Configurer Citrix Gateway pour utiliser l’authentification RADIUS et LDAP avec les appareils mobiles/tablettes
Cette section explique comment configurer l’appliance Citrix Gateway pour utiliser l’authentification RADIUS comme authentification principale et l’authentification LDAP comme authentification secondaire avec les appareils mobiles/tablettes.
La configuration présentée dans la section permet toujours à toutes les autres connexions d’utiliser LDAP en premier et RADIUS en second lieu.
Lorsque vous configurez l’authentification à deux facteurs sur Citrix Receiver pour une utilisation avec des appareils mobiles/tablettes, vous devez ajouter le RSA SecureID (authentification RADIUS) comme authentification principale. Mais lorsque les utilisateurs sont invités à saisir le nom d’utilisateur et le mot de passe, le code d’accès sur Receiver, ils placent LDAP en premier et RADIUS comme deuxième identifiant. Du point de vue de l’administrateur, il s’agit d’une configuration différente de celle d’une configuration non mobile.
Suivez la procédure suivante pour configurer l’appliance Citrix Gateway afin d’utiliser l’authentification RADIUS comme authentification principale et l’authentification LDAP comme authentification secondaire avec les appareils mobiles/tablettes.
-
Dans l’utilitaire de configuration, sélectionnez Citrix Gateway > Policies > Authentification et créez une politique d’authentification pour LDAP et RSA pour les appareils mobiles et non mobiles. Cela est nécessaire pour éviter une condition logique qui pourrait permettre aux utilisateurs de contourner l’authentification RADIUS.
-
Entrez les détails du serveur LDAP après avoir cliqué sur Ajouter une option sous l’onglet Serveurs pour LDAP.
Pour plus de détails sur la configuration du serveur d’authentification, consultez la section « Création d’un serveur d’authentification » de Comment configurer l’authentification LDAP sur NetScaler.
-
Créez une politique LDAP pour les appareils mobiles en choisissant le serveur LDAP requis.
Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
-
Cliquez sur Expression Editor pour créer une politique :
-
Créez une stratégie RADIUS et un serveur RADIUS pour les appareils mobiles.
(a) Accédez à l’option RADIUS depuis Citrix Gateway > Policies > Authentication > RADIUS. Cliquez sur Ajouter sous l’onglet Serveur.
(b) Ajoutez les informations requises. Le port par défaut de l’authentification RADIUS est 1812.
(c) Pour lier cette politique uniquement aux appareils mobiles, utilisez l’expression suivante :
-
Suivez la même étape pour créer une stratégie LDAP pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Créez une stratégie RADIUS pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
-
Accédez aux propriétés du serveur virtuel Citrix Gateway et cliquez sur l’onglet Authentification . Dans les stratégies d’authentification principales, ajoutez la stratégie RSA_Mobile en priorité supérieure et la stratégie LDAP_NonMobile en tant que priorité secondaire :
-
Dans les politiques d’authentification secondaires, ajoutez la stratégie LDAP_Mobile en tant que priorité principale, suivie de la stratégie RSA_NonMobile en tant que priorité secondaire :
La politique de session doit avoir l’index d’identification Single Sign-On correct, c’est-à-dire qu’il doit s’agir des informations d’identification LDAP. Pour les appareils mobiles, l’index des informations d’identification sous Profil de session > Expérience client doit être réglé sur Secondaire, c’est-à-dire LDAP.
Par conséquent, vous avez besoin de deux stratégies de session, l’une pour les appareils mobiles et l’autre pour les appareils non mobiles.
(a) Pour les appareils mobiles, la politique de session et le profil de session apparaîtront comme indiqué dans la capture d’écran suivante. Pour créer une politique de session, accédez au serveur virtuel requis, cliquez sur Modifier, accédez à la section Politiques et cliquez sur + signer :
(b) Choisissez l’option Session dans la liste déroulante.
(c) Entrez le nom de la politique de session souhaitée et cliquez sur + pour créer un nouveau profil. Pour les appareils mobiles, l’index des informations d’identification sous Profil de session > Expérience client doit être réglé sur Secondaire, c’est-à-dire LDAP.
(d) Pour les appareils non mobiles, suivez les mêmes étapes. L’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Principal, c’est-à-dire LDAP.
L’expression doit être modifiée comme suit :
`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
(e) Pour créer un nouveau profil pour un utilisateur non mobile, cliquez sur + signer.
-
Les politiques et les profils du serveur virtuel requis ressembleront à la capture d’écran suivante :
-
De plus, sur StoreFront, dans la configuration Citrix Gateway configurée pour utiliser « Logon Type » = « Domain and Security token »
image