Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF
Merci pour vos commentaires

Ce article a été traduit automatiquement. (Clause de non responsabilité)

  Lire en anglais

Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor

March 17, 2024
Contributeur: 
C

Sur NetScaler Gateway, Endpoint Analysis (EPA) peut être configuré pour vérifier si une machine utilisateur répond à certaines exigences de sécurité et permettre en conséquence à l’utilisateur d’accéder aux ressources internes. Le plug-in Endpoint Analysis est téléchargé et installé sur la machine utilisateur lorsque les utilisateurs se connectent à NetScaler Gateway pour la première fois. Si un utilisateur n’installe pas le plug-in Endpoint Analysis sur sa machine, il ne peut pas se connecter avec le plug-in NetScaler Gateway.

Pour comprendre les concepts EPA dans nFactor, reportez-vous à la section Concepts et entités utilisés pour EPA dans nFactor Authentication Through NetScaler.

Dans cette rubrique, l’analyse EPA est utilisée comme vérification initiale dans une authentification nFactor ou multifactorielle, suivie de la connexion et de l’analyse EPA comme vérification finale.

Représentation de l'analyse EPA utilisée comme vérification initiale dans l'authentification nFactor ou multifacteur

L’utilisateur se connecte à l’adresse IP virtuelle de NetScaler Gateway. Une analyse EPA est lancée. Si l’analyse EPA réussit, l’utilisateur affiche la page de connexion avec les champs de nom d’utilisateur et de mot de passe pour l’authentification LDAP ou AD (Active Directory). En fonction du succès des informations d’identification de l’utilisateur, l’utilisateur est redirigé vers le facteur EPA suivant.

Les étapes de haut niveau impliquées dans cette configuration

  1. Si l’analyse aboutit, l’utilisateur est placé ou marqué dans un groupe d’utilisateurs par défaut.

  2. La prochaine méthode d’authentification (LDAP) est choisie.

  3. En fonction du résultat de l’authentification, l’utilisateur se voit présenter le prochain ensemble de balayage.

Conditions préalables

Il est supposé que la configuration suivante est en place.

  • Configuration des serveurs virtuels/passerelles VPN et des serveurs virtuels d’authentification
  • Authentification, autorisation et audit des groupes d’utilisateurs (pour les groupes d’utilisateurs par défaut et en quarantaine) et stratégies associées
  • Configurations du serveur LDAP et stratégies associées

Configuration à l’aide de l’interface de ligne de commande

  1. Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"

    L’expression précédente analyse si le processus Firefox est en cours d’exécution sur la machine cliente.

    add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan

  2. Configurez l’étiquette de stratégie après l’analyse EPA qui héberge la stratégie pour l’analyse EPA.

    add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT

    Remarque : LSCHEMA_INT est un schéma intégré sans schéma (aucun schéma), ce qui signifie qu’aucune page Web supplémentaire n’est présentée à l’utilisateur à cette étape.

  3. Associez la stratégie configurée à l’étape 1 à l’étiquette de stratégie configurée à l’étape 2.

    bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END

    END indique la fin du mécanisme d’authentification.

  4. Configurez la stratégie ldap-auth et associez-la à une stratégie LDAP configurée pour s’authentifier auprès d’un serveur LDAP particulier.

    add authentication Policy ldap-auth -rule true -action ldap_server1

ldap_server1 is LDAP policy and ldap-auth is policy name

  5. Configurez l’étiquette de stratégie ldap-factor, avec un schéma de connexion pour capturer le nom d’utilisateur et le mot de passe à facteur unique.

    add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml

    Remarque : Remplacez par le schéma dont vous avez besoin, au cas où vous ne voudriez pas utiliser dans le schéma intégré LoginSchema/SingleAuth.xml

  6. Associez la stratégie configurée à l’étape 4 à l’étiquette de stratégie configurée à l’étape 5.

    bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan

    END indique la fin du mécanisme d’authentification pour ce segment et NextFactor indique le facteur suivant l’authentification.

  7. Créez une action pour effectuer une analyse EPA et associez-la à une stratégie d’analyse EPA.

    add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group

    Dans ce cas, default_group est un groupe d’utilisateurs préconfiguré.

    L’expression ci-dessus analyse si le Service Pack 1 est installé sur les utilisateurs de Windows 7.

    add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan

  8. Associez une stratégie d’analyse EPA au serveur virtuel d’authentification, d’autorisation et d’audit, l’étape suivante pointant vers l’étiquette de stratégie ldap-factor pour effectuer l’étape suivante de l’authentification.

    bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT

Configuration à l’aide de l’interface graphique

  1. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Actions > EPA.

    Première analyse EPA pour vérifier la mise à jour automatique de Windows et un groupe par défaut

    Créer la première analyse EPA

    Deuxième analyse EPA pour vérifier la présence du navigateur Firefox

    Créer une deuxième analyse EPA

  2. Créez une stratégie EPA. Accédez à Sécurité > Trafic des applications AAA > Stratégies > Authentification > Stratégies avancées > Stratégie et liez l’action créée à l’étape 1.

    Stratégie pour la première analyse de l’EPA

    Créer une stratégie pour la première analyse EPA

    Stratégie pour la deuxième analyse EPA

    Créer une stratégie pour la deuxième analyse EPA

    Pour plus d’informations sur Advanced EPA, reportez-vous à Advanced Endpoint Analysis Analysis.

  3. Créez un flux nFactor. Accédez àSécurité > Trafic des applications AAA > nFactor Visualizer > nFactor Flowet cliquez sur Ajouter.

    Remarque : nFactor Visualizer est disponible sur le firmware 13.0 et les versions ultérieures.

  4. Ajoutez un facteur. Le nom que vous entrez est le nom du flux nFactor.

    Ajouter un nom de facteur

    Aucun schéma n’est requis pour l’analyse EPA.

  5. Cliquez sur Ajouter une stratégie pour ajouter une stratégie pour le premier facteur.

    Cliquez pour ajouter une stratégie

  6. Sélectionnez la première stratégie EPA créée à l’étape 2.

    Cliquez pour sélectionner la première stratégie de l'EPA

  7. Cliquez sur le signe + vert et ajoutez le facteur suivant, à savoir l’authentification LDAP.

    Cliquez pour ajouter le facteur suivant

  8. Cliquez sur Ajouter un schéma, puis cliquez sur Ajouter pour ajouter un schéma pour le deuxième facteur.

    Cliquez pour ajouter un schéma

  9. Créez un schéma, dans cet exemple Single_Auth, puis choisissez ce schéma.

    Créer un schéma d'authentification unique

    Sélectionnez un schéma d'authentification unique

  10. Cliquez sur Ajouter une stratégie pour ajouter une stratégie LDAP pour l’authentification.

    Ajouter une stratégie LDAP pour l'authentification

    Pour plus d’informations sur la création d’une authentification LDAP, voir Configuration de l’authentification LDAP.

  11. Créer le facteur suivant pour l’analyse EPA après authentification.

    Créer le facteur suivant pour l'analyse EPA post-authentification

  12. Cliquez sur Ajouter une stratégie, sélectionnez la deuxième stratégie PA_check créée à l’étape 2, puis cliquez sur Ajouter.

    Cliquez pour ajouter une stratégie

  13. Cliquez sur Terminé.

  14. Cliquez sur Lier au serveur d’authentification, sélectionnez le flux nFactor, puis cliquez sur Créer.

Dissocier le flux nFactor

  1. Sélectionnez le flux nFactor et cliquez sur Afficher les liaisons.

  2. Sélectionnez le serveur virtuel d’authentification et cliquez sur Dissocier.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.
Configurer l’analyse EPA pré-authentification et post-authentification en tant que facteur dans l’authentification nFactor
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.