Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les périphériques Mobile/Tablet
Cette section décrit comment configurer l’appliance Citrix Gateway pour utiliser l’authentification RADIUS comme authentification principale et l’authentification LDAP comme secondaire avec des périphériques mobiles/tablettes.
La configuration décrite dans la section permet toujours à toutes les autres connexions d’utiliser LDAP en premier et RADIUS second.
Lorsque vous configurez l’authentification à deux facteurs sur l’application Citrix Workspace pour une utilisation avec des périphériques mobiles/tablettes, vous devez ajouter RSA SecureID (authentification RADIUS) comme authentification principale. Mais lorsque les utilisateurs obtiennent l’invite pour Nom d’utilisateur et Mot de passe, Code de passe sur Receiver, ils placeront LDAP en premier et RADIUS en second lieu. Du point de vue de l’administrateur, il s’agit d’une configuration différente par rapport à la configuration non mobile.
Suivez la procédure suivante pour configurer l’appliance Citrix Gateway afin qu’elle utilise l’authentification RADIUS comme authentification principale et l’authentification LDAP comme secondaire avec les périphériques mobiles/tablettes.
-
Dans l’utilitaire de configuration, sélectionnez Citrix Gateway > Stratégies > Authentification et créez une stratégie d’authentification pour LDAP et RSA pour les périphériques mobiles et les périphériques non mobiles. Ceci est nécessaire pour éviter une condition logique qui pourrait permettre aux utilisateurs de contourner l’authentification RADIUS.
-
Entrez les détails du serveur LDAP après avoir cliqué sur l’option Ajouter sous l’onglet Serveurs pour LDAP.
Pour plus de détails sur la configuration du serveur d’authentification, reportez-vous à la section « Création d’un serveur d’authentification » de How to Configurer l’authentification LDAP sur NetScaler
-
Créez une stratégie LDAP pour les appareils mobiles en choisissant le serveur LDAP requis.
Pour lier cette stratégie à des appareils mobiles uniquement, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
-
Cliquez sur Éditeur d’expression pour créer une stratégie :
-
Créez une stratégie RADIUS et un serveur RADIUS pour les appareils mobiles.
(a) Accédez à l’option RADIUS dans Citrix Gateway > Stratégies > Authentification > RADIUS. Cliquez sur Ajouter sous l’onglet Serveur.
b) Ajouter les détails requis. Le port par défaut pour l’authentification RADIUS est 1812.
(c) Pour lier cette politique aux appareils mobiles uniquement, utilisez l’expression suivante :
-
Suivez la même étape pour créer une stratégie LDAP pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Créez une stratégie RADIUS pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Accédez aux propriétés du serveur virtuel Citrix Gateway et cliquez sur l’onglet Authentification. Dans les stratégies d’authentification principale, ajoutez la stratégie RSA_Mobile en tant que priorité supérieure et la stratégie LDAP_NonMobile en tant que priorité secondaire :
-
Dans les stratégies d’authentification secondaires, ajoutez la stratégie LDAP_Mobile comme priorité supérieure, suivie de la stratégie RSA_NonMobile comme priorité secondaire :
La stratégie de session doit avoir l’index des informations d’identification Single Sign-On correct, c’est-à-dire qu’il doit s’agir des informations d’identification LDAP. Pour les appareils mobiles, l’Index des informations d’identification sous Profil de session> Expérience client doit être défini sur Secondaire qui est LDAP.
Par conséquent, vous avez besoin de deux stratégies de session, l’une pour les appareils mobiles et l’autre pour les appareils non mobiles.
(a) Pour les appareils mobiles, la stratégie de session et le profil de session ressembleront à la capture d’écran suivante. Pour créer une stratégie de session, accédez au serveur virtuel requis et cliquez sur Modifier, accédez à la section Stratégie et cliquez sur + signe :
(b) Choisissez l’option Session dans la liste déroulante.
(c) Entrez le nom de stratégie de session souhaité et cliquez sur + pour créer un nouveau profil. Pour les appareils mobiles, l’Index des informations d’identification sous Profil de session> Expérience client doit être défini sur Secondaire qui est LDAP.
d) Pour les appareils non mobiles, suivez les mêmes étapes. L’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Principal, qui est LDAP.
L’expression doit être modifiée en :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
(e) Pour créer un nouveau profil pour un utilisateur non mobile, cliquez sur le signe+.
-
Les stratégies et les profils sous le serveur virtuel requis ressembleront à la capture d’écran suivante :
-
En outre, sur StoreFront, sous la configuration Citrix Gateway définie pour utiliser « Type d’ouverture de session » = « Jeton de domaine et de sécurité »
