本机OTP支持身份验证

Citrix Gateway支持一次性密码，无需使用第三方服务器。一次性密码是一种高度安全的认证选项，以确保服务器的安全，因为生成的数字或密码是随机的。在此之前，专门的公司，如RSA使用特定的设备生成随机数提供otp。这个系统必须与客户端保持不断的通信，以生成服务器所期望的数字。

除了减少资本和运营费用，该特性还通过将整个配置保留在Citrix ADC设备上增强了管理员的控制能力。

请注意:由于不再需要第三方服务器，Citrix ADC管理员必须配置一个接口来管理和验证用户设备。

用户必须在Citrix Gateway虚拟服务器上注册才能使用OTP解决方案。每个唯一的设备只需要注册一次，并且可以限制在特定的环境中。配置和验证注册用户类似于配置额外的认证策略。

支持本机OTP的好处

• 通过消除在身份验证服务器上除了Active Directory之外还有额外基础结构的需要，降低了操作成本。
• 只将配置合并到Citrix ADC设备，从而为管理员提供了良好的控制。
• 消除客户端依赖额外的身份验证服务器来生成客户端期望的数字。

本机OTP工作流

本地的OTP解决方案是一个双重过程，工作流分为以下几类:

• 设备注册
• 终端用户登录

重要的是:如果您正在使用第三方解决方案或管理Citrix ADC设备之外的其他设备，则可以跳过注册过程。添加的最后一个字符串必须是Citrix ADC指定的格式。

下图描述了注册新设备以接收OTP的设备注册流程。

注意:设备注册可以使用任意数量的因素来完成。单因素（如上图所示）用作示例来解释设备注册过程。

下图描述了通过注册设备验证OTP。

先决条件

要使用本机OTP特性，请确保满足以下先决条件。

• Citrix ADC特性发布版本是12.0 build 51.24及更高版本。
• Citrix网关上安装了高级版或高级版许可证。
• Citrix Gateway配置了管理IP，可以通过浏览器和命令行访问管理控制台。
• Citrix ADC配置了身份验证、授权和审计虚拟服务器来验证用户。
• Citrix ADC设备配置了统一网关，并将认证、授权和审计配置文件分配给网关虚拟服务器。
• 本机OTP解决方案仅限于nFactor身份验证流。配置解决方案需要高级策略。有关更多详细信息，请参阅文章CTX222713．

还要确保Active Directory具有以下功能：

• 最小属性长度为256个字符。
• 属性类型必须是' DirectoryString '，比如UserParameters。这些属性可以保存字符串值。
• 如果设备名称为非英语字符，则属性字符串类型必须为Unicode。
• Citrix ADC LDAP管理员必须对所选AD属性具有写访问权。
• Citrix ADC设备和客户端机器必须同步到一个公共的Network Time Server。

使用GUI配置本机OTP

本地OTP注册不仅仅是一个单因素身份验证。下面几节将帮助您配置单因素身份验证和第二因素身份验证。

为第一个因素创建登录模式

1. 导航到安全AAA >应用流量>登录模式．
2. 去配置文件点击添加．
3. 在创建身份验证登录模式第页，输入lschema\u单一授权\u管理\u otp下的名字字段并单击编辑旁边诺斯切马．
4. 点击LoginSchema文件夹中。
5. 向下滚动选择SingleAuth.xml点击选择．
6. 点击创建．
7. 点击政策并点击添加．

8. 在创建身份验证登录模式策略屏幕，输入以下值。

   名称:lpol\u单一身份验证\u通过url管理otp\u简介:从列表中选择lpol_single_auth_manage_otp_by_url。规则:HTTP.REQ.COOKIE.VALUE(“NSC_TASS”).EQ(“manageotp”)

配置认证、授权、审计虚拟服务器

1. 导航到安全> AAA -应用流量>认证虚拟服务器. 单击以编辑现有虚拟服务器。
2. 点击+旁边的图标登录模式下高级设置在右边窗格中。
3. 选择没有登录模式．
4. 单击箭头并选择lpol\u单一身份验证\u通过url管理otp\u政策。
5. 选择lpol\u单一身份验证\u通过url管理otp\u策略并单击选择．
6. 点击绑定．
7. 向上滚动并选择1验证政策下高级身份验证策略．
8. 右键单击nFactor政策并选择编辑绑定．
9. 点击+图标出现在下面选择Next因素,创建一个Next Factor，然后单击绑定．

10. 在创建身份验证PolicyLabel屏幕，输入以下内容，然后单击继续：

    的名字: manage_otp_flow_label

    登录模式：Lschema_Int

11. 在身份验证PolicyLabel屏幕上,单击+图标创建策略。

12. 在创建身份验证策略屏幕，输入以下内容:

    的名字：auth_pol_ldap_otp_action

13. 属性选择Action类型动作类型列表。
14. 在行动字段中,单击+图标来创建一个Action。

15. 在创建认证LDAP服务器页面,选择服务器IP单选按钮，取消选中旁边的复选框认证，输入以下值，并选择测试连接．

    的名字: ldap_otp_action

    IP地址: 192.168.10.11

    基本DN：DC=培训，DC=实验室

    管理员: Administrator@training.lab

    暗语：xxxxx

16. 向下滚动到其他设置部分。使用下拉菜单选择以下选项。服务器登录名属性作为新和类型userprincipalname．
17. 使用下拉菜单进行选择SSO名称属性作为新和类型userprincipalname．
18. 在列表中输入“UserParameters”OTP的秘密字段并单击更多．

19. 输入以下属性。

    属性1=邮件属性2=对象GUID属性3= immutableID

20. 点击好吧．
21. 在创建身份验证策略页，将表达式设置为真正的点击创建．
22. 在创建身份验证策略标签页面,点击绑定,然后单击完成。
23. 在策略绑定页面,点击绑定．
24. 在身份验证策略页面,点击关闭点击多恩．

请注意

身份验证虚拟服务器必须绑定到RFWebUI门户主题。将服务器证书绑定到服务器。服务器IP“1.2.3.5”必须具有相应的FQDN，即otpauth.server.com，以便以后使用。

为第二个因素OTP创建登录模式

1. 导航到安全> aaa应用流量>虚拟服务器．选择要编辑的虚拟服务器。
2. 向下滚动并选择1登录模式．
3. 点击添加绑定．
4. 下策略绑定部分,单击+图标以添加策略。
5. 在创建身份验证登录模式策略页面，输入名称为OTP，然后单击+用于创建配置文件的图标。
6. 在创建身份验证登录模式页面，输入名称为OTP，并单击诺斯切马．
7. 点击LoginSchema文件夹,选择DualAuthManageOTP.xml，然后单击选择．
8. 点击创建．
9. 在规则第节，输入真正的．点击创建．
10. 点击绑定．
11. 请注意身份验证的两个因素。点击关闭点击多恩．

配置OTP管理的内容切换策略

如果使用统一网关，需要进行以下配置。

1. 导航到流量管理>内容交换>策略．选择内容切换策略，右键单击，选择编辑．

2. 编辑表达式以计算下面的OR语句，然后单击好吧：

通过命令行配置本机OTP

您必须具有以下信息才能配置OTP设备管理页面：

• 分配给认证虚拟服务器的IP
• 分配的IP对应的FQDN
• 认证虚拟服务器的服务器证书

注意:原生OTP只是一个基于web的解决方案。

配置OTP设备注册和管理界面

创建身份验证虚拟服务器

add authentication vserver authvs SSL 1.2.3.5 443 bind authentication vserver authvs -portaltheme rfweb bind SSL vserver authvs -certkeyname otpauthcert 

注意:身份验证虚拟服务器必须绑定到RFWebUI门户主题。将服务器证书绑定到服务器。服务器IP“1.2.3.5”必须具有相应的FQDN，即otpauth.server.com，以便以后使用。

要创建LDAP登录操作

添加身份验证ldapAction-serverIP-serverPort-ldapBase-ldapBindDn-ldapbinddnspassword-ldapLoginName<--需要复制-->

例子：

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapploginname userprincipalname 

为LDAP Logon添加身份验证策略

add认证策略auth_pol_ldap_logon -rule true -action ldap_logon_action 

通过LoginSchema呈现UI

登录时向用户显示用户名字段和密码字段

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/ loginSchema / loginSchema /SingleAuthManageOTP.xml" 

显示设备注册和管理界面

Citrix推荐两种显示设备注册和管理屏幕的方式:URL或主机名。

• 使用URL

  当URL包含' /manageotp '时

  • 添加认证loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")"动作片lschema_single_auth_manage_otp
  • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression结束

• 使用主机名

  当主机名是' alt.server.com '时

  • 添加认证loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")"动作片lschema_single_auth_manage_otp
  • bind authentication vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression结束

使用CLI配置用户登录页面的步骤

配置“用户登录”页面必须具备以下信息:

• 负载均衡虚拟服务器的IP
• 负载均衡虚拟服务器对应的FQDN

• 负载均衡虚拟服务器的服务器证书

  绑定SSL vserver lbvs_https -certkeyname lbvs_server_cert 

负载平衡中的后端服务表示如下：

add service iis_backendsso_server_com 1.2.3.210 HTTP 80 bind lb vserver lbvs_https iis_backendsso_server_com 

创建OTP密码验证操作

add authentication ldapAction  -serverIP  -serverPort  -ldapBase  -ldapBindDn  -ldapBindDnPassword  - ldploginname  -authentication DISABLED -OTPSecret  

例子：

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapploginname userprincipalname -authentication DISABLED -OTPSecret userParameters 

重要的是:LDAP登录和OTP操作之间的区别在于，需要禁用身份验证并引入一个新参数OTPSecret．请勿使用AD属性值。

添加OTP密码验证的认证策略

add authentication Policy auth_pol_otp_validation -rule true -action ldap_otp_action 

通过LoginSchema显示双因素身份验证

添加用于双因素身份验证的UI。

```添加身份验证登录chema lscheme\u dual\u factor-authenticationSchema“/nsconfig/loginSchema/loginSchema/DualAuth.xml”添加身份验证登录chema策略lpol\u dual\u factor-规则true-操作lscheme\u dual\u factor

####通过策略标签创建密码验证因子，为下一个因子创建管理OTP流策略标签(第一个因子是LDAP登录)

添加身份验证登录模式lschema\u noschema-身份验证模式noschema添加身份验证策略标签管理\u otp\u流\u标签-登录模式lschema\u noschema

####绑定OTP策略到策略标签

bind authentication policylabel manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

####绑定UI流绑定LDAP登录和身份验证虚拟服务器的OTP验证。

bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label - gotopriityexpression NEXT绑定authentication vserver authvs -policy lpol_dual_factor -priority 30 - gotopriityexpression结束｀｀｀

向Citrix ADC注册您的设备

1. 导航到您的Citrix ADC FQDN(第一个公开IP)，带有/manageotp后缀。例如,https://otpauth.server.com/manageotp使用用户凭证登录。

2. 点击+图标以添加设备。

3. 输入设备名称，按“”去．一个条形码出现在屏幕上。
4. 点击开始安装然后点击扫描条形码．

5. 将设备摄像头悬停在二维码上方。您可以选择输入16位代码。

   请注意:显示的二维码有效期为3分钟。

6. 扫描成功后，你会看到一个6位的时间敏感代码，可以用来登录。

7. 要进行测试，请单击多恩在QR屏幕上，单击右侧的绿色复选标记。
8. 从下拉菜单中选择您的设备，并从谷歌验证器中输入代码(必须是蓝色，不是红色)，然后单击去．
9. 请确保使用页面右上角的下拉菜单注销。

通过OTP方式登录Citrix ADC

1. 导航到您的第一个公开的URL，并从谷歌身份验证器输入您的OTP登录。

2. 认证到Citrix ADC启动页面。