Configurer NetScaler Gateway pour utiliser l’authentification RADIUS et LDAP avec des appareils mobiles/tablettes
Cette section explique comment configurer l’appliance NetScaler Gateway pour utiliser l’authentification RADIUS comme principale et l’authentification LDAP comme secondaire avec les appareils mobiles/tablettes.
La configuration présentée dans la section permet toujours à toutes les autres connexions d’utiliser LDAP en premier et RADIUS en second lieu.
Lorsque vous configurez l’authentification à deux facteurs sur l’application Citrix Workspace pour une utilisation avec des appareils mobiles/tablettes, vous devez ajouter l’authentification RSA SecureID (authentification RADIUS) en tant qu’authentification principale. Mais lorsque les utilisateurs reçoivent l’invite pour le nom d’utilisateur et le mot de passe, le code secret sur Receiver, ils placent LDAP en premier et RADIUS comme deuxième informations d’identification. Du point de vue de l’administrateur, il s’agit d’une configuration différente de celle d’une configuration non mobile.
Suivez la procédure suivante pour configurer l’appliance NetScaler Gateway afin qu’elle utilise l’authentification RADIUS comme principale et l’authentification LDAP comme secondaire avec les appareils mobiles/tablettes.
-
Dans l’utilitaire de configuration, sélectionnez NetScaler Gateway > Stratégies > Authentification et créez une stratégie d’authentification pour LDAP et RSA pour les appareils mobiles et non mobiles. Cela est nécessaire pour éviter une condition logique qui peut permettre aux utilisateurs de contourner l’authentification RADIUS.
-
Entrez les détails du serveur LDAP après avoir cliqué sur l’option Ajouter sous l’onglet Serveurs pour LDAP.
-
Créez une stratégie LDAP pour les appareils mobiles en choisissant le serveur LDAP requis.
Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
L’expression avancée correspondante est la suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
-
Cliquez sur Expression Editor pour créer une politique :
-
Créez une stratégie RADIUS et un serveur RADIUS pour les appareils mobiles.
-
Accédez à l’option RADIUS depuis NetScaler Gateway > Policies > AuthenticationRADIUS. Cliquez sur Ajouter sous l’onglet Serveur.
-
Ajoutez les informations requises. Le port par défaut de l’authentification RADIUS est 1812.
- Pour lier cette stratégie uniquement aux appareils mobiles, utilisez l’expression suivante :
-
-
Suivez la même étape pour créer une stratégie LDAP pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
L’expression avancée correspondante est la suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
Créez une stratégie RADIUS pour les appareils non mobiles. Pour lier cette stratégie uniquement aux appareils non mobiles, utilisez l’expression suivante :
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
L’expression avancée correspondante est la suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
-
Accédez aux propriétés du serveur virtuel NetScaler Gateway et cliquez sur l’onglet Authentification. Dans les stratégies d’authentification principales, ajoutez la stratégie RSA_Mobile en priorité supérieure et la stratégie LDAP_NonMobile en tant que priorité secondaire :
-
Dans les stratégies d’authentification secondaires, ajoutez la stratégie LDAP_Mobile en priorité supérieure, puis la stratégie RSA_NonMobile en tant que priorité secondaire :
La stratégie de session doit avoir l’index d’informations d’identification d’authentification unique correct, c’est-à-dire qu’il doit s’agir des informations d’identification LDAP. Pour les appareils mobiles, l’ index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire, qui est LDAP.
Par conséquent, vous avez besoin de deux stratégies de session, l’une pour les appareils mobiles et l’autre pour les appareils non mobiles.
- Pour les appareils mobiles, la stratégie de session et le profil de session s’affichent comme indiqué dans la capture d’écran suivante. Pour créer une stratégie de session, accédez au serveur virtuel requis et cliquez sur Modifier, accédez à la section Stratégie, puis cliquez sur le signe + :
- Sélectionnez l’option Session dans le menu.
- Entrez le nom de stratégie de session souhaité et cliquez sur + pour créer un profil. Pour les appareils mobiles, l’ index des informations d’identification sous Profil de session > Expérience client doit être défini sur Secondaire, qui est LDAP.
- Pour les appareils non mobiles, suivez les mêmes étapes. L’index des informations d’identification sous Profil de session > Expérience client doit être défini sur Primary, qui est LDAP.
L’expression doit être remplacée par :
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
L’expression avancée correspondante est la suivante :
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
- Pour créer un profil pour un utilisateur non mobile, cliquez sur le signe +.
-
La figure suivante affiche les stratégies et les profils sous le serveur virtuel requis.
-
Toujours sur StoreFront, dans la configuration de NetScaler Gateway, définie pour utiliser « Logon Type » = « Domaine et jeton de sécurité »