Gateway

Configuration des certificats clients et de l’authentification à deux facteurs LDAP

Vous pouvez utiliser un certificat client sécurisé avec authentification et autorisation LDAP, par exemple en utilisant l’authentification par carte à puce avec LDAP. L’utilisateur ouvre une session, puis le nom d’utilisateur est extrait du certificat client. Le certificat client est la principale forme d’authentification et LDAP est le formulaire secondaire. L’authentification du certificat client doit être prioritaire sur la stratégie d’authentification LDAP. Lorsque vous définissez la priorité des stratégies, attribuez à la stratégie d’authentification de certificat client un nombre inférieur à celui que vous attribuez à la stratégie d’authentification LDAP.

Pour utiliser un certificat client, vous devez disposer d’une autorité de certification (CA) d’entreprise, telle que les services de certificats dans Windows Server 2008, exécutée sur le même ordinateur qui exécute Active Directory. Vous pouvez utiliser l’autorité de certification pour créer un certificat client.

Pour utiliser un certificat client avec authentification et autorisation LDAP, il doit s’agir d’un certificat sécurisé qui utilise le protocole SSL (Secure Sockets Layer). Pour utiliser des certificats clients sécurisés pour LDAP, installez le certificat client sur la machine utilisateur et installez un certificat racine correspondant sur NetScaler Gateway.

Avant de configurer un certificat client, procédez comme suit :

  • Créez un serveur virtuel.
  • Créez une stratégie d’authentification LDAP pour le serveur LDAP.
  • Définissez l’expression de la stratégie LDAP sur la valeur True.

Pour configurer l’authentification du certificat client avec LDAP

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Policies \ > Authentication.
  2. Dans le volet de navigation, sous Authentification, cliquez sur Cert.
  3. Dans le volet d’informations, cliquez sur Ajouter.
  4. Dans Nom, tapez le nom de la stratégie.
  5. Dans Type d’authentification, sélectionnez Cert.
  6. À côté de Serveur, cliquez sur Nouveau.
  7. Dans Nom, tapez un nom pour le serveur, puis cliquez sur Créer.
  8. Dans la boîte de dialogue Créer un serveur d’authentification, dans Nom, tapez le nom du serveur.
  9. En regard de Deux facteurs, sélectionnez ACTIVÉ.
  10. Dans le champ Nom d’utilisateur, sélectionnez Subject:CN, puis cliquez sur Créer.
  11. Dans la boîte de dialogue Créer une stratégie d’authentification, en regard de Expressions nommées, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.

Après avoir créé la stratégie d’authentification des certificats, liez-la au serveur virtuel. Après avoir lié la stratégie d’authentification de certificat, liez la stratégie d’authentification LDAP au serveur virtuel.

Important : Vous devez lier la stratégie d’authentification de certificat au serveur virtuel avant de lier la stratégie d’authentification LDAP au serveur virtuel.

Pour installer un certificat racine sur NetScaler Gateway

Après avoir créé la stratégie d’authentification des certificats, vous téléchargez et installez un certificat racine à partir de votre autorité de certification au format Base64, puis vous l’enregistrez sur votre ordinateur. Vous pouvez ensuite télécharger le certificat racine sur NetScaler Gateway.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez SSL, puis cliquez sur Certificats.
  2. Dans le volet d’informations, cliquez sur Installer.
  3. Dans Certificat - Nom de la paire de clés, tapez un nom pour le certificat.
  4. Dans Nom du fichier de certificat, cliquez sur Parcourir et dans la liste, sélectionnez Appliance ou Local.
  5. Accédez au certificat racine, cliquez sur Ouvrir, puis sur Installer.

Pour ajouter un certificat racine à un serveur virtuel

Après avoir installé le certificat racine sur NetScaler Gateway, ajoutez-le au magasin de certificats du serveur virtuel.

Important : Lorsque vous ajoutez le certificat racine au serveur virtuel pour l’authentification par carte à puce, vous devez sélectionner le certificat dans la zone de liste Sélectionner un certificat d’autorité de certification, comme illustré dans la figure suivante.

Figure 1. Ajout d’un certificat racine en tant qu’autorité de certification

Ajout d'un certificat racine

  1. Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Virtual Servers.

  2. Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.

  3. Dans l’onglet Certificats, sous Disponible, sélectionnez le certificat, en regard de Ajouter, dans la liste, cliquez sur CA, puis sur OK.

  4. Répétez l’étape 2.

  5. Dans l’onglet Certificats, cliquez sur Paramètres SSL.

  6. Sous Autres, sélectionnez Authentification du client.

  7. Sous Autres, en regard de Certificat client, sélectionnez Facultatif, puis cliquez deux fois sur OK.

  8. Après avoir configuré le certificat client, testez l’authentification en vous connectant à NetScaler Gateway avec le client Citrix Secure Access. Si plusieurs certificats sont installés, un message vous invite à sélectionner le bon certificat. Une fois le certificat sélectionné, l’écran d’ouverture de session apparaît avec le nom d’utilisateur renseigné avec les informations obtenues à partir du certificat. Tapez le mot de passe, puis cliquez sur Connexion.

Si vous ne voyez pas le nom d’utilisateur correct dans le champ Nom d’utilisateur de l’écran d’ouverture de session, vérifiez les comptes d’utilisateurs et les groupes de votre annuaire LDAP. Les groupes définis sur NetScaler Gateway doivent être les mêmes que ceux de l’annuaire LDAP. Dans Active Directory, configurez les groupes au niveau de la racine du domaine. Si vous créez des groupes Active Directory qui ne se trouvent pas au niveau racine du domaine, une lecture incorrecte du certificat client peut en résulter.

Si les utilisateurs et les groupes ne se trouvent pas au niveau racine du domaine, la page d’ouverture de session de NetScaler Gateway affiche le nom d’utilisateur configuré dans Active Directory. Par exemple, dans Active Directory, vous avez un dossier appelé Utilisateurs et le certificat indique CN=Users. Dans la page d’ouverture de session, dans Nom d’utilisateur, le mot Utilisateurs apparaît.

Si vous ne souhaitez pas déplacer vos comptes de groupe et d’utilisateur vers le niveau du domaine racine, lors de la configuration du serveur d’authentification par certificat sur NetScaler Gateway, laissez les champs Nom d’utilisateur et Nom de groupe vides.

Configuration des certificats clients et de l’authentification à deux facteurs LDAP