Configuration du renvoi de mot de passe avec RADIUS
Vous pouvez remplacer les mots de passe de domaine par un mot de passe unique généré par un jeton à partir d’un serveur RADIUS. Lorsque les utilisateurs se connectent à Citrix Gateway, ils saisissent un numéro d’identification personnel (PIN) et le code d’accès du jeton. Une fois que Citrix Gateway a validé ses informations d’identification, le serveur RADIUS renvoie le mot de passe Windows de l’utilisateur à Citrix Gateway. Citrix Gateway accepte la réponse du serveur, puis utilise le mot de passe renvoyé pour l’authentification unique au lieu d’utiliser le code que les utilisateurs ont tapé pendant l’ouverture de session. Ce retour de mot de passe avec fonction RADIUS vous permet de configurer l’authentification unique sans que les utilisateurs ne se souviennent de leur mot de passe Windows.
Lorsque les utilisateurs ouvrent une session à l’aide du retour de mot de passe, ils peuvent accéder à toutes les ressources réseau autorisées dans le réseau interne, y compris Citrix Endpoint Management, StoreFront et l’interface Web.
Pour activer l’authentification unique à l’aide de mots de passe renvoyés, vous configurez une stratégie d’authentification RADIUS sur Citrix Gateway à l’aide des paramètres Identifiant fournisseur de mot de passe et Type d’attribut de mot de passe. Ces deux paramètres renvoient le mot de passe Windows de l’utilisateur à Citrix Gateway.
Citrix Gateway prend en charge Imprivata OneSign. La version minimale requise d’Imprivata OneSign est 4.0 avec Service Pack 3. L’identifiant de fournisseur de mot de passe par défaut pour Imprivata OneSign est 398. Le code de type d’attribut de mot de passe par défaut pour Imprivata OneSign est 5.
Vous pouvez utiliser d’autres serveurs RADIUS pour le retour de mot de passe, tels que RSA, Cisco ou Microsoft. Vous devez configurer le serveur RADIUS pour qu’il renvoie le mot de passe d’authentification unique de l’utilisateur dans une paire de valeurs attributaires spécifique au fournisseur. Dans une stratégie d’authentification Citrix Gateway, vous devez ajouter les paramètres Identifiant du fournisseur de mot de passe et Type d’attribut de mot de passe pour ces serveurs.
Vous trouverez une liste complète des identificateurs de fournisseur sur le Site Web de l’Autorité des numéros assignés à l’Internet (IANA). Par exemple, l’identificateur fournisseur pour la sécurité RSA est 2197, pour Microsoft, il est 311 et pour Cisco Systems, il est 9. L’attribut spécifique au fournisseur qu’un fournisseur prend en charge doit être confirmé auprès du fournisseur. Par exemple, Microsoft a publié une liste d’attributs spécifiques au fournisseur à l’adresse Attributs RADIUS spécifiques au fournisseur Microsoft.
Vous pouvez sélectionner n’importe quel attribut spécifique au fournisseur pour stocker le mot de passe d’authentification unique pour les utilisateurs sur le serveur RADIUS du fournisseur. Si vous configurez Citrix Gateway avec l’identifiant du fournisseur et l’attribut dans lesquels le mot de passe utilisateur est stocké sur le serveur RADIUS, Citrix Gateway demande la valeur de l’attribut dans le paquet de demande d’accès envoyé au serveur RADIUS. Si le serveur RADIUS répond avec la paire attribut-valeur correspondante dans le paquet access-accept, le retour de mot de passe fonctionne quel que soit le serveur RADIUS que vous utilisez.
Pour configurer l’authentification unique à l’aide de mots de passe renvoyés :
- Dans l’utilitaire de configuration, sous l’onglet Configuration, développez Citrix Gateway > Stratégies > Authentification.
- Dans le volet de navigation, cliquez sur RADIUS.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la boîte de dialogue Créer une stratégie d’authentification, dans Nom, tapez un nom pour la stratégie.
- En regard de Serveur, cliquez sur Nouveau.
- Dans Nom, tapez le nom du serveur.
- Configurez les paramètres du serveur RADIUS.
- Dans Mot de passe Vendor Identifier, tapez l’identificateur fournisseur qui est renvoyé par le serveur RADIUS. Cet identificateur doit avoir une valeur minimale de 1.
- Dans Type d’attribut de mot de passe, tapez le type d’attribut renvoyé par le serveur RADIUS dans le code AVP spécifique au fournisseur. La valeur peut varier de 1 à 255.
- Dans la boîte de dialogue Créer une stratégie d’authentification, en regard d’Expressions nommées, sélectionnez l’expression, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer.