This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
将后身份验证 Endpoint Analysis 扫描配置为 Citrix ADC nFactor 身份验证中的一个因素
在 Citrix Gateway 上,可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求,从而允许用户访问内部资源。当用户首次登录 Citrix Gateway 时,端点分析插件将下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件或选择跳过扫描,则该用户将无法使用 Citrix Gateway 插件登录。或者,可以将用户置于隔离组中,在该组中,用户只能有限地访问内部网络资源。
以前,Post-EPA 被配置为会话策略的一部分。现在,它可以链接到 nFactor,从而在何时可以执行方面提供更大的灵活性。
在本主题中,EPA 扫描用作 nFactor 或多因素身份验证中的最终检查。
用户尝试连接到 Citrix Gateway 虚拟 IP 地址。向用户呈现一个带有用户名和密码字段的简单登录页面,以提供登录凭据。使用这些凭证,在后端执行 LDAP 或基于 AD 的身份验证。如果成功,则会向用户显示一条弹出消息以授权 EPA 扫描。用户授权后,将执行 EPA 扫描,并根据用户客户端设置的成功或失败,向用户提供访问权限。
必备条件
假设以下配置已到位。
- VPN 虚拟服务器/网关和身份验证虚拟服务器配置
- LDAP 服务器配置和关联的策略
注意: 也可以通过 Citrix ADC 版本 13.0 及更高版本中提供的 nFactor 可视化工具创建设置。
下图显示了策略和策略标签的映射。这是用于配置的方法,但从右到左。
使用 CLI 执行以下操作
-
创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr ("app_0_MAC-BROWSER_1001_VERSION_<=_10.0.3")||sys.client_expr("os_0_win7_sp_1")" <!--NeedCopy-->
上面的表达式扫描 macOS 用户的浏览器版本是否低于 10.0.3 或 Windows 7 用户是否安装了 Service pack 1。
add authentication Policy EPA-check -rule true -action EPA-client-scan <!--NeedCopy-->
-
在 ldap-epa-scan 之后配置托管 EPA 扫描策略的策略标签。
add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->
注意: LSCHEMA_INT 是一个内置模式,没有架构(noschema),这意味着在此步骤中不会向用户显示其他网页。
-
将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->
-
将 ldap-auth 策略配置为并将其与配置为使用特定 LDAP 服务器进行身份验证的 LDAP 策略相关联。
add authentication Policy ldap-auth -rule true -action ldap_server1 <!--NeedCopy-->
其中 ldap_server1 是 LDAP 策略 ldap-auth 是策略名称
-
将 ldap-auth 策略与身份验证、授权和审计虚拟服务器相关联,下一步指向 ldap-epa-scan 后的策略标签以执行 EPA 扫描。
bind authentication vserver MFA_AAA_vserver -policy ldap-auth -priority 100 -nextFactor post-ldap-epa-scan -gotoPriorityExpression NEXT <!--NeedCopy-->
注意: 预身份验证 EPA 扫描始终作为 nFactor 身份验证的第一步执行。身份验证后 EPA 扫描始终作为 nFactor 身份验证的最后一步执行。EPA 扫描不能在 nFactor 身份验证之间执行。
使用 nFactor 可视化工具进行配置
上述配置也可以使用 nFactor Visualizer 执行,该功能在固件 13.0 及更高版本中可用。
-
导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。
-
单击 + 以添加 nFactor 流。
-
添加一个因素。您输入的名称为 nFactor 流的名称。
-
单击“添加架构”为第一个因素添加架构,然后单击“添加”。
-
单击 添加策略 以添加 LDAP 策略。如果已经创建 LDAP 策略,则可以选择相同的策略。
注意: 您可以创建 LDAP 策略。单击“添加”,然后在“操作”字段中选择 LDAP。有关添加 LDAP 服务器的更多详细信息,请参见 https://support.citrix.com/article/CTX123782)
-
单击 + 添加 EPA 因素。
-
将“添加架构”部分留空,以使默认的架构不应用于此因素。单击“添加策略”以添加身份验证后 EPA 策略和操作。
EPA的操作:
EPA的策略:
单击 Create(创建)。
-
nFactor 流完成后,将此流绑定到身份验证、授权和审核虚拟服务器。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.