ADC

在 NetScaler nFactor 身份验证中使用一种登录架构和一种直通架构配置双重身份验证

以下部分介绍了具有一个登录架构和一个直通架构的双因素身份验证的用例。

具有一个登录架构和一个直通架构的双重身份验证

假设管理员使用一个登录架构和一个直通架构配置双因素身份验证的用例。客户端提交一个用户名和两个密码。第一组用户名和密码通过 LDAP 策略作为第一要素进行评估,第二组密码通过 RADIUS 策略作为第二要素进行评估。

  1. 访问流量管理虚拟服务器后,您将被重定向到登录页面进行身份验证。

  2. 客户端提交一个用户名和两个密码,例如 user1、pass1 和 pass2。

  3. 根据 user1 和 pass1 的 LDAP 操作评估第一因素。评估成功并传递给下一个因素,即策略“label1”;在这种情况下。

  4. 策略标签指定第二个因素是使用 RADIUS 策略直通。直通架构意味着 NetScaler 设备不会返回客户端进行任何进一步的输入。NetScaler 只是使用它已经拥有的信息。在这种情况下,它是 user1 和 pass2。然后隐式评估第二个因素。

  5. 身份验证服务器返回 cookie 和响应,将客户端的浏览器重定向回流量管理虚拟服务器,请求的内容可用。如果登录失败,客户端浏览器将显示原始登录页面,以便客户端可以重试。

    登录页面

使用 CLI 执行以下操作

  1. 配置流量管理和验证虚拟服务器。

    • add lb vserver lbvs55 HTTP 1.217.193.55 80 -AuthenticationHost auth56.aaatm.com -Authentication ON
    • add authentication vserver auth56 SSL 1.217.193.56 443 -AuthenticationDomain aaatm.com
  2. 配置第二个因素。

    • add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2
    • add authentication loginSchemaPolicy login1 -rule true -action login1
    • add authentication loginSchema login2 -authenticationSchema noschema
    • add authentication loginSchemaPolicy login2 -rule true -action login2
    • add authentication policylabel label1 -loginSchema login2
  3. 配置 LDAP 和 RADIUS 因素。

    • add authentication ldapAction ldapAct1 -serverIP 1.217.28.180 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 71ca2b11ad800ce2787fb7deb54842875b8f3c360d7d46e3d49ae65c41550519 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN
    • add authentication Policy ldap -rule true -action ldapAct1
    • add authentication radiusAction radius -serverIP 1.217.22.20 -radKey a740d6a0aeb3288fa0a6fbe932d329acddd8f448ecb4a3038daa87b36599fd16 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8
    • add authentication Policy radius -rule true -action radius
  4. 绑定策略。

    • bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END
    • bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next
    • bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end

注意

也可以通过 NetScaler 版本 13.0 及更高版本中提供的 nFactor 可视化工具创建安装程序。

nFactor 可视化工具两个因素

使用 nFactor 可视化工具进行配置

  1. 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flows(nFactor 流程),然后单击 Add(添加)。

  2. 单击 + 以添加 nFactor 流。

  3. 添加一个因素。您输入的名称为 nFactor 流的名称。单击 Create(创建)。

    为流程添加名称

  4. 要为第一个因素添加两个密码架构,请单击 添加架构

    添加架构

  5. 单击 添加策略 以添加 LDAP 策略。可以创建身份验证策略或从列表中选择现有身份验证策略。

    添加 LDAP 策略

  6. 在“ 作”选项卡中,选择 LDAP 服务器。

    添加 LDAP 策略

    注意

    如果未添加 LDAP 服务器,有关添加 LDAP 服务器的详细信息,请参阅 LDAP 身份验证策略

  7. 单击绿色 + 以添加 RADIUS 因素,然后单击创建

    添加下一个因素

  8. 不要为此因素添加架构,因为默认情况下它不采用任何架构。要添加 RADIUS 验证策略,请单击 添加策略

    RADIUS 身份验证策略

    注意

    如果未添加 RADIUS 服务器,有关添加 RADIUS 服务器的详细信息,请参阅 配置 RADIUS 身份

  9. 单击 Done(完成)保存配置。

  10. 要将创建的 nFactor 流绑定到身份验证、授权和审核虚拟服务器,请单击 绑定到身份验证服务器 ,然后单击 创建

在 NetScaler nFactor 身份验证中使用一种登录架构和一种直通架构配置双重身份验证