Configurer le nom d’utilisateur de préremplissage à partir du certificat dans l’authentification Citrix ADC nFactor
La section suivante décrit le cas d’utilisation de l’authentification à deux facteurs. Le premier facteur est l’authentification par certificat suivie de LDAP.
Cas d’utilisation : authentification par certificat et LDAP
Supposons un cas d’utilisation dans lequel les administrateurs configurent l’authentification à deux facteurs. Authentification de premier niveau en tant que certificat et suivie de l’authentification LDAP. Dans le premier cas, le client demande un certificat utilisateur. Le nom d’utilisateur est extrait du certificat et pré-rempli dans le champ du nom d’utilisateur du formulaire d’ouverture de session renvoyé pour le facteur suivant.
-
Le navigateur client accède au serveur virtuel de gestion du trafic et est redirigé vers une page d’ouverture de session pour l’authentification.
-
Le premier facteur est évalué par rapport à une action de certificat qui extrait le nom d’utilisateur. L’évaluation est réussie et transmise au facteur suivant, la stratégie “label1” dans ce cas.
-
L’étiquette de stratégie spécifie que le deuxième facteur est le schéma de connexion « login1” avec la stratégie LDAP.
-
Le formulaire de connexion avec le nom d’utilisateur prérempli est renvoyé pour obtenir le mot de passe de l’utilisateur pour l’authentification LDAP.
-
Le serveur d’authentification renvoie des cookies et une réponse qui redirige le navigateur du client vers le serveur virtuel de gestion du trafic, où se trouve le contenu demandé. En revanche, si la connexion échoue, le navigateur du client affiche la page d’ouverture de session d’origine, afin que le client puisse réessayer.
Remarque
La configuration peut également être créée via le visualiseur nFactor disponible dans Citrix ADC version 13.0 et ultérieure.
Effectuez les opérations suivantes à l’aide de l’interface de ligne de commande
-
Configurez le serveur virtuel de gestion du trafic et le serveur d’authentification.
add lb vserver lbvs1 HTTP 10.217.28.152 80 -AuthenticationHost auth1.nsi-test.com -Authentication ON
add authentication vserver avn SSL 10.217.28.154 443 -AuthenticationDomain nsi-test.com
-
set ssl vserver avn -clientAuth ENABLED -clientCert Mandatory
ou
set ssl parameter –denysslrenegotiation NO
-
Configurez un premier facteur en tant qu’action de certificat.
add authentication certAction cert -userNameField Subject:CN
add authentication Policy certpol -rule true -action cert
-
Configurez un deuxième facteur.
add authentication loginSchema login1 -authenticationSchema login1.xml
add authentication policylabel label1 -loginSchema login1
-
Configurez l’action LDAP.
add authentication ldapAction ldapact -serverIP 10.217.201.84 -ldapBase "cn=users,dc=dep,dc=sqltest,dc=net" -ldapBindDn Administrator@dep.sqltest.net -ldapBindDnPassword 8f7e6642195bc181f734cbc1bd18dfaf03bf9835abda7c045f7a964ceb58d4c9 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName sAMAccountName -groupAttrName memberOf -subAttributeName CN -ssoNameAttribute userprincipalname
add authentication Policy ldappolicy -rule true -action ldapact
-
Liez les stratégies.
bind authentication vserver avn -policy certpol -priority 1 -nextFactor label1 -gotoPriorityExpression NEXT
bind authentication policylabel label1 -policyName ldappolicy -priority 10 -gotoPriorityExpression END
Configuration à l’aide du visualiseur nFactor
-
Accédez àSécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flowet cliquez sur Ajouter.
-
Cliquez sur + pour ajouter le flux nFactor.
-
Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.
-
Aucun schéma n’est nécessaire pour l’authentification du certificat.
-
Cliquez sur Ajouter une stratégie pour créer une stratégie d’authentification du certificat.
-
Ajoutez une stratégie pour l’authentification du certificat.
Remarque
Pour plus d’informations sur l’authentification des certificats, voir Configuration et liaison d’une stratégie d’authentification de certificat client.
-
Cliquez sur vert + à côté de la stratégie de cert pour ajouter le facteur suivant.
-
Sélectionnez Créer un facteur pour créer un facteur pour l’authentification LDAP.
-
Cliquez sur Ajouter un schéma pour ajouter un schéma PrefilUserFormExpr.xml pour le deuxième facteur dont le nom d’utilisateur est prérempli.
-
Sélectionnez Ajouter une stratégie pour ajouter une stratégie d’authentification LDAP.
Remarque
Pour plus d’informations sur la création d’une authentification LDAP, reportez-vous à la section Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.
-
Cliquez sur Terminé pour enregistrer la configuration.
-
Pour lier le flux nFactor créé à un serveur virtuel d’authentification, d’autorisation et d’audit, cliquez sur Liaison au serveur d’authentification, puis sur Créer.
Remarque
Liez et déliez le flux nFactor via l’option fournie dans NFactor Flow sous Afficher les liaisons uniquement.
Délier le flux NFactor
-
Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.
-
Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.