’authentification LDAP.
-
Cliquez sur Ajouter un schéma, puis cliquez sur Ajouter pour ajouter un schéma pour le deuxième facteur.
-
Créez un schéma, dans cet exemple Single_Auth, puis choisissez ce schéma.
-
Cliquez sur Ajouter une stratégie pour ajouter une stratégie LDAP pour l’authentification.
Pour plus d’informations sur la création d’une authentification LDAP, voir Configuration de l’authentification LDAP.
-
Créer le facteur suivant pour l’analyse EPA après authentification.
-
Cliquez sur Ajouter une stratégie, sélectionnez la deuxième stratégie PA_check créée à l’étape 2, puis cliquez sur Ajouter.
-
Cliquez sur Terminé.
-
Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor, puis cliquez sur Créer.
Dissocier le flux nFactor
-
Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.
-
Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.