EPA扫描作为nFactor认证中的一个因素
以下是nFactor EPA的一些基本实体。
EPA行动- EPA Action是nFactor EPA引入的Action类型。它包含以下内容:
- 客户端安全表达式——将此表达式发送到网关EPA插件进行评估。
- 成功组 - 如果EPA结果为True,则继承到网关会话中的该组。
- 隔离组——如果EPA结果为假,则此组(如果配置了)将继承到网关会话。
- killProcess—表示EPA进程必须终止的进程名。
- deleteFiles -指定EPA过程必须删除的文件的逗号分隔路径。
在会话的生命周期内可以使用组来确定客户是否满足某些EPA条件。如果在给定的因素下,EPA失败,并且最后一个操作不包含“隔离组”,则终止对该用户的身份验证。如果“隔离组”存在,则继续进行身份验证,管理员可以检查该组以提供有限的访问权限。有关详细信息,请参见环保署执行.
环境政策—在nFactor中,所有的策略都使用相同的语法“add authentication policy”添加。然而,行动的类型使该政策成为EPA政策。
EPA因子- EPA因素是一个常规的政策标签。没有一个实体叫做环境保护因子。一旦EPA政策与某个因素绑定,它就会继承某些属性,使之成为EPA因素。注:术语“EPA因素”在本文件中通常用于指与EPA政策有关的因素。
EPA -检疫- 如果在给定的因素处,所有操作的客户端安全性表达式都会失败,如果上次操作包含“隔离组”,则将该组添加到会话中,查看nettFactor。也就是说,尽管失败了,但“检疫基团”的存在将会议与下一阶段有资格。但是,由于特殊组的继承,管理员可以将会话递音到受限访问或额外的身份验证策略,如OTP或SAML。
如果在最后一个操作时没有隔离组,则身份验证将在失败中终止。
EPA在nFactor中也使用了以下实体:
- Loginschema.-登录表单的XML表示。它定义了登录表单的“视图”,还具有“因子”属性。
- 策略标签或策略因素—它是在身份验证的给定阶段尝试的策略的集合。
- 虚拟服务器标签—虚拟服务器也是一个策略标签,可以将策略绑定到虚拟服务器上。但是,虚拟服务器是各种策略标签的集合,因为它是用户访问的入口点。
- 下一个因素- 一旦给定的身份验证策略成功,它用于指定要拍摄的Policylabel /因子。
- NO_AUTHN政策—行动总是成功的特殊政策。
- 透传的因素—是登录模式不包含视图的策略标签/因素。它指示Citrix ADC设备在给定因素下继续进行身份验证,而不需要用户干预。
有关更多信息,请参阅nFactor概念、实体和术语.
EPA因子互斥性
EPA因子包含一个或多个EPA政策。一旦EPA策略绑定到一个因素,就在该因子上不允许定期认证政策。这种限制是提供最佳的用户体验和结束分析的分离。此规则的唯一例外是no_authn策略。由于No_Authn策略是用于模拟“失败跳转”的特殊策略,因此在EPA因子中允许它。
环保署执行
在任何给定因素(包括虚拟服务器因素)上,在为登录表单提供服务之前,Citrix ADC设备检查是否为EPA配置了该因素。如果是,它向客户端(UI)发送一个特定的响应,以触发EPA序列。这个序列包括请求客户机安全表达式并发送结果的客户机。一个因子中所有策略的客户端安全表达式将立即发送到客户端。在Citrix ADC设备上获得结果后,将按顺序计算所有操作中的每个表达式。导致EPA成功执行的第一个操作将终止该因素,如果配置了DefaultGroup,则将继承到会话中。如果遇到NO_AUTHN策略,它将被认定为自动成功。如果指定了nextFactor,设备将继续使用该因子。否则,验证终止。这个条件也适用于第一个因素。 If there is no authentication policy factor after EPA at the virtual server, authentication is terminated. This is different from classic policy behavior where the user is always shown the login page after EPA. However, in the event of no successful EPA policy, then Citrix Gateway looks at the Quarantine Group configured for the last EPA policy in that factor or cascade. If the last policy is configured with the Quarantine Group, that group is added to the session and the nextFactor is inspected. If a nextFactor exists, authentication proceeds to that factor. Otherwise, authentication is completed.
在nFactor认证中配置定期EPA扫描作为一个因子
您可以使用高级策略基础设施将定期EPA扫描配置为nFactor身份验证中的一个因素。注意:在经典策略中,Periodic EPA被配置为会话策略的一部分vpn会话行动.下面的逻辑用作实现EPA扫描作为nFactor身份验证中的因子的示例。
- 用户试图连接NetScaler网关虚拟IP。
- 使用用户名和密码字段的登录页面呈现给用户以提供登录凭据。使用这些凭据,LDAP或基于广告的身份验证在后端执行。如果成功,请使用弹出窗口授权EPA扫描。
- 一旦用户授权,就执行EPA扫描,并根据用户客户端设置的成功或失败提供访问。
- 如果扫描成功,则定期执行EPA扫描,以确定配置的安全要求仍然满足。
- 如果环保署的扫描在任何此类检查中失败,会议将被终止。
先决条件
假设有以下配置:
- VPN虚拟服务器、网关、认证虚拟服务器配置
- LDAP服务器配置及关联策略。
以下部分捕获所需的策略和策略标签配置以及策略和策略标签的映射到身份验证配置文件。
CLI的配置逻辑
创建执行EPA扫描的操作,并将其与EPA扫描策略关联。
add authentication epaAction EPA-client-scan -csecexpr "sys.client_expr(\"proc_2_firefox\")" add authentication Policy EPA-check -rule true -action EPA-client-scan如果进程'firefox'正在运行,则前面的表达式扫描。EPA插件检查每2分钟的进程存在,由扫描表达式中的数字'2'表示。
配置策略标签
post-ldap-epa -扫描`,托管EPA扫描策略。add authentication policylabel post-ldap-epa-scan -loginSchema LSCHEMA_INT注意:LSCHEMA_INT是一个内置的没有模式(noschema)的模式,这意味着在这个步骤中不会向用户显示额外的网页。
步骤1配置的策略与步骤2配置的策略标签关联。
bind authentication policylabel post-ldap-epa-scan -policyName EPA-check -priority 100 - gotopriityexpression END这就完成了身份验证机制。
配置
LDAP-AUTH政策,并将其与配置为使用特定LDAP服务器进行身份验证的LDAP策略关联。add authentication Policy ldap-auth -rule true -action ldap_server1在哪里
ldap_server1LDAP策略和ldap-auth是策略名称。把这些都放在一起,联系
LDAP-AUTH政策到Citrix ADC AAA虚拟服务器,其中包含下一步指向策略标签post-ldap-epa-scan进行环境保护局的扫描绑定身份验证vserver mfa_aa_vserver -policy ldap-auth-proirity 100 -nextfactor后LDAP-EPA-Scan-GoTogiorityExpression下一页<! - 需要 - >注意:在多因子配置的周期EPA中,考虑具有周期EPA配置的最新因子。
在前面的例子中,EPA是扫描查找“Firefox”过程的第一个因素。
- 如果EPA扫描成功,它会导致LDAP身份验证,然后是下一个EPA扫描,即寻找进程'Chrome'。
- 当多个周期性扫描配置为不同的因素时,最新扫描采用优先级。在这种情况下,在登录后每3分钟一次,EPA插件扫描为过程'Chrome'是成功的。