Configuration du retour de mot de passe avec RADIUS
Vous pouvez remplacer les mots de passe de domaine par un mot de passe à usage unique généré par un jeton à partir d’un serveur RADIUS. Lorsque les utilisateurs se connectent à NetScaler Gateway, ils saisissent un numéro d’identification personnel (PIN) et le code d’accès du jeton. Une fois que NetScaler Gateway a validé ses informations d’identification, le serveur RADIUS renvoie le mot de passe Windows de l’utilisateur à NetScaler Gateway. NetScaler Gateway accepte la réponse du serveur, puis utilise le mot de passe renvoyé pour l’authentification unique au lieu d’utiliser le code d’accès saisi par les utilisateurs lors de la connexion. Ce retour de mot de passe avec la fonctionnalité RADIUS vous permet de configurer l’authentification unique sans que les utilisateurs n’aient besoin de rappeler leur mot de passe Windows.
Lorsque les utilisateurs ouvrent une session en utilisant la fonction de retour de mot de passe, ils peuvent accéder à toutes les ressources réseau autorisées sur le réseau interne, y compris Citrix Endpoint Management, StoreFront et l’interface Web.
Pour activer l’authentification unique à l’aide des mots de passe renvoyés, vous configurez une stratégie d’authentification RADIUS sur NetScaler Gateway à l’aide des paramètres Password Vendor Identifier et Password Attribute Type. Ces deux paramètres renvoient le mot de passe Windows de l’utilisateur à NetScaler Gateway.
NetScaler Gateway prend en charge Imprivata OneSign. La version minimale requise d’Imprivata OneSign est 4.0 avec le Service Pack 3. L’identifiant du fournisseur de mot de passe par défaut pour Imprivata OneSign est 398. Le code de type d’attribut de mot de passe par défaut pour Imprivata OneSign est 5.
Vous pouvez utiliser d’autres serveurs RADIUS pour renvoyer un mot de passe, tels que RSA, Cisco ou Microsoft. Configurez le serveur RADIUS pour qu’il renvoie le mot de passe d’authentification unique de l’utilisateur dans une paire de valeurs d’attribut spécifique au fournisseur. Dans une stratégie d’authentification NetScaler Gateway, vous devez ajouter les paramètres Password Vendor Identifier et Password Attribute Type pour ces serveurs.
Vous trouverez une liste complète des identificateurs de fournisseurs sur le site Web de l’IANA (Internet Assigned Numbers Authority). Par exemple, l’identificateur de fournisseur pour la sécurité RSA est 2197, pour Microsoft, il est 311 et pour Cisco Systems, il est 9. L’attribut spécifique au fournisseur pris en charge par un fournisseur doit être confirmé auprès du fournisseur. Par exemple, Microsoft a publié une liste d’attributs spécifiques au fournisseur sous Attributs RADIUS spécifiques au fournisseur Microsoft.
Vous pouvez sélectionner n’importe quel attribut spécifique au fournisseur pour stocker le mot de passe d’authentification unique des utilisateurs sur le serveur RADIUS du fournisseur. Si vous configurez NetScaler Gateway avec l’identifiant du fournisseur et l’attribut dans lesquels le mot de passe utilisateur est stocké sur le serveur RADIUS, NetScaler Gateway demande la valeur de l’attribut dans le paquet de demande d’accès envoyé au serveur RADIUS. Si le serveur RADIUS répond avec la paire attribut-valeur correspondante dans le paquet d’acceptation d’accès, le retour du mot de passe fonctionne quel que soit le serveur RADIUS que vous utilisez.
Pour configurer l’authentification unique à l’aide des mots de passe renvoyés :
- Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Policies \ > Authentication.
- Dans le volet de navigation, cliquez sur RADIUS.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la boîte de dialogue Créer une politique d’authentification, dans Nom, tapez le nom de la stratégie.
- À côté de Serveur, cliquez sur Nouveau.
- Dans Nom, tapez le nom du serveur.
- Configurez les paramètres du serveur RADIUS.
- Dans Identificateur de fournisseur de motde passe, tapez l’identificateur du fournisseur renvoyé par le serveur RADIUS. Cet identifiant doit avoir une valeur minimale de 1.
- Dans Type d’attribut de mot de passe, tapez le type d’attribut renvoyé par le serveur RADIUS dans le code AVP spécifique au fournisseur. La valeur peut aller de 1 à 255.
- Dans la boîte de dialogue Créer une politique d’authentification, à côté de Expressions nommées, sélectionnez l’expression, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.