Configuración de la autenticación nFactor

Puede configurar varios factores de autenticación mediante la configuración de nFactor. La configuración de nFactor solo se admite en las ediciones Citrix ADC Advanced y Premium.

Métodos para configurar nFactor

Puede configurar la autenticación nFactor mediante uno de los métodos siguientes:

• nFactor Visualizer:el visualizador nFactor le permite vincular facilmente factores o etiquetas de directivas en un solo panel y también cambiar la vinculación de los factores en el mismo panel. Puede crear un flujo nFactor mediante el visualizador y vincular ese flujo a un servidor virtual de autenticación, autorización y auditoría. Para obtener más información sobre nFactor Visualizer y un ejemplo de configuración de nFactor mediante el visualizador, consultenFactor Visualizer para obtener una configuración simplificada.

• Citrix ADC GUI:Para obtener más información, consulte la secciónElementos de configuración involucrados en la configuración de nFactor.

• CLI de Citrix ADC:Para obtener un fragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC, consulteFragmento de ejemplo en la configuración de nFactor mediante la CLI de Citrix ADC.

Importante:Este tema contiene detalles sobre la configuración de nFactor mediante la GUI de Citrix ADC.

Elementos de configuración implicados en la configuración nFactor

Los siguientes elementos participan en la configuración de nFactor. Para ver los pasos detallados, consulte las secciones correspondientes de este tema.

Elemento de configuración	Tareas que deben realizarse
Servidor virtual AAA	Creación de un servidor virtual AAA
	Enlazar el tema del portal al servidor virtual AAA
	Activar autenticación de certificados de cliente
Esquema de inicio de sesión	Configuración de un perfil de esquema de inicio
	Crear y enlazar una directiva de esquema de inicio de sesión
Directivas de autenticación avanzada	Creación de directivas de autenticación avanzadas
	Vincular la directiva de autenticación avanzada de primer factor al servidor virtual AAA de Citrix ADC
	Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación
Etiqueta de directiva de autenticación	Crear etiqueta de directiva de autenticación
	Etiqueta de directiva de autenticación de enlace
nFactor para Citrix Gateway	Crear perfil de autenticación para vincular un servidor virtual Citrix ADC AAA con el servidor virtual Citrix Gateway
	Configuración de parámetros SSL y certificado de CA para Citrix Gateway
	Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Cómo funciona nFactor

Cuando un usuario se conecta al servidor virtual de autenticación, autorización y auditoría o Citrix Gateway, la secuencia de eventos que se producen es la siguiente:

1. Si se utiliza la autenticación basada en formularios, se muestra el esquema de inicio de sesión enlazado al servidor virtual de autenticación, autorización y auditoría.

2. Se evalúan las directivas de autenticación avanzada enlazadas al servidor virtual de autenticación, autorización y auditoría.
   • Si la directiva de autenticación avanzada tiene éxito y si se configura el siguiente factor (etiqueta de directiva de autenticación), se evalúa el siguiente factor. Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.
   • 如果se en la directiva de autentic联合国生产错误ación avanzada y si Goto Expression se establece en Siguiente, se evalúa la siguiente directiva de autenticación avanzada enlazada. Si ninguna de las directivas de autenticación avanzada tiene éxito, se produce un error en la autenticación.
3. Si la etiqueta de directiva de autenticación de siguiente factor tiene un esquema de inicio de sesión enlazado, se muestra al usuario.
4. Se evalúan las directivas de autenticación avanzadas enlazadas a la etiqueta de directiva de autenticación de siguiente factor.
   • Si la directiva de autenticación avanzada tiene éxito y si se configura el siguiente factor (etiqueta de directiva de autenticación), se evalúa el siguiente factor.
   • Si Next Factor no está configurado, la autenticación se ha completado y se ha realizado correctamente.

5. 如果se en la directiva de autentic联合国生产错误ación avanzada y si Goto Expression es Siguiente, se evalúa la siguiente directiva de autenticación avanzada vinculada.

6. Si las directivas tienen éxito, se produce un error en la autenticación.

Servidor virtual de autenticación, autorización y auditoría

Para usar nFactor con Citrix Gateway, primero debe configurarlo en un servidor virtual de autenticación, autorización y auditoría. A continuación, vincula el servidor virtual de autenticación, autorización y auditoría al servidor virtual de Citrix Gateway.

Crear servidor virtual de autenticación, autorización y auditoría

1. Si la función Autenticación, autorización y auditoría aún no está habilitada, vaya aSeguridad > AAA: tráfico de aplicacionesy haga clic con el botón derecho para habilitar la función.

   

2. Vaya aConfiguración > Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.

   

3. Haga clic enAgregarpara crear un servidor virtual de autenticación.

   

4. Introduzca la siguiente información y haga clic enAceptar.

   Nombre del parámetro	Descripción del parámetro
   Nombre	Nombre del servidor virtual de autenticación, autorización y auditoría.
   Tipo de dirección IP	Cambie el tipo de dirección IP aNo direccionablesi este servidor virtual se utiliza solo para Citrix Gateway.

   

5. En Certificado, seleccioneSin certificado de servidor.

   

6. Haga clic en el texto,haga clic para seleccionarpara seleccionar el certificado del servidor.

   

7. Haga clic en el botón de opción situado junto a un certificado para el servidor virtual de autenticación, autorización y auditoría y, a continuación, haga clic enSeleccionar. El certificado elegido no importa porque no se puede acceder directamente a este servidor.

   

8. Haga clic enBind.

   

9. Haga clic enContinuarpara cerrar la secciónCertificado.

   

10. Haga clic enContinuar.

    

Enlazar el tema del portal al servidor virtual de autenticación, autorización y auditoría

1. Vaya aCitrix Gateway > Temas del portaly agregue un tema. Cree el tema en Citrix Gateway y, a continuación, lo vincule al servidor virtual de autenticación, autorización y auditoría.

   

2. Crea un tema basado en el tema de plantilla RFWebUI.

   

3. Después de ajustar el tema según lo quiera, en la parte superior de la página de edición del tema del portal, haga clic enHacer clic para enlazar y ver el tema configurado.

   

4. Cambie la selección a Autenticación. En el menú desplegableNombre del servidor virtual de autenticación, seleccione el servidor virtual de autenticación, autorización y auditoría, y haga clic en Vinculary vista previay cierre la ventana de vista previa.

   

Habilitar la autenticación de certificados de cliente

Si uno de sus factores de autenticación es el certificado de cliente, debe realizar alguna configuración de SSL en el servidor virtual de autenticación, autorización y auditoría:

1. Vaya aAdministración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados raíz no tienen archivo de claves.

   

   

2. Vaya aAdministración del tráfico > SSL > Cambiar la configuración avanzada de SSL.

   

   1. Desplácese hacia abajo para comprobar siel perfil predeterminadoestáHABILITADO. En caso afirmativo, debe utilizar un perfil SSL para habilitar la autenticación de certificados de cliente. De lo contrario, puede habilitar la autenticación de certificados de cliente directamente en el servidor virtual de autenticación, autorización y auditoría en la sección Parámetros SSL.

3. Si los perfiles SSL predeterminados no están habilitados:

   1. Vaya aSeguridad > AAA - Aplicación > Servidores virtualesy modifique un servidor virtual de autenticación, autorización y auditoría existente.

   

   1. A la izquierda, en la secciónParámetros SSL, haga clic en el icono del lápiz.

   

   1. Marque la casilla junto aAutenticación de clientes

   2. Asegúrese de que está seleccionadoOpcionalen el menú desplegableCertificado de clientey haga clic enAceptar.

   

4. 如果洛杉矶perfiles SSL predeterminados范围habilitados, cree un perfil SSL con la autenticación de cliente habilitada:

   1. En el menú de la izquierda, expanda Sistema y haga clic en Perfiles.

   2. En la parte superior derecha, cambia a la ficha Perfil SSL.

   3. Haga clic con el botón derecho en el perfil ns_default_ssl_profile_frontend y haga clic en Agregar. Esto copia la configuración del perfil predeterminado.

   4. Asigna联合国al perfil数量。El proposito德埃斯特perfil es habilitar los certificados de cliente.

   5. Desplácese hacia abajo y busque la casilla Autenticación de clientes Marca la casilla.

   6. Cambie el menú desplegable Certificado de cliente a OPCIONAL.

   7. Al copiar el perfil SSL predeterminado, no se copian los cifrados SSL. Debe volver a hacerlas.

   8. Haga clic en Listo cuando haya terminado de crear el perfil SSL.

   9. Vaya aSeguridad > AAA — Tráfico de aplicaciones > Servidores virtualesy modifique un servidor virtual de autenticación, autorización y auditoría.

   10. Vaya hacia abajo hasta la sección Perfil SSL y haga clic en el lápiz.

   11. Cambie el menú desplegable Perfil SSL por el perfil que tiene habilitados los certificados de cliente. Haga clic en OK.

   12. Desplácese hacia abajo en este artículo hasta llegar a las instrucciones para vincular el certificado de CA.

5. A la izquierda, en la secciónCertificados, haga clic en donde diceSin certificado de CA.

   

6. Haga clic en el texto,haga clic para seleccionarlo.

   

7. Haga clic en el botón de opción situado junto al certificado raíz del emisor de los certificados de cliente y haga clic enSeleccionar.

   

8. Haga clic enBind.

   

Archivo XML de esquema de inicio de sesión

El esquema de inicio de sesión es un archivo XML que proporciona la estructura de las páginas de inicio de sesión de autenticación basadas en formularios.

nFactor implica múltiples factores de autenticación que están encadenados entre sí. Cada factor puede tener páginas o archivos de esquema de inicio de sesión diferentes. En algunos casos de autenticación, a los usuarios se les pueden presentar varias pantallas de inicio de sesión.

Configurar un perfil de esquema de inicio de sesión

Para configurar un perfil de esquema de inicio de sesión:

1. Cree o modifique un archivo.XML de esquema de inicio de sesión basado en el diseño de nFactor.

2. Vaya aSeguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

   

3. A la derecha, cambia a la fichaPerfilesy haga clic enAgregar.

   

4. En el campoEsquema de autenticación, haga clic en el icono del lápiz.

   

5. Haga clic en la carpeta LoginSchema para ver los archivos que contiene.

   

6. Seleccione uno de los archivos. Puede ver una vista previa a la derecha. Las etiquetas se pueden cambiar haciendo clic en el botónModificarde la parte superior derecha.

   

7. Al guardar los cambios, se crea un archivo en /nsconfig/LoginSchema.

   

8. En la parte superior derecha, haga clic enSeleccionar.

   

9. Asigne un nombre al esquema de inicio de sesión y haga clic enMás.

   

10. Use el nombre de usuario y la contraseña introducidos en el esquema de inicio de sesión para el inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront.

    Puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante cualquiera de los métodos siguientes.

    • Haga clic enMásen la parte inferior de la páginaCrear esquema de inicio de sesión de autenticacióny seleccioneActivar credenciales de inicio de sesión único.

    • Haga clic enMásen la parte inferior de la páginaCrear esquema de inicio de sesión de autenticacióne introduzca valores únicos para el índice de credenciales de usuario y el índice de credenciales de contraseña. Estos valores pueden estar entre 1 y 16. Más adelante, haga referencia a estos valores de índice en una directiva/perfil de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#).

    

11. Haga clic enAceptarpara crear el perfil de esquema de inicio de sesión.

    Nota:Si modifica el archivo de esquema de inicio de sesión (.xml) más adelante, para que los cambios se reflejen, debe modificar el perfil del esquema de inicio de sesión y volver a seleccionar el archivo de esquema de inicio de sesión (.xml).

Crear y enlazar una directiva de esquema de inicio de sesión

Para enlazar un perfil de esquema de inicio de sesión a un servidor virtual de autenticación, autorización y auditoría, primero debe crear una directiva de esquema de inicio de sesión. Las directivas de esquema de inicio de sesión no son necesarias al vincular el perfil del esquema de inicio de sesión a una etiqueta de directiva de autenticación, como se detalla más adelante.

Para crear y vincular una directiva de esquema de inicio de sesión:

1. Vaya aSeguridad > AAA: Tráfico de aplicaciones > Esquema de iniciode sesión.

   

2. En la fichaPolicies, haga clic enAdd.

   

3. Utilice el menú desplegablePerfilpara seleccionar el perfil de esquema de inicio de sesión que ya ha creado.

4. Introduzca una expresión de directiva avanzada en el cuadroReglay haga clic enCrear.

   

5. A la izquierda, vaya aSeguridad > AAA - Tráfico de aplicaciones > Servidores virtualesy modifique un servidor virtual de autenticación, autorización y auditoría existente.

   

6. En la columna Configuración avanzada, haga clic enEsquemas de iniciode sesión.

   

7. En la sección Esquemas de inicio de sesión, haga clic en el textoSin esquema de iniciode sesión.

   

8. Haga clic en el texto,haga clic para seleccionarlo.

   

9. Haga clic en el botón de opción situado junto a la directiva de esquema de inicio de sesión y haga clic enSeleccionar. En esta lista solo aparecen las directivas de esquema de inicio de sesión. Los perfiles de esquema de inicio de sesión (sin directiva) no aparecen.

   

10. Haga clic enBind.

Directivas de autenticación avanzada

拉斯维加斯directivas de autenticacion儿子una combinacion de expresión de directiva y acción de directiva. Si la expresión es verdadera, evalúe la acción de autenticación.

Creación de directivas de autenticación avanzadas

拉斯维加斯directivas de autenticacion儿子una combinacion de expresión de directivas y acción de directivas. Si la expresión es verdadera, evalúe la acción de autenticación.

Necesita acciones/servidores de autenticación (por ejemplo, LDAP, RADIUS, CERT, SAML, etc.) Al crear una directiva de autenticación avanzada, hay un icono más (Agregar) que le permite crear acciones/servidores de autenticación.

O bien, puede crear acciones de autenticación (servidores) antes de crear la directiva de autenticación avanzada. Los servidores de autenticación se encuentran enAutenticación > Panel de control. A la derecha, haga clic en Agregar y seleccione un tipo de servidor. Las instrucciones para crear estos servidores de autenticación no se detallan aquí. Consulte los procedimientos Autenticación: NetScaler 12/Citrix ADC 12.1.

Para crear una directiva de autenticación avanzada:

1. Vaya aSeguridad > AAA - Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Directiva

   

2. En el panel de detalles, realice una de las siguientes acciones:
   • Para crear una directiva, haga clic enAgregar.
   • Para modificar una directiva existente, selecciónela y, a continuación, haga clic enModificar.

3. En el cuadro de diálogoCrear directivadeautenticación o Configurar directivade autenticación, escriba o seleccione valores para los parámetros.

   

   • Nombre: nombrede la directiva. No se puede cambiar para una directiva configurada previamente.
   • Tipo de acción: Tipo de directiva: Cert, Negotiate, LDAP, RADIUS, SAML, SAMLIDP, TACACS o WEBAUTH.
   • Acción: acciónde autenticación (perfil) que se va a asociar a la directiva. Puede elegir una acción de autenticación existente o hacer clic en el signo más y crear una acción del tipo adecuado.
   • Acción de registro: acciónde auditoría que se va a asociar a la directiva. Puede elegir una acción de auditoría existente o hacer clic en el signo más y crear una acción. No tiene ninguna acción configurada o, para crear una acción, haga clic enAgregary complete los pasos.
   • Expresión: Regla que selecciona las conexiones a las que quiere aplicar la acción especificada. La regla puede ser simple (“true” selecciona todo el tráfico) o compleja. Las expresiones se introducen seleccionando primero el tipo de expresión en la lista desplegable situada más a la izquierda debajo de la ventana Expresión y, a continuación, escribiendo la expresión directamente en el área de texto de la expresión o haciendo clic en Agregar para abrir el cuadro de diálogo Agregar expresión y mediante las listas desplegables que contiene para crear el expresión.)
   • Comentario: Puede escribir un comentario que describa el tipo de tráfico al que se aplica esta directiva de autenticación. Opcional.
4. Haga clic enCreatey, luego, enClose. Si ha creado una directiva, esa directiva aparece en la página Directivas y servidores de autenticación.

Cree directivas de autenticación avanzadas adicionales según sea necesario en función de su diseño de nFactor.

Vincular la directiva de autenticación avanzada de primer factor a la autenticación, la autorización y la auditoría

Puede vincular directamente directivas de autenticación avanzadas para el primer factor: el servidor virtual de autenticación, autorización y auditoría. Para los siguientes factores, debe vincular las directivas de autenticación avanzada a las etiquetas de la directiva de autenticación.

1. Vaya aSeguridad > AAA - Tráfico de aplicaciones > Servidores virtuales. Modificar un servidor virtual existente.

1. A la izquierda, en la sección Directivas de autenticación avanzada, haga clic enSin directiva de autenticación.

   

2. EnSeleccionar directiva, haga clic en el texto,haga clic para seleccionar.

   

3. Haga clic en el botón de opción situado junto a laDirectiva de autenticación avanzaday, a continuación, haga clic enSeleccionar.

   

4. En la sección Detalles de enlace, laexpresión Gotodetermina qué sucede a continuación si se produce un error en esta directiva de autenticación avanzada.
   • SiGoto Expressionse establece enSIGUIENTE, se evalúa la siguiente directiva de autenticación avanzada enlazada a este servidor virtual de autenticación, autorización y auditoría.
   • SiGoto Expressionse establece enENDo si no hay directivas de autenticación más avanzadas enlazadas a este servidor virtual de autenticación, autorización y auditoría, la autenticación se completa y se marca como fallida.

   

5. EnSeleccionar factor siguiente, puede seleccionar puede apuntar a una etiqueta de directiva de autenticación. El siguiente factor se evalúa solo si la directiva de autenticación avanzada tiene éxito. Por último, haga clic enEnlazar.

   

Utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación

Puede utilizar grupos LDAP extraídos para seleccionar el siguiente factor de autenticación sin autenticación real con LDAP.

1. Al crear o modificar un servidor LDAP o una acción LDAP, desactive la casillaAutenticación.
2. EnOtros ajustes, seleccione los valores apropiados enAtributo de grupoyNombre de subatributo.

Autenticar la etiqueta de directiva

Cuando vincula una directiva de autenticación avanzada al servidor virtual de autenticación, autorización y auditoría y ha seleccionado un factor siguiente, el siguiente factor se evalúa solo si la directiva de autenticación avanzada. El siguiente factor que se evalúa es una etiqueta de directiva de autenticación.

La etiqueta de directiva de autenticación especifica un conjunto de directivas de autenticación para un factor concreto. Cada etiqueta de directiva corresponde a un único factor. También especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva de autenticación debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación.

Nota:没有身体各个前沿空中管制官tores necesitan un esquema de inicio de sesión. El perfil de esquema de inicio de sesión solo es necesario si vincula un esquema de inicio de sesión a una etiqueta de directiva de autenticación.

Crear una etiqueta de directiva de autenticación

Una etiqueta de directiva especifica las directivas de autenticación de un factor concreto. Cada etiqueta de directiva corresponde a un único factor. La etiqueta de directiva especifica el formulario de inicio de sesión que debe presentarse al usuario. La etiqueta de directiva debe estar vinculada como el siguiente factor de una directiva de autenticación o de otra etiqueta de directiva de autenticación. Normalmente, una etiqueta de directiva incluye directivas de autenticación para un mecanismo de autenticación específico. Sin embargo, también puede tener una etiqueta de directiva que tenga directivas de autenticación para distintos mecanismos de autenticación.

1. Vaya aSeguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva.

   

2. Haga clic en el botónAgregar.

   

3. Complete los campos siguientes para crear una etiqueta de directiva de autenticación:

   a) Introduzca elnombrede la nueva etiqueta de directiva de autenticación.

   b) Seleccione elesquema de iniciode sesión asociado a la etiqueta de directiva de autenticación. SI no quiere mostrar nada al usuario, puede seleccionar un perfil de esquema de inicio de sesión que esté configurado como ningún esquema (LSCHEMA_INT).

   c) Haga clic enContinuar.

   

4. En la secciónVinculación de directivas, haga clic en donde diceHaga clic para seleccionar.

5. Seleccione la directiva de autenticación que evalúa este factor.

   

6. Rellene los campos siguientes:

   a) Introduzca laprioridadde la vinculación de la directiva.

   b) EnGoto Expression, seleccioneSIGUIENTEsi quiere enlazar directivas de autenticación más avanzadas a este factor o seleccioneEND.

   

7. EnSeleccionar siguiente factor,如果您需要在最大化的因素,混合clic对位leccionar y enlazar la siguiente etiqueta de directiva de autenticación (factor siguiente). Si no selecciona el siguiente factor y esta directiva de autenticación avanzada tiene éxito, la autenticación se realiza correctamente y se ha completado.

8. Haga clic enBind.

9. Puede hacer clic enAgregar enlacepara agregar directivas de autenticación más avanzadas a esta etiqueta de directiva (factor). Haga clic enListoal finalizar.

   

Etiqueta de directiva de autenticación de enlace

Después de crear la etiqueta de directiva, la vincula a un enlace de directiva de autenticación avanzada existente para encadenar los factores.

Puede seleccionar el siguiente factor al modificar un servidor virtual de autenticación, autorización y auditoría existente que tenga un límite de directiva de autenticación avanzada o al modificar una etiqueta de directiva diferente para incluir el siguiente factor.

帕拉modificar联合国servidor虚拟de autenticación, autorización y auditoría existente que ya tiene una directiva de autenticación avanzada enlazada a él

1. Vaya aSeguridad > AAA — Tráfico de aplicaciones > Servidores virtuales.Seleccione el servidor virtual y haga clic enModificar.

   

2. A la izquierda, en la secciónDirectivas de autenticación avanzada, haga clic en un enlace de directiva de autenticación existente.

   

3. EnSeleccionar acción, haga clic enModificar enlace.

   

4. EnSeleccionar factor siguiente, haga clic en y seleccione una etiqueta de directiva de autenticación existente (factor siguiente).

   

5. Haga clic enBind. Puede ver el siguiente factor en el extremo derecho.

   

Para agregar un factor siguiente de etiqueta de directiva a otro rótulo de directiva

1. Vaya aSeguridad > AAA — Tráfico de aplicaciones > Directivas > Autenticación > Directivas avanzadas > Etiqueta de directiva. Seleccione una etiqueta de directiva diferente y haga clic enModificar.

   

2. EnSeleccionar acción, haga clic enModificar enlace.

   

3. EnDetalles de enlace > Seleccionar factor siguiente, haga clic para seleccionar el siguiente factor.

4. Elija la etiqueta de directiva para el siguiente factor y haga clic en el botónSeleccionar.

   

5. Haga clic enVincular. Puede ver el siguiente factor a la derecha.

   

nFactor para Citrix Gateway

Para habilitar nFactor en Citrix Gateway, se debe vincular un perfil de autenticación a un servidor virtual de autenticación, autorización y auditoría.

Crear un perfil de autenticación para vincular un servidor virtual de autenticación, autorización y auditoría con el servidor virtual Citrix Gateway

1. Vaya aCitrix Gateway > Servidores virtualesy seleccione un servidor virtual de puerta de enlace existente para modificarlo.

   

2. EnConfiguración avanzada, haga clic enPerfil de autenticación.

3. Haga clic enAgregarenPerfil de autenticación

   

4. Introduzca el nombre del perfil de autenticación y haga clic donde diceHaga clic para seleccionar.

   

5. EnServidor virtual de autenticación, seleccione un servidor existente que tenga configurado el esquema de inicio de sesión, la directiva de autenticación avanzada y las etiquetas de directiva de autenticación. También puede crear un servidor virtual de autenticación. El servidor virtual de autenticación, autorización y auditoría no necesita una dirección IP. Haga clic enSeleccionar.

   

6. Haga clic enCrear.

   

7. Haga clic enAceptarpara cerrar la sección Perfil de autenticación.

   

Nota:Si ha configurado uno de los factores como certificados de cliente, debe configurar los parámetros SSL y el certificado de CA.

Después de haber completado la vinculación del perfil de autenticación a un servidor virtual de autenticación, autorización y auditoría, y cuando navega a su Citrix Gateway, puede ver las pantallas de autenticación de nFactor.

Configurar los parámetros SSL y el certificado de CA

Si uno de los factores de autenticación es un certificado, debe realizar alguna configuración SSL en el servidor virtual de Citrix Gateway.

1. Vaya aAdministración del tráfico > SSL > Certificados > Certificados de CAe instale el certificado raíz del emisor de los certificados de cliente. Los certificados de la entidad emisora de certificados no necesitan archivos de claves.

   如果洛杉矶perfiles SSL predeterminados范围habilitados, significa que ya ha creado un perfil SSL que tiene habilitada la autenticación de clientes.

2. Vaya aCitrix Gateway > Servidores virtualesy modifique un servidor virtual Citrix Gateway existente habilitado para nFactor.

   • 如果洛杉矶perfiles SSL predeterminados范围habilitados, haga clic en el icono de edición.

   • En la lista Perfil SSL, seleccione el perfil SSL que tiene habilitada la autenticación de cliente y defina el valor OPCIONAL.

   • Si los perfiles SSL predeterminados no están habilitados, haga clic en el icono de edición.
   • Marque la casilla Autenticación de cliente.
   • Asegúrese de que el certificado de cliente esté configurado en Opcional

3. Haga clic en OK.

4. En la sección Certificados, haga clic enSin certificado de CA.

5. En Seleccionar certificado de CA, haga clic para seleccionar y seleccionar el certificado raíz del emisor de los certificados de cliente.

6. Haga clic en Bind.

Nota: Es posible que deba enlazar también cualquier certificado de CA intermedia que haya emitido los certificados de cliente.

Configurar directiva de tráfico de Citrix Gateway para el inicio de sesión único de nFactor en StoreFront

Para el inicio de sesión único en StoreFront, nFactor utiliza de forma predeterminada la última contraseña introducida. Si LDAP no es la última contraseña introducida, debe crear una directiva/perfil de tráfico para anular el comportamiento predeterminado de nFactor.

1. Vaya aCitrix Gateway > Directivas > Tráfico.

   

2. En la fichaPerfiles de tráfico, haga clic enAgregar.

   

3. Introduzca un nombre para el perfil de tráfico. Seleccione el protocoloHTTP. EnInicio de sesión único, seleccioneACTIVADO.

   

4. En la expresión deSSO, introduzca una expresiónAAA.USER.ATTRIBUTE (#) que coincida con los índices especificados en el esquema de inicio de sesión y haga clic enCrear.

   NotaLa expresión AAA.USER se ha implementado ahora para reemplazar las expresiones HTTP.REQ.USER obsoletas.

   

5. Haga clic en la fichaDirectivas de tráficoy haga clic enAgregar.

   Introduzca un nombre para la directiva. Seleccione el perfil de tráfico creado en el paso anterior. EnExpresión, introduzca una expresión avanzada, por ejemplo true. Haga clic enCrear.

   

6. Vaya aCitrix Gateway > Servidor virtual de Citrix Gateway.

   • Seleccione un servidor virtual existente y haga clic enModificar.
   • En la secciónDirectivas, haga clic en el signo+.
   • EnElegir directiva, seleccioneTráfico.
   • EnElegir tipo, seleccioneSolicitud.
   • Seleccione la directiva de tráfico que ha creado y, a continuación, haga clic enVincular.

   

Fragmento de ejemplo sobre la configuración de nFactor mediante la CLI de Citrix ADC

Para comprender las configuraciones paso a paso para la autenticación nFactor, consideremos una implementación de autenticación de dos factores en la que el primer factor es la autenticación LDAP y el segundo factor es la autenticación RADIUS.

Esta implementación de ejemplo requiere que el usuario inicie sesión en ambos factores mediante un único formulario de inicio de sesión. Por lo tanto, definimos un único formulario de inicio de sesión que acepta dos contraseñas. La primera contraseña se utiliza para la autenticación LDAP y la otra para la autenticación RADIUS. Estas son las configuraciones que se realizan:

1. Configurar el servidor virtual de equilibrio de carga para la autenticación

   add lb vserverlbvs89 HTTP 1.136.19.55 80 -AuthenticationHost auth56.aaatm.com -Autenticación ACTIVADA

2. Configure el servidor virtual de autenticación.

   agregar autenticación vserverauth56 SSL 10.106.30.223 443 -AuthenticationDomain aaatm.com

3. Configure el esquema de inicio de sesión para el formulario de inicio de sesión y enlácelo a una directiva de esquema de inicio de sesión.

   add authentication loginSchemalogin1 -authenticationSchema login-2passwd.xml -userCredentialIndex 1 -passwordCredentialIndex 2

   Nota:

   Use el nombre de usuario y una de las contraseñas introducidos en el esquema de inicio de sesión para el inicio de sesión único (SSO) en un servicio de back-end, por ejemplo, StoreFront. Puede hacer referencia a estos valores de índice en la acción de tráfico mediante la expresión AAA.USER.ATTRIBUTE (#). Los valores pueden estar entre 1 y 16.

   Como alternativa, puede utilizar las credenciales introducidas en el esquema de inicio de sesión como credenciales de inicio de sesión único mediante el siguiente comando.

   add authentication loginSchema login1 -authenticationSchema login-2passwd.xml -SSOCredentials YES add authentication loginSchemaPolicy login1 -rule true -action login1 

4. Configurar un esquema de inicio de sesión para la transferencia y vincularlo a una etiqueta de directiva

   add authentication loginSchema login2 -authenticationSchema noschema add authentication policylabel label1 -loginSchema login2 

5. Configure las directivas LDAP y RADIUS.

   add authentication ldapAction ldapAct1 -serverIP 10.17.103.28 -ldapBase "dc=aaatm, dc=com" -ldapBindDn administrator@aaatm.com -ldapBindDnPassword 81qw1b99ui971mn1289op1abc12542389b1f6c111n0d98e1d78ae90c8545901 -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName samAccountName -groupAttrName memberOf -subAttributeName CN add authentication Policy ldap -rule true -action ldapAct1 add authentication radiusAction radius -serverIP 10.101.14.3 -radKey n231d9a8cao8671or4a9ace940d8623babca0f092gfv4n5598ngc40b18876hj32 -encrypted -encryptmethod ENCMTHD_3 -radNASip ENABLED -radNASid NS28.50 -radAttributeType 11 -ipAttributeType 8 add authentication Policy radius -rule true -action radius 

6. Enlazar la directiva de esquema de inicio de sesión al servidor virtual de autenticación

   bind authentication vserver auth56 -policy login1 -priority 1 -gotoPriorityExpression END 

7. Enlazar la directiva LDAP (primer factor) al servidor virtual de autenticación.

   bind authentication vserver auth56 -policy ldap -priority 1 -nextFactor label1 -gotoPriorityExpression next 

8. Enlazar la directiva RADIUS (segundo factor) a la etiqueta de la directiva de autenticación.

   bind authentication policylabel label1 -policyName radius -priority 2 -gotoPriorityExpression end