Gateway

将 Citrix Gateway 配置为在移动/平板电脑设备上使用 RADIUS 和 LDAP 身份验证

本节介绍如何将 Citrix Gateway 设备配置为在移动/平板电脑设备上使用 RADIUS 身份验证作为主要身份验证并将 LDAP 身份验证用作辅助身份验证。

本节中演示的配置仍然允许所有其他连接首先使用 LDAP,然后使用 RADIUS。

在 Citrix Receiver 上配置双因素身份验证以用于移动/平板电脑设备时,必须将 RSA SecureID(RADIUS 身份验证)添加为主要身份验证。但是,当用户在 Receiver 上收到输入用户名和密码、密码的提示时,他们将把 LDAP 放在第一位,将 RADIUS 作为第二个凭据。从管理员的角度来看,与非移动配置相比,这是一种不同的配置。

本地化后的图片

完成以下步骤,将 Citrix Gateway 设备配置为在移动/平板电脑设备上使用 RADIUS 身份验证作为主要身份验证,将 LDAP 身份验证用作辅助身份验证。

  1. 从配置实用程序中,选择 Citrix Gateway > 策略 > 身份验证 ,然后为移动设备和非移动设备的 LDAP 和 RSA 创建身份验证策略。这对于避免可能允许用户绕过 RADIUS 身份验证的逻辑条件是必要的。

    本地化后的图片

  2. 单击 LDAP 的“服务器”选项卡下的“添加”选项后,输入 LDAP 服务器详细信息。

    本地化后的图片

    有关如何配置身份验证服务器的更多细节,请参阅“如何在 NetScaler 上配置 LDAP 身份验证”的“创建身份验证服务器”部分

  3. 通过选择所需的 LDAP 服务器为移动设备创建 LDAP 策略。

    要仅将此策略绑定到移动设备,请使用以下表达式:

    `REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver`
    

    本地化后的图片

  4. 单击 表达式编辑器 创建策略:

    本地化后的图片

  5. 为移动设备创建 RADIUS 策略和 RADIUS 服务器。

    (a) 从 Citrix Gateway > 策略 > 身份验证 > RADIUS 导航到 RADIUS 选项。单击服务器选项卡下的“添加”。

    本地化后的图片

    (b) 添加所需的详细信息。RADIUS 身份验证的默认端口是 1812。

    本地化后的图片

    (c) 要将此策略仅绑定到移动设备,请使用以下表达式:

    本地化后的图片

  6. 按照相同的步骤为非移动设备创建 LDAP 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    本地化后的图片

  7. 为非移动设备创建 RADIUS 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    `REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`
    

    本地化后的图片

  8. 转到 Citrix Gateway 虚拟服务器的属性,然后单击 身份验证 选项卡。在主身份验证策略上,将 RSA_Mobile 策略添加为最高优先级,将 LDAP_NonMobile 策略添加为次要优先级:

    本地化后的图片

  9. 在辅助身份验证策略中,将 LDAP_Mobile 策略添加为最高优先级,然后添加 RSA_NonMobile 策略作为次要优先级:

    本地化后的图片

    会话策略必须具有正确的单点登录凭据索引,也就是说,它必须是 LDAP 凭据。对于移动设备,“会话配置文件”>“客户体验”下的凭据索引应设置为“次要”,即 LDAP。

因此,您需要两个会话策略,一个用于移动设备,另一个用于非移动设备。

(a) 对于移动设备,会话策略和会话配置文件将如下屏幕截图所示。 要创建会话策略,请导航到所需的虚拟服务器,然后单击“编辑”,转到“略”部分,然后单击“+ 签名”:

本地化后的图片

(b) 从下拉列表 中选择会话选项。

本地化后的图片

(c) 输入所需的会话策略名称,然后单击 + 创建新的配置文件。对于移动设备,“会话配置文件”>“客户体验”下的凭据索引应设置为“次要”,即 LDAP。

本地化后的图片

(d) 对于非移动设备,请遵循相同的步骤。会话配置文件 > 客户体验下的凭据索引应设置为主要,即 LDAP。

该表达式应更改为:

`REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver`

本地化后的图片

(e) 要为非移动用户创建新的配置文件,请单击 + 签名。

本地化后的图片

  1. 所需虚拟服务器下的策略和配置文件将与以下屏幕截图类似:

    本地化后的图片

  2. 此外,在 StoreFront 上,在 Citrix Gateway 配置下设置为使用“登录类型”=“域和安全令牌”

    本地化图像 本地化图

将 Citrix Gateway 配置为在移动/平板电脑设备上使用 RADIUS 和 LDAP 身份验证