概念验证指南:Citrix Gateway avec Email OTP认证NFactor

介绍

我们的œuvre认证多因素是我们的vérifier l 'identité和'améliorer姿态sécurité。e - mail OTP est un moyen pratique 'implémenter un autre factor en utilisant le système de messagerie facility accessible。可以使用收货工具，复印机和收货员可以使用验证和认证的代码，可以使用行人验证的公式，à可以使用进口服装的客户。

Citrix Gateway prepreen charge l ' authentication Email OTP等多种服务的一种认证，包括Web、VPN和Citrix虚拟应用程序和桌面。在Citrix虚拟应用程序和台式机环境下使用验证。

摘要

该指南明确评论implémenter un environment Proof of Concept à l 'aide de l ' certification à双重因素和Citrix Gateway。本指南使用LDAP作为有效的信息识别活动目录的首要因素和使用电子邮件的deuxième因素。我使用联合国虚拟的Citrix虚拟应用程序和台式机publié pour valider la connectivité。

Il émet des hypothèses sur l 'installation and la configuration terminées des composants suivants:

• Citrix Gateway installé， sous licence et configuration avec un server virtuel accessible en externe lié à un certificat générique
• Citrix Gateway intégré à un environment Citrix Virtual Apps and Desktops qui使用LDAP进行身份验证
• Accès au serveur SMTP avec possibilité de se connecter avec le d’useateur and le mot de de past pour les e’original
• 点确定和应用Citrix工作区installée
• 活动目录(AD)在环境中是不可处理的

报告-您à la documentation Citrix pour connaître la dernière version du product and les conditions requires en matière de licence:验证OTP par e-mail

Citrix网关

所有的东西，所有的东西都是关于连接à的命令的界面，然后进入认证的动作，然后是关于LDAP和电子邮件的stratégies associées。因此，我们的连接结点à我们的界面图形将我们的流量因子构建在可视化的环境中，并结束多重因素的配置和认证。

策略d 'authentification

我们知道créons行动LDAP和stratégie我们知道référence，这是认证的首要因素。因此，nous créons l 'action E-mail, et la stratégie qui le fait référence, qui est le deuxième fact d ' authentication。

连接-你在外面à一个在一个会话中命令的接口SSH一个地址NSIP du Citrix ADC和连接-你在一个管理员的根。

行动LDAP

在命令的界面上，我们可以选择créer的行动，我们可以选择chaîne complétée

• ldapAction-叫我行动的名义。常识entronsauthAct_LDAP_eotp
• serverIP- entz le nom de domaine complete表示该域名的地址。常识entrons192.0.2.50地址为:IP privée，位于诺特尔环境中的庄园服务器
• serverPort- entrez le port LDAP。常识entrons636pour le port LDAP sécurisé
• ldapBase- entrez la chaîne d 'objets de domaine and de contenters où les utilisateurs relevant sont stockés dans votre répertoire。常识entrons"OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net"
• ldapBindDn- saiissez le compte de service utilisé pour interroger les useisateurs du domaine。常识entronsworkspacessrv@workspaces.wwco.net
• ldapBindDnPassword-说什么是服务的未来。接下来的代码是chiffré par Citrix ADC par défaut
• ldapLoginName-什么是使用对象的类型。常识entronsuserPrincipalName
• groupAttrName-说的是群体的属性。常识entronsmemberOf
• subAttributeName- saisissez le nom du ous- attribute。常识entronscn
• secType- entz le type de sécurité。常识entronsSSL
• ssoNameAttribute- saisissez l ' attribubut de nom d ' authentication unique。常识entronsuserPrincipalName
• defaultAuthenticationGroup-认证组名称为défaut。常识entronsEmail-OTP
• alternateEmailAttr- saisissez l 'attribut d 'objet de domaine utilisateur où leur address E-mail peut être récupérée。常识entronsotherMailbox

你们可以为我们的环境构建chaîne complète，在命令的界面上互相帮助:add authentication ldapAction authAct_LDAP_eotp -serverIP 192.0.2.50 -serverPort 636 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword your_service_account_password - ldapploginname userPrincipalName -groupAttrName memberOf .-subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

存在一个variété d’outils qui peuvent être utilisés pour renseigner les attributs d’objet utilisateur Active Directory。Pour le POC, nous utilisons ADSI edit， à partir de ' Gestionnaire de serveur > Tools '， Pour ajouter manuelement une address e-mail Pour utilisateur1 à son attribute ' OtherMailbox '。

策略LDAP

在命令的界面上，我们可以选择créer的行动，我们可以选择chaîne complétée

• 政策- saisissez le nom de la stratégie。常识entronsauthPol_LDAP_eotp
• 行动- entz le nom de 'action E-mail que nous avons créée cis -dessus。常识entronsauthAct_LDAP_eotp

如果你想要构建一个chaîne complète的环境，在界面上互相帮助:add认证策略authPol_LDAP_eotp -rule true -action authAct_LDAP_eotp再加一些信息，陪审员d 'authentification LDAP策略

行动标准的电子邮件

在命令的界面上，我们将向créer l 'action E-mail et coller la chaîne complétée:

• emailAction-叫我行动的名义。常识entronsauthAct_Email_eotp
• 用户名- entz l’utilisateur，你的服务，就是你的信息服务。常识entronsworkspacessrv@workspaces.wwco.net
• 密码-我给您提供的服务是为您提供信息服务的。所有数据为chiffré par Citrix ADC par défaut
• serverURL- entz le nom de domaine complete ou ' address IP of the server of messagerie。常识entrons“smtp: / / 192.0.2.40:587”
• 内容- saisissez le message utilisateur à côté du champ pour enter le code e-mail。常识entrons“你的OTP是$code”
• 时间-表示第二个数字的垂接代码是有效的E-mail。常识entrons60
• emailAddress- saisissez l 'objet LDAP à rechercher l ' address e-mail de l ' useisateur。常识entrons“aaa.user.attribute(\“alternate_mail \”)”

你们可以为我们的环境构建chaîne complète，在命令的界面上互相帮助:add authentication emailAction authAct_Email_eotp -userName workspacessrv@workspaces.wwco.net -password your_service_account_password -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

那个messagerie

Remplissez les champs suivants pour créer la stratégie E-mail et collez la chaîne complétée in l 'interface de ligne de commande:

• 政策- saisissez le nom de la stratégie。常识entronsauthPol_Email_eotp
• 行动- entz le nom de 'action E-mail que nous avons créée cis -dessus。常识entronsauthAct_Email_eotp

如果你想要构建一个chaîne complète的环境，在界面上互相帮助:add认证策略authPol_Email_eotp -rule true -action authAct_Email_eotp再加一些信息，陪审员Stratégies d ' authentication de messagerie

nFactor

1. Connectez-vous à l 'interface utilisateur Citrix ADC
2. Accedez一流量Gestion > SSL> Certificats > Tous les Certificats请提交vérifier您的域名证书为installé。在cet示例POC, nous avons utilisé un certificat générique correspondent à notre domaine Active Directory。ConsultezCertificats SSL Citrix ADC提供更多的样品信息。
3. 沿著accedez一安全> AAA -应用流量> nFactor Visualizer > nFactor flow
4. Sélectionnez Ajouter和sélectionnez符号加上区域因子
5. SaisisseznFactor_EmailOTPet selectionnez克里尔
6. Sélectionnez Ajouter un schéma et sélectionnez Ajouter à nouveau en regard de Sélectionner une stratégie
7. 可以lschema_SingleAuth
8. Sous Schéma d’authenticate, sélectionnez l 'icône de crayon pour modifier la sélection de schéma
9. Sous Fichiers de schéma, sélectionnez Loginschema, accédez à Loginschema, puis sélectionnezSingleAuth.xml
10. Sélectionnez le bouton bleu de sélection, suivi de Créer, suivi de OK
11. Dans la même zone, sélectionnez Ajouter une stratégie
12. Sélectionnez la stratégie我们的名字是créée。常识比如我们authPol_LDAP_eotp
13. Selectionnez Ajouter
14. Sélectionnez符号加上垂直authPol_LDAP_eotpStratégie pour créer UN factor
15. 进入factor_Email该因素使用代码的电子邮件效应器对该因素的认证
16. Selectionnez克里尔
17. Dans la même zone, sélectionnez Ajouter une stratégie
18. Sélectionnez la stratégie de messagerie que nous avons créée。常识比如我们authPol_Email_eotp
19. Sous Goto Expression, sélectionnez结束
20. Selectionnez Ajouter
21. 保持，我们可以在terminé流量配置和系数，我们可以在Terminé

Citrix ADC (Citrix ADC AAA)

1. Accedez一个套间Sécurité > AAA -应用程序流量>虚拟服务器et selectionnez Ajouter
2. 我们的冠军和最后的胜利
   • 唯一的化名值。常识entrons Emailotp_AuthvServer”
   • 输入d ' address IP -非可寻址
3. Sélectionnez Aucun certificat de serveur, sélectionnez le certificat de domaine, cliquez sur Sélectionner, Lier et Continuer。
4. Sélectionner Aucun flux nFactor
5. Sous Sélectionner nFactor Flow, cliquez sur flèche droite, sélectionnez lenFactor_EmailOTP通量克里族precedemment
6. Cliquez sur Sélectionner, suivi de Lier
7. Cliquez sur Continuer, suivi de Terminé

Citrix网关-服务器虚拟

1. Accedez一个套间Citrix Gateway >服务器虚拟机
2. Sélectionnez votre server virtuel existant qui fournit un accès proxy à votre environment Citrix Virtual Apps and Desktops
3. 选择修改器
4. 如果您使用了stratégie LDAP liée，则导航您的sous base认证-主认证，sélectionnez Stratégie LDAP。Vérifiez ensuite la stratégie, sélectionnez Délier，请确认
5. 在菜单Paramètres avancés à droite, sélectionnez profile d ' authentication
6. Selectionnez Ajouter
7. 请说，请讲EmailOTP_auth_profile
8. Sous认证服务器virtuel, cliquez sur la flèche droite et sélectionnez le serveur virtuel Citrix ADC AAA que nous avons crééEmailOTP_Auth_Vserver
9. Cliquez sur Sélectionner, puis sur Créer
10. Cliquez，好的，vérifiez服务器的身份验证是，sélectionné，那么，stratégie，身份验证的基础是，été supprimée。
11. 双击苏尔Termine

点确定使用

维护，nous测试电子邮件OTP nous认证环境Citrix虚拟应用程序和台式机。

1. 我们的网址是accédez au nom de domaine complete géré par Citrix Gateway。常识比如我们https://gateway.workspaces.wwco.net
2. 请注意您的导航员redirigé vers un écran de connection，请使用导航员UserPrincipalName等名称
3. 我们应该让客户使用信息，并复制代码OTP
4. Retournez à votre navigator où le nom d 'utilisateur est renseigné， collez le code, puis cliquez sur OK。
5. Vérifiez所有的应用程序和工作岗位都是énumérées，所有的应用程序都是connecté

解决问题

Serveur SMTP

Citrix网关可以提供验证器auprès d 'un serveur de messagerie à l 'aide d 'un nom d 'utilisateur和e-mail客户端初始代码OTP。如果Citrix不能成为电子邮件的使者，则'achèvement是主要因素étedra是我使用的对象envoyé儿子的名字和过去的儿子。

• 如果您的服务器使用NTLM交换configuré， par défaut, Citrix网关不支持认证。Citrix网关为您提供一个连接，一个使用名和一个作曲家和特使的过去的电子邮件和代码OTP。Pour vérifier, SSH vers Citrix Gateway ou accéder à la console。
  • Entrez勒壳牌等telnet端口TCP 25在服务器的消息。比如telnet ipoct1.ipoct2.ipoct3。ipoct4 25
  • 套房,可以ehlo．Le résultat doit montrer身份验证登录欧AUTH NTLM登录．如果她不知道的话登录再加一些信息，陪审员激活的身份验证basée在连接服务器SMTP。
• 您可以向我们提供également的信息服务。Lors de la configuration de la stratégie Email OTP, entrezsmtp: / / smtp.gmail.com: 587让我们为您服务。请注意，您可以在TCP 587端口上配置SMTPS分类器。

的简历

Avec Citrix Workspace et Citrix Gateway, les enterprises peuvent améliorer leur position de sécurité en implémentant l ' authentication multifactor sans rendre l 'expérience utilisateur complex。Les utilisateurs peuvent accéder à toutes leurs resources Workspaces en saisissant leur utilisateur et mot de passe de domaine standard and en confirmed simplement leur identité avec Email OTP envoyé à leur client de messagerie。

引用

额外的信息，报告您的其他选项的认证n因素:

Courriel OTP- Email OTP est introduction avec Citrix ADC 12.1 build 51.x