nFactor Visualizer 简化配置
自 Citrix ADC 版本 13.0 Build 36.27 起,使用 nFactor 可视化工具简化了通过 GUI 进行的 nFactor 配置。nFactor 可视化工具可帮助管理员添加多个因素,而不会丢失对每个因素的跟踪。在流中构建的因素组将显示在一个位置。管理员可以分别添加身份验证成功和失败路径。创建流后,管理员必须将 nFactor 流绑定到身份验证虚拟服务器。
注意
- 管理员在 nFactor 流中创建的所有因素都将保留以供将来使用。
- 自 Citrix ADC 功能版本 13.0 构建 Build 64.35 及更高版本起,使用 nFactor 可视化工具,您可以通过决策块启动 nFactor 流。
以前,nFactor 配置很麻烦,管理员必须访问许多页面才能进行配置。如果需要更改,管理员每次都必须重新访问已配置的部分。此外,无法在一个位置查看完整的配置。
用例 1:RADIUS 后跟 LDAP 身份验证,否则通过 nFactor 可视化工具回退到 Captcha
将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。
要实现此用例,您可以使用 nFactor 可视化工具。该可视化工具提供了各种控件,可用于添加此流以及相关项目。
下图显示了使用可视化工具为上述用例创建的 nFactor 流。
-
RADIUS。您将 RADIUS 配置为第一个因素。您可以添加登录架构和策略。在此示例中,adius_auth 和 RADIUS_policy 是添加的登录架构和策略。对于 RADIUS_Policy,您可以为成功案例添加另一个因素。在此示例中,为成功案例添加了 LDAP 因素块。对于失败情况,您可以添加 Captcha 因素。
-
LDAP。您将 LDAP 身份验证配置为第二个因素。您可以添加登录架构和策略。在此示例中,ldap_auth 和 LDAP_policy 是添加的登录架构和策略。
-
Captcha。对于 RADIUS 策略失败案例,您可以创建 Captcha 因素。在此示例中,captcha 和 captcha_policy 是添加的登录架构和策略。
用例 2:LDAP 后跟通过 nFactor 可视化工具使用基于 LDAP 组成员身份的 Captcha 进行的 RADIUS/证书身份验证
将 RADIUS 身份验证作为第一级身份验证,然后是 LDAP 身份验证。如果 RADIUS 失败,身份验证必须回退到 Captcha。
下图显示了使用可视化工具为上述用例创建的 nFactor 流。
-
LDAP。将 LDAP 配置为第一个因素。您可以添加登录架构和策略。在此示例中,SingleAuth 和 LDAP_Policy 是添加的登录架构和策略。对于 LDAP_Policy,可以为成功案例添加另一个因素。在此示例中,为成功案例添加了决策块。对于失败案例,可以添加 Captcha 后跟 AD 因素。
-
组提取 LDAP。是否为 LDAP 成功案例添加了决策块。决策块用作分支因素,根据策略规则将用户分支出去。可视化工具仅允许为决策块配置 NO_AUTHN 策略。
在此示例中,Group_Extraction_LDAP 为决策块。您在此决策块中添加两个策略 (
AD_Group_Partner and AD_Group_Employee
)。如用例中所述,通过 AD_Group_Partner 策略路由的所有请求都使用 RADIUS 身份验证。因此,您将此策略的成功案例连接到下一个因素(即 RADIUS 因素)。同样,通过 AD_Group_Employee 策略路由的所有请求都使用证书身份验证。因此,您将此策略的成功案例连接到下一个因素(即证书身份验证因素)。-
RADIUS。对于 AD_Group_Partner 策略成功案例,您可以创建 RADIUS 身份验证因素。
-
证书。对于 AD_Group_Employee 策略成功案例,您可以创建证书身份验证因素。
-
-
Captcha。对于 LDAP 策略失败案例,您可以创建两个下一个因素:Captcha 和 AD 因素。
注意
- 如果首先要分支用例,您可以创建两个流并单独绑定,或者创建一个流,将第一个流作为分支创建一个流,然后将其绑定到虚拟服务器。
- 如果您有多个块,并且要在“nFactor Flow”(nFactor 流)屏幕中查看整个流,请单击可视化工具并将流拖动到最左侧。
- Citrix 建议仅使用“nFactor Flows”(nFactor 流)页面修改 nFactor 流。
使用 nFactor 可视化工具配置 nFactor
注意
以下 nFactor 配置是一个简单的示例,可帮助您完成用例 1 场景配置。
- 导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)。
- 单击添加。
-
在 nFactor Flows(nFactor 流)页面,单击 + 为流添加第一个因素。第一个因素还可以作为此 nFactor 流的标识符。
-
输入因素名称,然后单击 Create(创建)。
因素名称将显示在“nFactor Flow”(nFactor 流)页面的因素块上。
注意
我们建议您不要使用策略标签名称(例如
__root
和__<flow_name>
)作为后缀,使用_db_
作为前缀。它用作在 nFactor 流中创建的因素名称。 -
创建 RADIUS 因素后,必须创建“Add Schema”(添加架构)和“Add Policy”(添加策略)。
注意
有关更多信息,请参阅 nFactor 概念、实体和术语。
-
单击添加架构。可以添加新的登录架构,也可以从 Authentication Login Schema(身份验证登录架构)列表中选择一个现有的登录架构。
-
要创建登录架构,请单击 Add(添加),然后在 Create Authentication Login Schema(创建身份验证登录架构)页面中,输入架构的名称。单击 Edit(编辑)(铅笔图标)以从列表中选择 Login Schema Files(登录架构文件)。
-
单击 Add Policy(添加策略)。您可以创建新策略或选择现有的身份验证策略。
-
要创建新策略,请单击 Add(添加),在 Create Authentication Policy(创建身份验证策略)页面中,输入策略的名称,然后单击 Create(创建)。
-
向因素中添加登录架构和策略后,登录架构和策略将显示在可视化工具中的因素上,如下图所示。对于任何给定的因素,您都可以添加多个策略并定义每个策略成功和失败的下一个因素。还可以删除作为因素的一部分的策略。
- 创建流后,可以将 nFactor 流绑定到身份验证虚拟服务器。
添加下一个因素
要添加下一个因素,可以根据自己的要求选择以下选项之一:
- 创建因素。创建一个因素。在流中创建的每个因素都是该流所独有的。
-
创建决策块。创建一个决策块作为分支因素。您无法向决策块中添加登录架构。可视化工具仅允许为决策块配置 NO_AUTHN 策略。
注意
只能通过 Citrix ADC GUI 添加或编辑决策块。无法从 CLI 命令配置决策块。
- 连接到现有因素。选择现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
-
无。删除现有连接。
添加下一个因素
要添加下一个因素,可以根据自己的要求选择以下选项之一:
- 创建因素。创建一个因素。在流中创建的每个因素都是该流所独有的。
-
创建决策块。创建一个决策块作为分支因素。您无法向决策块中添加登录架构。可视化工具仅允许为决策块配置 NO_AUTHN 策略。
注意
只能通过 Citrix ADC GUI 添加或编辑决策块。无法从 CLI 命令配置决策块。
- 连接到现有因素。选择现有因素作为下一个因素。现有列表中显示的所有因素都是专门为该流创建的。
-
无。删除现有连接。
将 nFactor 流绑定到身份验证服务器
-
在 nFactor Flows(nFactor 流)页面中,选择您希望绑定到身份验证虚拟服务器的 nFactor 流。
-
单击水平省略号并选择绑定到身份验证服务器,或者在 nFactor 流页面上,单击绑定到身份验证服务器。
-
在 Bind to Authentication Server(绑定到认证服务器)页面上,可以执行以下操作:
- 要添加 Authentication Virtual Server(身份验证虚拟服务器),请单击 Add(添加)。
- 要从列表中选择现有身份验证服务器,请单击 Authentication Server(身份验证服务器)字段。
-
从汉堡图标中单击 Show Bindings(显示绑定)以查看绑定。
-
要取消身份验证服务器与特定 nFactor 流的绑定,请执行以下步骤:
- 在 nFactor Flows 页面上,单击汉堡图标中的“显示绑定”。
- 在“身份验证服务器绑定”页面上,选择要取消绑定的身份验证服务器,然后单击“解除绑定”。单击关闭。
有关 nFactor 身份验证的详细信息,请参阅以下主题:
-
概念: 多因素(nFactor)身份验证。
-
工作流: nFactor 身份验证的工作原理
-
配置:配 置 nFactor 身份验证。
nFactor 可视化工具的增强功能
自 Citrix ADC 版本 13.0 Build 41.20 起,在 nFactor 可视化工具中添加了以下增强功能。
- 管理员可以将创建的因素移动到垃圾桶图标中。
- 在“Authentication Virtual server”(身份验证虚拟服务器)页面中查看 nFactor 流。
垃圾桶图标。管理员只能删除没有连接的节点。但是,如果将因素移至垃圾桶,则不会删除为因素创建的基础策略或架构。
查看垃圾桶图标
-
导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程)。您可以在左上角查看垃圾桶图标。
-
要删除因素,请单击因素块并将其拖动到垃圾桶中。
从身份验证虚拟服务器查看 nFactor 流。管理员还可以从“Authentication Virtual Server”(身份验证虚拟服务器)页面查看创建的 nFactor 流。
要从“Authentication Virtual server”(身份验证虚拟服务器)页面查看 nFactor 流,请
- 导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Virtual Servers(虚拟服务器)。在 Authentication Virtual Servers(身份验证虚拟服务器)页面上,可以执行以下步骤:
- 要添加身份验证虚拟服务器,请单击 Add(添加)。
- 要编辑现有身份验证虚拟服务器,请单击详细信息窗格中的 Edit(编辑)选项。
-
在 Authentication Virtual Server(身份验证虚拟服务器)页面上,可以查看 Advanced Authentication Policies(高级身份验证策略)下的 nFactor Flow(nFactor 流)选项。
- 如果没有绑定到虚拟服务器的 nFactor 流,则可以单击 Advanced Authentication Policies(高级身份验证策略)部分下的 No nFactor Flow(无 nFactor 流)选项,以添加新 nFactor 流或从列表中选择现有的 nFactor 流。