Gateway

将 NetScaler Gateway 配置为在移动/平板电脑设备上使用 RADIUS 和 LDAP 身份验证

本节介绍如何将 NetScaler Gateway 设备配置为在移动/平板电脑设备上使用 RADIUS 身份验证作为主要身份验证,将 LDAP 身份验证用作辅

本节中演示的配置仍然允许所有其他连接首先使用 LDAP,然后使用 RADIUS。

在 Citrix Workspace 应用程序上配置双重身份验证以用于移动/平板电脑设备时,必须添加 RSA SecureID (RADIUS 身份验证) 作为主身份验证。但是,当用户收到提示输入用户名和密码、Receiver 上的密码时,他们将把 LDAP 放在第一位,RADIUS 作为第二个凭据。从管理员的角度来看,它与非移动配置相比是不同的配置。

设置图

完成以下过程,将 NetScaler Gateway 设备配置为在移动/平板电脑设备上使用 RADIUS 身份验证作为主身份验证,将 LDAP 身份验证用作辅

  1. 从配置实用程序中,选择 NetScaler Gateway > 策略 > 身份验证 ,然后为移动设备和非移动设备的 LDAP 和 RSA 创建身份验证策略。为了避免出现允许用户绕过 RADIUS 身份验证的逻辑条件,这是必要的。

  2. 单击 LDAP 的“服务器”选项卡下的“添加”选项后,输入 LDAP 服务 详细信息。

  3. 通过选择所需的 LDAP 服务器为移动设备创建 LDAP 策略。

    要仅将此策略绑定到移动设备,请使用以下表达式:

    REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
    

    相应的高级表达式如下:

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
    

    绑定表达式

  4. 单击“表达式编辑器”创建策略:

    表情编辑器

  5. 为移动设备创建 RADIUS 策略和 RADIUS 服务器。

    • NetScaler Gateway > 策略 > 身份验证 > RADIUS 导航到 RADIUS选项。单击“服务器”选项卡下的“添加”。

    • 添加所需的详细信息。RADIUS 身份验证的默认端口是 1812。

    添加服务器详情

    • 要仅将此策略绑定到移动设备,请使用以下表达式:

    表达式

  6. 按照相同的步骤为非移动设备创建 LDAP 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    相应的高级表达式如下:

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    绑定表达式

  7. 为非移动设备创建 RADIUS 策略。要仅将此策略绑定到非移动设备,请使用以下表达式:

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    相应的高级表达式如下:

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    表达式部分

  8. 转到 NetScaler Gateway 虚拟服务器的属性,然后单击 身份验证 选项卡。在主身份验证策略上,将 RSA_Mobile 策略添加为最高优先级,将 LDAP_NonMobile 策略添加为次要优先级:

    策略页面

    策略页面

  9. 在辅助身份验证策略中,将 LDAP_Mobile 策略添加为最高优先级,然后将 RSA_NonMobile 策略添加为次要优先级:

    辅助验证策略

    会话策略必须具有正确的单点登录凭据索引,也就是说,它必须是 LDAP 凭据。对于移动设备,会 话配置文件 > 客户端体验 下的 凭据索引 必须设置为 辅助 ,即 LDAP。

    因此,您需要两个会话策略,一个用于移动设备,另一个用于非移动设备。

    • 对于移动设备,会话策略和会话配置文件将显示在以下屏幕截图中。 要创建会话策略,请导航到所需的虚拟服务器,然后单击 编辑,转到策略部分,然后单击 + 号:

    编辑虚拟服务器

    • 从菜单中选择“会话”选项。

    选择会话作为策略

    • 输入所需的会话策略名称,然后单击 + 以创建配置文件。对于移动设备,会 话配置文件 > 客户端体验 下的 凭据索引 必须设置为 辅助 ,即 LDAP。

    客户体验选项卡

    • 对于非移动设备,请执行相同的步骤。“会话配置文件”>“客户端体验”下的凭据索引 必须设置为“”,即 LDAP。

    必须将表达式更改为:

    REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver
    

    相应的高级表达式如下:

    HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
    

    表达式

    • 要为非移动用户创建配置文件,请单击 + 号。

    创建配置文件

  10. 下图显示了所需虚拟服务器下的策略和配置文件。

    策略和配置文件

  11. 同样在 StoreFront 上,在 NetScaler Gateway 配置下设置为使用“登录类型”=“域和安全令牌”

    StoreFront 设置 1

    StoreFront 设置 1

将 NetScaler Gateway 配置为在移动/平板电脑设备上使用 RADIUS 和 LDAP 身份验证

在本文中