将预身份验证和后身份验证 EPA 扫描配置为 nFactor 身份验证中的一个因素
在 Citrix Gateway 上,可以将端点分析 (EPA) 配置为检查用户设备是否满足某些安全要求,从而允许用户访问内部资源。当用户首次登录 Citrix Gateway 时,端点分析插件将下载并安装在用户设备上。如果用户未在用户设备上安装端点分析插件,则用户无法使用 Citrix Gateway 插件登录。
要了解 nFactor 概念中的 EPA,请参阅 通过 NetScaler 进行 nFactor 身份验证中用于 EPA 的概念和实体。
在本主题中,EPA 扫描用作 nFactor 或多重身份验证中的初始检查,后跟登录和 EPA 扫描作为最终检查。
用户连接到 Citrix Gateway 虚拟 IP 地址。EPA 扫描已启动。如果 EPA 扫描成功,用户将看到登录页面,其中包含基于 LDAP 或 AD(Active Directory)的身份验证的用户名和密码字段。根据用户凭证的成功情况,用户将被重定向到下一个 EPA 因素。
此配置中涉及的高级步骤
-
如果扫描成功,则会将用户放置或标记为默认用户组。
-
选择下一种身份验证方法 (LDAP)。
-
根据身份验证的结果,系统会向用户显示下一组扫描。
必备条件
假设以下配置已到位。
- VPN 虚拟服务器/网关和身份验证虚拟服务器配置
- 身份验证、授权和审核用户组(适用于默认用户组和隔离用户组)及相关策略
- LDAP 服务器配置和相关策略
使用 CLI 进行配置
-
创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。
add authentication epaAction SecondEPA_client_scan -csecexpr "sys.client_expr("proc_0_firefox")" <!--NeedCopy-->
上述表达式会扫描 Firefox 进程是否在客户端计算机上运行。
add authentication Policy SecondEPA_check -rule true -action SecondEPA_client_scan <!--NeedCopy-->
-
配置 epa-scan 后的策略标签来托管 EPA 扫描的策略。
add authentication policylabel post-epa-scan -loginSchema LSCHEMA_INT <!--NeedCopy-->
注意: LSCHEMA_INT 是一个内置模式,没有架构(noschema),这意味着在此步骤中不会向用户显示其他网页。
-
将步骤 1 中配置的策略与步骤 2 中配置的策略标签相关联。
bind authentication policylabel post-epa-scan -policyName SecondEPA_check - priority 100 -gotoPriorityExpression END <!--NeedCopy-->
END 表示身份验证机制已结束。
-
配置 ldap-auth 策略并将其与配置为向特定 LDAP 服务器进行身份验证的 LDAP 策略关联。
add authentication Policy ldap-auth -rule true -action ldap_server1 ldap_server1 is LDAP policy and ldap-auth is policy name <!--NeedCopy-->
-
使用登录架构配置策略标签 ldap-factor 以捕获单因素用户名和密码。
add authentication policylabel ldap-factor -loginSchema LoginSchema/SingleAuth.xml <!--NeedCopy-->
注意: 如果您不想在构建的架构 LoginSchema/SingleAuth.xml 中使用,请用您需要的模式替换
-
将步骤 4 中配置的策略与步骤 5 中配置的策略标签相关联。
bind authentication policylabel ldap-factor -policyName ldap-auth -priority 100 -gotoPriorityExpression END -nextFactor post-epa-scan <!--NeedCopy-->
END 表示该段的身份验证机制已结束,而 NextFactor 表示身份验证后的下一个因素。
-
创建用于执行 EPA 扫描的操作,并将其与 EPA 扫描策略关联。
add authentication epaAction FirstEPA_client_scan –csecexpr “sys.client_expr("os_0_win7_sp_1")" -defaultEPAGroup default_group <!--NeedCopy-->
这里 default_group 是一个预先配置的用户组。
上述表达式会扫描 Windows 7 用户是否安装了补丁 1。
add authentication Policy FirstEPA-check -rule true -action FirstEPA_client_scan <!--NeedCopy-->
-
将 EPA 扫描策略与身份验证、授权和审核虚拟服务器相关联,下一步指向策略标签 ldap-factor 以执行身份验证的下一步。
bind authentication vserver MFA_AAA_vserver -policy FirstEPA-check -priority 100 -nextFactor ldap-factor -gotoPriorityExpression NEXT <!--NeedCopy-->
使用 GUI 进行配置
-
导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA。
第一个用于检查 Windows 自动更新的 EPA 扫描和默认组
第二次 EPA 扫描以检查 Firefox 浏览器
-
创建 EPA 策略。导航到 安全 > AAA 应用程序流量 > 策略 > 身份验证 > 高级策略 > 策略 并绑定在步骤 1 中创建的操作。
首次 EPA 扫描的策略
第二次 EPA 扫描的策略
有关高级 EPA 的更多信息,请参阅 高级端点分析扫描
-
创建 nFactor 流。导航到 Security(安全)> AAA-Application Traffic(AAA - 应用程序流量)> nFactor Visualizer(nFactor 可视化工具)> nFactor Flow(nFactor 流程),然后单击 Add(添加)。
注意: nFactor 可视化工具在固件 13.0 及更高版本上可用。
-
添加一个因素。您输入的名称为 nFactor 流的名称。
EPA 扫描不需要任何架构。
-
单击 添加策略 为第一个因素添加策略。
-
选择在步骤 2 中创建的第一个 EPA 策略。
-
单击绿色 + 号并添加下一个因素,即 LDAP 身份验证。
-
单击 添加架构 ,然后单击 添 加为第二个因素添加架构。
-
创建一个模式,在此示例中为 Single_Auth,然后选择此架构。
-
单击 添加策略 以添加用于身份验证的 LDAP 策略。
有关创建 LDAP 验证的更多信息,请参阅 配置 LDAP 身份验证
-
为身份验证后 EPA 扫描创建下一个因素。
-
单击 添加策略,选择在步骤 2 中创建的 secondePA_Check 策略,然后单击 添加。
-
单击 Done(完成)。
-
单击 绑定到身份验证服务器,选择 nFactor 流,然后单击 创建。
取消绑定 nFactor 流程
-
选择 nFactor 流程并单击“显示绑定”。
-
选择身份验证虚拟服务器,然后单击“解除绑定”。