配置Citrix Gateway对移动/平板设备使用RADIUS和LDAP身份验证
本节描述如何将Citrix Gateway设备配置为在移动/平板设备上使用RADIUS身份验证作为主要身份验证,LDAP身份验证作为次要身份验证。
本节中演示的配置仍然允许所有其他连接首先使用LDAP,然后使用RADIUS。
当您在Citrix Workspace应用程序上配置用于移动/平板设备的双因素身份验证时,必须添加RSA SecureID (RADIUS身份验证)作为主要身份验证。但是当用户在接收端得到用户名和密码、密码的提示时,他们将LDAP放在第一位,RADIUS作为第二个凭据。从管理员的角度来看,与非移动配置相比,这是一种不同的配置。
完成以下过程,将Citrix Gateway设备配置为在移动/平板设备上使用RADIUS身份验证作为主要身份验证,LDAP身份验证作为次要身份验证。
从Configuration Utility中选择Citrix Gateway >策略>认证分别为移动设备和非移动设备创建LDAP和RSA认证策略。这是避免允许用户绕过RADIUS身份验证的逻辑条件所必需的。
,输入LDAP服务器详细信息添加选项下的服务器选项卡。
通过选择所需的LDAP服务器,创建移动设备的LDAP策略。
要将此策略仅绑定到移动设备,请使用以下表达式:
' REQ.HTTP.HEADER用户代理包含CitrixReceiver '
点击表达式编辑器创建策略:
2 .为移动设备创建RADIUS策略和RADIUS服务器。
- 导航到RADIUS选项Citrix Gateway >策略>认证> RADIUS.点击添加服务器选项卡下。
- 添加所需的详细信息。缺省情况下,RADIUS认证端口号为1812。
- 要将此策略仅绑定到移动设备,请使用以下表达式:
按照相同的步骤为非移动设备创建LDAP策略。要将此策略仅绑定到非移动设备,请使用以下表达式:
' REQ.HTTP.HEADER用户代理未包含CitrixReceiver '
为非移动设备创建RADIUS策略。要将此策略仅绑定到非移动设备,请使用以下表达式:
' REQ.HTTP.HEADER用户代理未包含CitrixReceiver '
进入“Citrix Gateway Virtual Server的属性”,单击身份验证选项卡。在“Primary Authentication Policies”中将RSA_Mobile策略添加为最高优先级,LDAP_NonMobile策略添加为次要优先级。
在“二级认证策略”中,将LDAP_Mobile策略添加为最高优先级,RSA_NonMobile策略添加为次要优先级。
会话策略必须具有正确的单点登录凭据索引,也就是说,它必须是LDAP凭据。对于移动设备,凭据指数下会话配置文件>客户端体验必须设置为二次也就是LDAP。
因此需要两个会话策略,一个用于移动设备,另一个用于非移动设备。
- 对于移动设备,会话策略和会话配置文件如下图所示。若要创建会话策略,请导航到虚拟服务器,单击编辑,进入策略部分,点击+号:
选择会话选项从菜单。
输入所需的会话策略名称并单击+以创建概要文件。对于移动设备,凭据指数下会话配置文件>客户端体验必须设置为二次也就是LDAP。
- 对于非移动设备,遵循相同的步骤。凭据指数下会话配置文件>客户端体验必须设置为主要的也就是LDAP。
表达式必须更改为:
REQ.HTTP.HEADER用户代理未包含CitrixReceiver
- 要为非移动用户创建配置文件,请单击“+”。
下图显示了所需虚拟服务器下的策略和概要文件。
同样在StoreFront上,在Citrix Gateway配置下设置为使用“登录类型”=“域和安全令牌”
