ADC

将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素

February 16, 2024

投稿者:

在 NetScaler Gateway 上，可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求，从而允许用户访问内部资源。当用户首次登录 NetScaler Gateway 时，端点分析插件会下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件，则用户无法使用 NetScaler Gateway 插件登录。

要了解 nFactor 概念中的 EPA，请参阅通过 NetScaler 进行 nFactor 身份验证中用于 EPA 的概念和实体。

在本主题中，EPA 扫描用作 nFactor 或多重身份验证中的初始检查，后跟登录和 EPA 扫描作为最终检查。

在 nFactor 或多因素身份验证中用作初始检查的 EPA 扫描的表示

用户连接到 NetScaler Gateway 虚拟 IP 地址。EPA 扫描已启动。如果 EPA 扫描成功，用户将看到登录页面，其中包含基于 LDAP 或 AD（Active Directory）的身份验证的用户名和密码字段。根据用户凭证的成功情况，用户将被重定向到下一个 EPA 因素。

此配置中涉及的高级步骤

如果扫描成功，则会将用户放置或标记为默认用户组。
选择下一种身份验证方法 (LDAP)。
根据身份验证的结果，系统会向用户显示下一组扫描。

必备条件

假设以下配置已到位。

VPN 虚拟服务器/网关和身份验证虚拟服务器配置
身份验证、授权和审核用户组（适用于默认用户组和隔离用户组）及相关策略
LDAP 服务器配置和相关策略

使用 CLI 进行配置

创建用于执行 EPA 扫描的操作，并将其与 EPA 扫描策略关联。

add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")"
<!--NeedCopy-->

上述表达式会扫描 Firefox 进程是否在客户端计算机上运行。

add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan
<!--NeedCopy-->

配置 epa-scan 后的策略标签来托管 EPA 扫描的策略。
```
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT

```
注意： LSCHEMA_INT 是一个内置模式，没有架构（noschema），这意味着在此步骤中不会向用户显示其他网页。

将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。

bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END
<!--NeedCopy-->

END 表示身份验证机制已结束。

配置 ldap-auth 策略并将其与配置为向特定 LDAP 服务器进行身份验证的 LDAP 策略关联。

add authentication Policy ldap-auth -rule true -action ldap_server1

ldap_server1 is LDAP policy and ldap-auth is policy name
<!--NeedCopy-->

使用登录架构配置策略标签 ldap-factor 以捕获单因素用户名和密码。
```
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml

```
注意： 如果您不想在构建的架构 LoginSchema/SingleAuth.xml 中使用，请用您需要的模式替换
将步骤 4 中配置的策略与步骤 5 中配置的策略标签相关联。
```
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan

```
END 表示该段的身份验证机制已结束，而 NextFactor 表示身份验证后的下一个因素。

创建用于执行 EPA 扫描的操作，并将其与 EPA 扫描策略关联。

add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group
<!--NeedCopy-->

这里 default_group 是一个预先配置的用户组。

上述表达式会扫描 Windows 7 用户是否安装了补丁 1。

add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan
<!--NeedCopy-->

将 EPA 扫描策略与身份验证、授权和审核虚拟服务器相关联，下一步指向策略标签 ldap-factor 以执行身份验证的下一步。
```
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT

```

使用 GUI 进行配置

导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA。

第一个用于检查 Windows 自动更新的 EPA 扫描和默认组

第二次 EPA 扫描以检查 Firefox 浏览器
创建 EPA 策略。导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略 并绑定在步骤 1 中创建的操作。

首次 EPA 扫描的策略

第二次 EPA 扫描的策略

有关高级 EPA 的更多信息，请参阅高级端点分析扫描
创建 nFactor 流。导航到 Security（安全）> AAA-Application Traffic（AAA - 应用程序流量）> nFactor Visualizer（nFactor 可视化工具）> nFactor Flow（nFactor 流程），然后单击 Add（添加）。

注意： nFactor 可视化工具在固件 13.0 及更高版本上可用。
添加一个因素。您输入的名称为 nFactor 流的名称。

EPA 扫描不需要任何架构。
单击 添加策略 为第一个因素添加策略。
选择在步骤 2 中创建的第一个 EPA 策略。
单击绿色 + 号并添加下一个因素，即 LDAP 身份验证。
单击 添加架构 ，然后单击添加为第二个因素添加架构。
创建一个模式，在此示例中为 Single_Auth，然后选择此架构。
单击 添加策略 以添加用于身份验证的 LDAP 策略。

有关创建 LDAP 验证的更多信息，请参阅配置 LDAP 身份验证
为身份验证后 EPA 扫描创建下一个因素。
单击 添加策略，选择在步骤 2 中创建的 secondePA_Check 策略，然后单击添加。
单击 Done（完成）。
单击 绑定到身份验证服务器，选择 nFactor 流，然后单击创建。

取消绑定 nFactor 流程

选择 nFactor 流程并单击“显示绑定”。
选择身份验证虚拟服务器，然后单击“解除绑定”。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素

February 16, 2024

投稿者:

February 16, 2024

投稿者: