将Citrix网关配置为对移动/平板电脑设备使用RADIUS和LDAP身份验证

本节介绍如何配置Citrix网关设备，以便在移动/平板电脑设备上使用RADIUS身份验证作为主要身份验证，使用LDAP身份验证作为次要身份验证。

本节中演示的配置仍然允许所有其他连接首先使用LDAP，其次使用RADIUS。

在Citrix Receiver上配置用于移动/平板电脑设备的双因素身份验证时，必须添加RSA SecureID（RADIUS身份验证）作为主身份验证。但是，当用户得到提示输入用户名和密码、接收方的密码时，他们会将LDAP放在第一位，将RADIUS放在第二位。从管理员的角度来看，它与非移动配置不同。

完成以下步骤，将Citrix网关设备配置为在移动/平板电脑设备上使用RADIUS身份验证作为主要身份验证，使用LDAP身份验证作为次要身份验证。

1. 从配置实用程序中，选择Citrix网关>策略>身份验证，并为移动设备和非移动设备的LDAP和RSA创建身份验证策略。这是必要的，以避免可能允许用户绕过RADIUS身份验证的逻辑条件。

2. 单击LDAP服务器选项卡下的添加选项后，输入LDAP服务器详细信息。

   有关如何配置身份验证服务器的更多详细信息，请参阅如何在NetScaler上配置LDAP身份验证的“创建身份验证服务器”一节

3. 通过选择所需的LDAP服务器为移动设备创建LDAP策略。

   要将此策略绑定到仅移动设备，请使用以下表达式：

   `REQ.HTTP.HEADER用户代理包含Citrix接收器`

4. 单击“表达式编辑器”以创建策略：

5. 为移动设备创建RADIUS策略和RADIUS服务器。

   （a）从Citrix网关中导航到RADIUS选项>策略>身份验证>半径。单击“服务器”选项卡下的“添加”。

   （b） 添加所需的详细信息。RADIUS身份验证的默认端口是1812。

   （c） 要仅将此策略绑定到移动设备，请使用以下表达式：

6. 按照相同的步骤为非移动设备创建LDAP策略。要仅将此策略绑定到非移动设备，请使用以下表达式：

   `REQ.HTTP.HEADER用户代理不包含Citrix接收器`

7. 为非移动设备创建RADIUS策略。要仅将此策略绑定到非移动设备，请使用以下表达式：

   `REQ.HTTP.HEADER用户代理不包含Citrix接收器`

8. 转到Citrix Gateway虚拟服务器的属性，然后单击“身份验证”选项卡。在主身份验证策略上，将RSA_Mobile策略添加为顶部优先级和LDAP_NONMOBILE策略作为辅助优先级：

9. 在辅助身份验证策略上，添加LDAP_移动策略作为最高优先级，然后添加RSA_非移动策略作为第二优先级：

   会话策略必须具有正确的单点登录凭据索引，即它必须是LDAP凭据。对于移动设备，会话配置文件>客户端体验下的凭据索引应设置为辅助，即LDAP。

因此，您需要两个会话策略，一个用于移动设备，另一个用于非移动设备。

（a）对于移动设备，会话策略和会话配置文件将如下图所示，如下屏幕截图所示。要创建会话策略，导航到必需的虚拟服务器，然后单击“编辑”，转到“策略”部分，然后单击+符号：

（b）从下拉下来选择会话选项。

（c）输入所需的会话策略名称，然后单击+以创建新配置文件。对于移动设备，会话配置文件>客户端体验下的凭证指数应设置为次级为LDAP。

（d） 对于非移动设备，请执行相同的步骤。会话配置文件>客户端体验下的凭据索引应设置为主，即LDAP。

表达式应更改为：

`REQ.HTTP.HEADER用户代理不包含Citrix接收器`

（e）为非移动用户创建新配置文件，请单击+符号。

1. 所需虚拟服务器下的策略和配置文件将类似于以下屏幕截图：

2. 此外，在店面上，Citrix网关配置下设置为使用“登录类型”=“域和安全令牌”