OTP本地认证

Citrix ADC保护过去的行动à使用唯一(OTP)无回避à利用服务器层。Le mot de passe à usage unique est une une option hautement sécurisée pour l’authentication auprès de servers sécurisés, car Le numéro ou Le code d 'accès généré est aléatoire。Auparavant, des enterprisesspécialisées, telles que RSA avec des服装spécifiques générant des nombres aléatoires，提案les OTP。

En plus de réduire les dépenses d ' investment et d 'exploitation, cette fonctionnalité améliore le contrôle de l ' administreur En conservant l 'intégralité de la configuration sur l 'appliance Citrix ADC。

标记:

Étant donné que les servers tier ne sont + nécessaires, l ' administrator Citrix ADC doit configururer une interface pour gérer et valider les machines utilisateur。

L 'utilisateur doit être题字auprès d 'un server virtuel Citrix ADC pour utiliser la solution OTP。'注册' n 'est requis qu 'une seule fois par dress, unique et peut être limité à某些环境。La configuration et La validation d 'un utilisateur enregistré sont similaires à La configuration d 'une stratégie d ' authentication supplémentaire。

这是本地的优势

• Réduit les coûts d’exploitation en éliminant la nécessité de disposer d’une infrastructure supplémentaire sur un server d’authentication en plus d’active Directory。
• 巩固配置独特的基于l 'appliance Citrix ADC，提供优秀的contrôle辅助管理员。
• Élimine la dépendance du client à l ' égard d ' UN server d ' authentication supplémentaire pour générer UN nombre attendu par les clients。

工作流OTP natif

La solution OTP native est un process à deux volets et le flux de travail est classé comme suit:

• Enregistrement de l 'appareil
• 最后的使用连接

重要的是:

您可以忽略处理过程，使用各种解决方案，产品，产品gérez您的服装和设备。La chaîne结尾que vous ajoutez doit être au格式spécifié par Citrix ADC。

服装注册表表新注册表périphérique à收件人OTP。

标记:

服装登记公司être effectué使用不确定的因素。Le facteur unique (tel que spécifié dans la figure précédente) est utilisé à titre d ' sample pour expliquer Le processus d 'enregistrement des服装。

La figure suivante插图La vérification de l 'OTP via l 'appareil enregistré。

这是一幅关于服装的图画。

La figure suivante插图le flux de l 'utilisateur最后倒La fonctionnalité OTP本地。

其实条件

Pour utiliser la fonctionnalité OTP native，有条件请告知préalables suivantes sont回复。

• La版本de La fonctionnalité Citrix ADC est 12.0 build 51.24 et ultérieur。
• La许可证高级版installée在Citrix网关。
• Citrix ADC est configuré快捷地址IP de gestest和控制台de gestest可访问à la fois à导航助手和指挥总管。
• Citrix ADC est configuré avec l '认证，l 'autorisation et l 'audit du server virtuel pour authenticentifier les utiisateurs。Pour + d ' information, voirServeur virtuel d 'authentification
• L 'appliance Citrix ADC est configurée avec统一网关et le profile d ' authentication, d 'autorisation et d 'audit est attribué au服务器虚拟网关。
• La solution OTP native est limitée au flux d ' authentication nFactor。Des stratégies avancées sont nécessaires倒配置la解决方案。Pour plus de détails, voirOTP natif

Vérifiez également ce qui suit pour Active Directory:

• La longueur minimale des attribute est de 256 caractères。
• Le类型d ' attribute doit être«DirectoryString»tel que UserParameters。ce的属性为chaîne。
• Le type de chaîne d 'attribut doit être Unicode, si Le nom de l ' dress est en caractères非英语。
• L ' administrator LDAP Citrix ADC doit disposer d 'un accès en écriture à L 'attribut AD sélectionné。
• L 'appliance Citrix ADC et la machine client doivent être synchronisées avec un server de temps réseau commen。

配置du协议OTP natif à l 'aide de l '接口图形

L '注册OTP本地认证认证à唯一的因素。Les sections suivantes vous aient à配置l ' authentication à un facteur et à un deuxième facteur。

Créer un schéma de connexion pour le premier facteur

1. Accedez一Sécurité AAA >流量应用> Schéma de connection．
2. Accedez一的资料et双击苏尔Ajouter．
3. 苏尔拉页Créer un schéma de connexion d ' authentication, saisissezlschema_single_auth_manage_otp在冠军笔名et双击苏尔修饰符在把德noschema．
4. Cliquez sur le卷宗LoginSchema．
5. Faites défiler l ' écran vers le bas pour sélectionnerSingleAuth.xml， puis cliquez sur选择．
6. 双击苏尔克里尔．
7. 双击苏尔策略,然后在Ajouter．

8. 在l 'ecranCréer une stratégie de schéma de connexion d ' authentication开胃菜(entrez les valeurs suivantes)。

   笔名:lpol_single_auth_manage_otp_by_url

   的资料:Sélectionnez lschema_single_auth_manage_otp dans la list。

   Regle:value(«nsc_tass»)manageotp«)

服务器配置虚拟认证，自动授权和审计

1. Accedez一Sécurité > AAA - traffic des applications > servers virtuels d’authentication．Cliquez pour modifier le server virtuel exist。Pour + d ' information, voirServeur virtuel d 'authentification

2. 双击苏尔l 'icone+在把德模式德联系苏产品的皇冠Dans le volet droit。
3. SelectionnezAucun schéma de connexion．
4. Cliquez sur la flèche和sélectionnez la stratégielpol_single_auth_manage_otp_by_url,双击选择,然后在肝．
5. Faites défiler la page vers le haut et sélectionnez1个策略d 'authentification苏那个d 'authentification avancee．
6. 我有自己的权利策略nFactoret selectionnez修饰符拉联络．Cliquez avec le bouton droit sur la stratégie nFactor déjà configurée ou reportez-vous àNFactorpour en créer une et sélectionner修饰语la liaison。
7. Cliquez sur la flèche située sousSélectionner le facteur suivant倒sélectionner une configuration existante ou cliquez surAjouter倒créer UN facteur。

8. 在l 'ecranCréer une stratégie d’authentication，请让我们一起来继续：

   笔名: manage_otp_flow_label

   模式德联系: Lschema_Int

9. 苏尔l 'ecranÉtiquette de stratégie d’authentication,双击Ajouter倒créer une stratégie。

   为普通LDAP服务器创建策略。

10. 在l 'ecranCréer une stratégie d’authentication， entrez les éléments suivants:

    笔名: auth_pol_ldap_native_otp

11. Sélectionnez le type d 'action commeLDAPà l 'aide de la listed型'action．

12. 在冠军行动,双击Ajouter倒créer une行动。

    创建第一个启用了用于单因素的身份验证的LDAP操作。

13. 在页面Créer un server LDAP d’authentication， sélectionnez勒波顿电台IP du serveur， désélectionnez la case à cocher en regard de认证，开胃菜(entrez les valeurs suivantes)， puis sélectionnez测试人员拉连接．语音配置举例。

    笔名: ldap_native_otp

    IP地址: 192.8.xx.xx

    DN de基地: DC =形成,DC =实验室

    Administrateur: Administrator@training.lab

    非常贴切的de过时了：xxxxx

    创建OTP策略。

14. 在l 'ecranCréer une stratégie d’authentication， entrez les éléments suivants:

    笔名: auth_pol_ldap_otp_action

15. Sélectionnez le type d 'action commeLDAPà l 'aide de la listed型'action．

16. 在冠军行动,双击Ajouter倒créer une行动。

    创建第二个LDAP操作来设置OTP验证器，OTP秘密配置和身份验证未选中。

17. 在页面Créer un server LDAP d’authentication， sélectionnez勒波顿电台IP du serveur， désélectionnez la case à cocher en regard de认证，开胃菜(entrez les valeurs suivantes)， puis sélectionnez测试人员拉连接．语音配置举例。

    笔名: ldap_otp_action

    IP地址: 192.8.xx.xx

    DN de基地: DC =形成,DC =实验室

    Administrateur: Administrator@training.lab

    非常贴切的de过时了：xxxxx

18. Faites défiler l ' écran jusqu ' à la节其他产品的．使用菜单déroulant pour sélectionner les options suivantes。我的名字是侍从的名字就像新et saisissezuserprincipalname．
19. 利用isez le菜单déroulant倒sélectionner名字SSO的属性就像新et saisissezuserprincipalname．
20. Saisissez«UserParameters»dans le champ秘密OTPet双击苏尔+．

21. Saisissez les归因于求偶者。

    Attribut 1=邮件Attribut 2= ObjectGuidAttribut 3= ImmutableID

22. 双击苏尔好吧．
23. 苏尔拉页Créer une stratégie d’authentication， définissez l 'expression sur真正的et双击苏尔克里尔．
24. 苏尔拉页Créer une étiquette de stratégie d’authentication,双击联络,然后在Termine。
25. 苏尔拉页联络的那个,双击联络．

26. 在页面那个d 'authentification,双击关闭et双击苏尔Termine．

    创建OTP用于OTP验证。

27. 在l 'ecranCréer une stratégie d’authentication， entrez les éléments suivants:

    笔名: auth_pol_ldap_otp_verify

28. Sélectionnez le type d 'action commeLDAPà l 'aide de la listed型'action．

29. 在冠军行动,双击Ajouter倒créer une行动。

    创建第三个LDAP操作来验证OTP。

30. 在页面Créer un server LDAP d’authentication， sélectionnez勒波顿电台IP du serveur， désélectionnez la case à cocher en regard de认证，开胃菜(entrez les valeurs suivantes)， puis sélectionnez测试人员拉连接．语音配置举例。

    笔名: ldap_verify_otp

    IP地址: 192.168.xx.xx

    DN de基地: DC =形成,DC =实验室

    Administrateur: Administrator@training.lab

    非常贴切的de过时了：xxxxx

31. Faites défiler l ' écran jusqu ' à la节其他产品的．使用菜单déroulant pour sélectionner les options suivantes。我的名字是侍从的名字就像新et saisissezuserprincipalname．
32. 利用isez le菜单déroulant倒sélectionner名字SSO的属性就像新et saisissezuserprincipalname．
33. Saisissez«UserParameters»dans le champ秘密OTPet双击苏尔+．

34. Saisissez les归因于求偶者。

    Attribut 1=邮件Attribut 2= ObjectGuidAttribut 3= ImmutableID

35. 双击苏尔好吧．
36. 苏尔拉页Créer une stratégie d’authentication， définissez l 'expression sur真正的et双击苏尔克里尔．
37. 苏尔拉页Créer une étiquette de stratégie d’authentication,双击联络,然后在Termine。
38. 苏尔拉页联络的那个,双击联络．
39. 在页面那个d 'authentification,双击关闭et双击苏尔Termine．

Vous n 'avez problement pas encore de stratégie d ' authentication avancée pour votre server LDAP正常。更改LDAP的行为类型。Sélectionnez投票服务器LDAP正常，按认证级别查询activée。Saisissez真实的comme表情。Cette选项使用la stratégie avancée au代替la syntax classique。双击苏尔克里尔．

标记:

Le server virtuel d ' authentication doit être lié au thème du portail rfweb。Liez un certificate de serve au serve。L ' address IP du server ' 1.2.3.5 ' doit avoir un nom de domaine完全对应，otpauth.server.com, pour une use ultérieure。

Créer un schéma de connexion pour le deuxième facteur OTP

1. Accedez一Sécurité > traffic des applications AAA > servers virtuels．Sélectionnez le server virtuel à modifier。
2. Faites défiler l ' écran vers le bas et sélectionnez1 schéma de connecion．
3. 双击苏尔Ajouter一个联络人．
4. 在节联络的那个,双击Ajouter在stratégie上倒一杯酒。
5. 苏尔拉页Créer une stratégie de schéma de connexion d ' authentication，请进我的房间，请进我的房间Ajouter倒créer联合国简介。
6. 苏尔拉页Créer un schéma de connexion d ' authentication，恳求Nom en tant qu 'OTP, puis cliquez sur l 'icône en forme de crayon en regard denoschema．
7. Cliquez sur le卷宗Loginschema, selectionnezDualAuthManageOTP.xml， puis cliquez sur选择．
8. 双击苏尔+Et faites défiler vers le bas。
9. 在冠军信息索引，身份识别索引De passe, entrez。Cela oblige nFactor à enregistrer le mot de passe de l 'utilisateur dans Citrix ADC AAA属性#1,qui peut être utilisé ultérieurement dans une stratégie de traffic pour l ' authentication unique à StoreFront。Citrix Gateway密码密码认证者auprès de StoreFront，这是我的职责。
10. 双击苏尔克里尔．
11. 在节Regle, saisissez真的．双击苏尔克里尔．
12. 双击苏尔绑定．
13. 注意认证的双重因素。双击苏尔关闭,然后在Termine．

Stratégie de traffic pour l ' authentication unique

1. Accedez一Citrix Gateway > Stratégies >流量．
2. 在l 'onglet《profil de交通,双击Ajouter．
3. 请告诉我交通概况。

4. Faites défiler vers le bas, dans la zone(巴黎克里尔．这是最重要的有用之处，在过去的方式schéma de连接spécifié倒le deuxième因素OTP。

   http.REQ.USER.ATTRIBUTE (1)

5. 在l 'onglet德交通策略,双击Ajouter．

6. 在冠军笔名， entrez UN nom pour la stratégie de traffic。

7. 在冠军要求者联合国的资料， sélectionnez le profile de traffic que vous avez créé。

8. Dans la zone表情，saisissez真正的．Si votre服务器virtuel Citrix网关自动VPN完整，修改l 'expression comme suit。

   http.req.method.eq (post) | | http.req.method.eq(得到)& &假

9. 双击苏尔克里尔．

配置la stratégie de换向de内容倒gérer OTP

统一网关有多种配置要求。

1. Accedez一Gestion du traffic > Changement de contenu > Stratégies．Sélectionnez la stratégie竞争变化的产物，有一种保护环境的权利sélectionnez修饰符．

2. Modifiez我的表情倒évaluer我的指示或suivante, puis cliquez sur好吧：

   is_vpn_url \ | \ | HTTP.REQ.URL.CONTAINS(“manageotp”)

配置du协议OTP natif à l 'aide de la CLI

Vous devez处理信息suivantes倾倒配置者la page设计服装OTP:

• IP attribuée au server virtuel d’authentication
• FQDN对应à l ' address IP attribuée
• 服务器证书服务器虚拟认证

标记:

本机OTP est une解决方案Web独特性。

倒配置页，注册页和服装

Créer un server virtuel d ' authentication

' ' ' add authentication vserver authvs SSL 1.2.3.5 443 bind authentication vserver authvs -portaltheme RFWebUI bind SSL vserver authvs -certkeyname otpauthcert “”

标记:

Le server virtuel d ' authentication doit être lié au thème du portail rfweb。Liez un certificate de serve au serve。L ' address IP du server ' 1.2.3.5 ' doit avoir un nom de domaine完全对应，otpauth.server.com, pour une use ultérieure。

倒créer une action d 'ouverture de session LDAP

add authentication ldapAction  - serverip  - serverPort  - ldapbase  - ldapbinddn  - ldapbinddnpassword  - lddaploginname  .使用实例

为例：

add authentication ldapAction ldap_logon_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapbindinname userprincipalname . sh -ldapBindDn administrator@ctxnsdev.com

Pour ajouter une stratégie d ' authentication Pour l 'ouverture de session LDAP

添加认证策略auth_pol_ldap_logon -rule true -action ldap_logon_action

通过LoginsChema倒présenter l 'interface utilisateur

总干事，总干事，总干事，总干事，总干事，总干事，总干事，总干事，总干事，总干事

add authentication loginSchema lschema_single_auth_manage_otp -authenticationSchema "/nsconfig/ loginSchema / loginSchema / singleauthmanage_otp .xml"

登记和处理网页périphériques

思杰推荐双人façons d ' afficher l ' écran d ' enregistrement et de gestdes服装:URL ou nom d 'hôte。

• 利用de l 'URL

  Lorsque l 'URL continent«/manageotp»

  • 添加认证loginSchemaPolicy lpol_single_auth_manage_otp_by_url -rule "http.req.cookie.value("NSC_TASS").contains("manageotp")"动作片lschema_single_auth_manage_otp
  • 绑定认证vserver authvs -policy lpol_single_auth_manage_otp_by_url -priority 10 -gotoPriorityExpression END

• 使用le nom d 'hôte

  Lorsque le nom d 'hôte est«alt.server.com»

  • 添加认证loginSchemaPolicy lpol_single_auth_manage_otp_by_host -rule "http.req.header("host").eq("alt.server.com")"动作片lschema_single_auth_manage_otp
  • 绑定认证vserver authvs -policy lpol_single_auth_manage_otp_by_host -priority 20 -gotoPriorityExpression END

倾配置la page de connection utilisateur à l 'aide de l 'interface de ligne de command

处理信息的人，信息的人，配置的人，信息的人，信息的人

• IP pour unserver virtuel d ' équilibrage de charge
• 域名名称完全对应pour le server virtuel d ' équilibrage de charge

• 证书de serur pour le serur virtuel d ' équilibrage de charge

  绑定SSL虚拟服务器lbvs_https -certkeyname lbvs_server_cert 

Le service backend dans l ' équilibrage de charge est représenté comme suit:

add service iis_backendsso_server_com 1.2.3.210 HTTP 80 bind lb vserver lbvs_https iis_backendsso_server_com “”

Pour créer une action de validation du code secret OTP

add authentication ldapAction  -serverIP  -serverPort  -ldapBase  -ldapBindDn  -ldapBindDnPassword  - ldapboginname  -authentication DISABLED -OTPSecret  '

为例:

add authentication ldapAction ldap_otp_action -serverIP 1.2.3.4 -serverPort 636 -ldapBase "OU=Users,DC=server,DC=com" -ldapBindDn administrator@ctxnsdev.com -ldapBindDnPassword PASSWORD - ldapbindinname userprincipalname -authentication DISABLED -OTPSecret userParameters . txt -ldapBindDn administrator@ctxnsdev.com

重要的是:

La différence会议LDAP等行动OTP réside dans La nécessité de désactiver认证等介绍un nouveau paramètreOTPSecret．有价值的人，有价值的人。

倒ajouter une stratégie d ' authentication倒la validation du code d 'accès OTP

添加认证策略auth_pol_otp_validation -rule true -action ldap_otp_action

通过LoginSchema输入présenter l ' authentication à deux facteurs

Ajoutez l 'interface utilisateur pour l ' authentication à双重因素。

add authentication loginSchema lscheme_dual_factor -authenticationSchema "/nsconfig/ loginSchema / loginSchema /DualAuth.xml" add authentication loginSchemaPolicy lpol_dual_factor -rule true -action lscheme_dual_factor .xml

将créer unfacteur de validation de code secret通过l ' étiquette de stratégie

Créer une étiquette de stratégie de flux OTP de gestion pour le facteur suivant (LDAP的首要因素)

add authentication loginSchema lschema_noschema -authenticationSchema noschema add authentication policylabel manage_otp_flow_label -loginSchema lschema_noschema

倒lier la stratégie OTP à l ' étiquette de stratégie

绑定认证策略标签manage_otp_flow_label -policyName auth_pol_otp_validation -priority 10 -gotoPriorityExpression NEXT

界面利用者的流量

会话会话LDAP验证OTP服务器虚拟认证。

bind authentication vserver authvs -policy auth_pol_ldap_logon -priority 10 -nextFactor manage_otp_flow_label -gotoPriorityExpression NEXT绑定authentication vserver authvs -policy lpol_dual_factor -priority 30 -gotoPriorityExpression END

Citrix服装协会

1. Accédez完整的Citrix ADC (première address IP publique)， avec un后缀/manageotp。比如,https://otpauth.server.com/manageotp把信息和利用者的身份联系起来。

2. 双击苏尔l 'icone+倒一件联合国的衣服。

   

3. 请让我穿上我的衣服去．代码为apparaît à l ' écran。
4. 双击苏尔开始拉配置,然后在扫描仪le code-barres．

5. 密码二维码avec la caméra de l 'appareil。Vous pouvez éventuellement saisir le code。

   

   标记：

   请输入二维码affiché，有效期3分钟。

6. Une fois la numérisation réussie, un code temporel à 6 chiffres vous est présenté， qui peut être utilisé pour vous connector。

   

7. 倒入测试仪，cliquez surTerminesur l ' écran QR, puis cliquez sur la coche verte à droite。
8. Sélectionnez服装菜单déroulant认证码(il doit être bleu et non rouge)好吧．
9. 请放心déconnecter à l 'aide du menu déroulant situé dans le coin supérieur页面所有权。

Connectez-vous à Citrix ADC à l 'aide de l 'OTP

1. Accédez à votre première URL publicque et saisisz votre OTP à partir de谷歌验证者提供我们的会话。

2. 通过démarrage Citrix ADC页面进行认证。