概念実証ガイド:電子メールOTPを使用したCitrix网关認証用のnFactor

はじめに

多要素認証の実装は,アイデンティティを検証し,セキュリティポスチャを改善する最良の方法の1つです。電子メールOTPは,すぐに利用可能な電子メールシステムを使用して別の要因を実装するための便利な方法です。これにより,ユーザーは任意のデバイス上の電子メールクライアントから,認証検証コードをゲートウェイ認証フォームへ受信,コピー,貼り付けできます。

Citrix网关は電子メールOTP認証をサポートし,Webサービス,VPN, Citrix虚拟应用程序和桌面などのさまざまなサービスの認証を提供します。このPOCガイドでは,Citrix虚拟应用程序和桌面環境での認証のためにそれを使用することをデモンストレーションします。

概要

このガイドでは,Citrix网关で2要素認証を使用して概念実証環境を実装する方法について説明します。このガイドでは、LDAPを使用してActive Directory資格情報を最初の要素として検証し,電子メールOTPを2番目の要素として使用します。Citrix虚拟应用程序和桌面公開仮想デスクトップを使用して,接続性を検証します。

次のコンポーネントのインストールと構成が完了したことを前提としています。

• Citrix网关をインストールし,ライセンス取得し,ワイルドカード証明書にバインドされた外部からアクセス可能な仮想サーバーを使用して構成する
• 認証にLDAPを使用するCitrix网关とCitrix虚拟应用程序和桌面環境を統合する
• 電子メールを送信するためのユーザー名とパスワードでログインできるSMTPサーバーアクセス
• Citrix工作区アプリがインストールされたエンドポイント
• Active Directory(广告)が環境で使用可能

最新の製品バージョンとライセンス要件については,Citrixドキュメントを参照してください。電子メールOTP認証

Citrix网关

まず,ゲートウェイでCLIにログインし,LDAPとEメールの認証アクションと関連ポリシーをそれぞれ入力します。次に,GUIにログインして,ビジュアライザーツールでnFactorフローを構築し,多要素認証の設定を完了します。

認証ポリシー

LDAPアクションと,それを参照するポリシー(最初の認証要素)を作成します。次に,(電子メール] アクションと、それを参照するポリシー (2 番目の認証要素) を作成します。

まず,Citrix ADCのNSIPアドレスをSSHセッションを開いてCLIに接続し,nsroot管理者としてログインします。

LDAPアクション

次のフィールドに入力してLDAPアクションを作成し,完成した文字列をCLIに貼り付けます。

• ldapAction——アクション名を入力します。authAct_LDAP_eotpを入力します
• serverIP——ドメインサーバーのFQDNまたはIPアドレスを入力します。環境内のドメインサーバのプライベートIPアドレス192.0.2.50を入力します。
• serverPortldapポートを入力します。セキュアなLDAPポート636を入力する
• ldapBase——関連するユーザーがディレクトリに格納されているドメインオブジェクトとコンテナの文字列を入力します。"OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net"を入力します
• ldapBindDn——ドメインユーザーのクエリに使用するサービスアカウントを入力します。workspacessrv@workspaces.wwco.netを入力します
• ldapBindDnPassword——サービスアカウントのパスワードを入力します。パスワードはデフォルトでCitrix ADCによって暗号化されます
• ldapLoginName——ユーザーオブジェクトタイプを入力します。userPrincipalNameを入力します
• groupAttrName——グループ属性名を入力します。memberOfを入力します
• subAttributeName——サブ属性名を入力します。cnを入力します
• secType——セキュリティの種類を入力します。SSLを入力します
• ssoNameAttribute——シングルサインオン名の属性を入力します。userPrincipalNameを入力します
• defaultAuthenticationGroup——デフォルトの認証グループを入力します。Email-OTPを入力します
• alternateEmailAttr——電子メールアドレスを取得できるユーザードメインオブジェクト属性を入力します。otherMailboxを入力します

環境用の完全な文字列を作成したら,それをコピーしてCLIに貼り付けます。add authentication ldapAction authAct_LDAP_eotp -serverIP 192.0.2.50 -serverPort 636 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword your_service_account_password - ldapploginname userPrincipalName -groupAttrName memberOf .-subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

Active Directoryユーザーオブジェクト属性を設定するために使用できるさまざまなツールが存在します。POCでは”サーバーマネージャ”>“ツール”からADSI編集を使用して,user1の電子メールアドレスを手動で“OtherMailbox”属性に追加します。

LDAPポリシー

次のフィールドに入力してLDAPアクションを作成し,完成した文字列をCLIに貼り付けます。

• 政策——ポリシー名を入力します。authPol_LDAP_eotpを入力します
• 行动——上記で作成したメールアクションの名前を入力します。authAct_LDAP_eotpを入力します

環境用の完全な文字列を作成したら,それをコピーしてCLIに貼り付けます。add认证策略authPol_LDAP_eotp -rule true -action authAct_LDAP_eotp詳細については,LDAP認証ポリシーを参照してください。

メールアクション

次のフィールドに入力して[電子メール]アクションを作成し,完成した文字列をCLIに貼り付けます。

• emailAction——アクション名を入力します。authAct_Email_eotpを入力します
• 用户名——メールサーバーにログインするユーザーまたはサービスアカウントを入力します。workspacessrv@workspaces.wwco.netを入力します
• 密码——サービスアカウントのパスワードを入力して,メールサーバーにログインします。パスワードはデフォルトでCitrix ADCによって暗号化されます
• serverURL——メールサーバーのFQDNまたはIPアドレスを入力します。“smtp: / / 192.0.2.40:587”を入力します
• 内容——フィールドの隣にユーザーメッセージを入力して,電子メールコードを入力します。“你的OTP是$code”を入力します
• 时间——電子メールコードが有効である秒数を入力します。60を入力します
• emailAddress——ユーザーの電子メールアドレスを照会するLDAPオブジェクトを入力します。“aaa.user.attribute(\“alternate_mail \”)”を入力します

環境用の完全な文字列を作成したら,それをコピーしてCLIに貼り付けます。add authentication emailAction authAct_Email_eotp -userName workspacessrv@workspaces.wwco.net -password your_service_account_password -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

メールポリシー

次のフィールドに入力してEメールポリシーを作成し,完成した文字列をCLIに貼り付けます。

• 政策——ポリシー名を入力します。authPol_Email_eotpを入力します
• 行动——上記で作成したメールアクションの名前を入力します。authAct_Email_eotpを入力します

環境用の完全な文字列を作成したら,それをコピーしてCLIに貼り付けます。add认证策略authPol_Email_eotp -rule true -action authAct_Email_eotp詳細については,電子メール認証ポリシーを参照してください。

nFactor

1. Citrix ADC UIにログインする
2. ［トラフィック管理]> [SSL] >[証明書]>[すべての証明書]の順に選択し,ドメイン証明書がインストールされていることを確認します。このPOCの例では,Active Directoryドメインに対応するワイルドカード証明書を使用しました。詳しくは。”Citrix ADC SSL証明書“を参照してください。
3. 次に移動します。安全> AAA -应用流量> nFactor Visualizer > nFactor flow
4. (追加]を選択し[係数]ボックスでプラス記号を選択します
5. nFactor_EmailOTPを入力して[作成]を選択します。
6. [スキーマの追加]を選択し,[ポリシーの選択]の横にある[追加]をもう一度選択します
7. 入力lschema_SingleAuth
8. “認証スキーマ“で鉛筆アイコンを選択してスキーマ選択を編集します
9. [スキーマファイル]で[LoginSchema]を選択し,[LoginSchema]に移動し,SingleAuth.xmlを選択します
10. 青い選択ボタンを選択し,[作成],[好]の順に選択します。
11. 同じボックスで[ポリシーの追加]を選択します。
12. 作成したLDAPポリシーを選択します。authPol_LDAP_eotpを使用します。
13. (追加]を選択します
14. authPol_LDAP_eotpポリシーの横にある緑のプラス記号を選択して,ファクタを作成します
15. factor_Emailこのファクタを入力すると,電子メールコードを使用して第2要素認証が実行されます
16. (作成]を選択します
17. 同じボックスで[ポリシーの追加]を選択します。
18. 作成したメールポリシーを選択します。authPol_Email_eotpを使用します。
19. でGoto表达式结束を選択します
20. (追加]を選択します
21. これでnFactorフローの設定が完了し,[完了]をクリックできます。

Citrix ADC認証,承認,監査(Citrix ADC AAA)仮想サーバー

1. 次に,(セキュリティ]> [AAA -アプリケーショントラフィック]>[仮想サーバ]に移動して,追加]を選択します
2. 次のフィールドを入力し,“OK”をクリックします。
   • 名前:一意の値。EMAILOTP_AuthVserver“私たちはを入力します
   • IPアドレスの種類-非可寻址
3. [サーバー証明書なし]を選択し,ドメイン証明書を選択し,[選択],[バインド],[続行]の順にクリックします。
4. nファクターフローなしを選択します
5. [nFactorフローを選択]で右矢印をクリックし,前に作成したnFactor_EmailOTPフローを選択します。
6. [選択]、[バインド]をクリックします。
7. [続行]をクリックし,[完了]をクリックします

Citrix网关——仮想サーバー

1. 次に,[Citrix网关]>[仮想サーバー]に移動します
2. Citrix虚拟应用程序和桌面環境へのプロキシアクセスを提供する既存の仮想サーバーを選択します
3. [編集]を選択します。
4. 現在LDAPポリシーがバインドされている場合は,基本認証——プライマリ認証の下に移動して,LDAPポリシーを選択します。次に,ポリシーをチェックし,[取消]を選択し,[はい]を選択して確定し,[关闭]
5. 右側の[詳細設定]メニューで,[認証プロファイル]を選択します
6. (追加]を選択します
7. 名前を入力してください。を入力しますEmailOTP_auth_profile
8. [認証仮想サーバー]で右矢印をクリックし,作成したCitrix ADC AAA仮想サーバーを選択しますEmailOTP_Auth_Vserver
9. [選択]、[作成]の順にクリックします。
10. [好]をクリックし,基本認証ポリシーが削除されている間,仮想サーバの認証プロファイルが選択されていることを確認します。
11. (完了]をクリックします

ユーザーエンドポイント

今,私たちは,私たちのCitrix虚拟应用程序和桌面環境に認証することにより,電子メールOTPをテストします。

1. ブラウザを開き,Citrix网关で管理されるドメインFQDNに移動します。https://gateway.workspaces.wwco.netを使用します。
2. ブラウザがログイン画面にリダイレクトされたら,userPrincipalNameとパスワードを入力します。
3. ユーザーの電子メールクライアントを開き,OTPコードをコピーします。
4. ユーザー名が入力されているブラウザに戻り,コードを貼り付けて“OK”をクリックします。
5. ユーザーの仮想アプリとデスクトップが列挙されていることを確認し,ログインしたら起動する。

トラブルシューティング

SMTPサーバー

クライアント電子メールをOTPコードで送信するには,Citrix网关がユーザー名とパスワードを使用してメールサーバーに対して認証できる必要があります。Citrix网关が電子メールを送信できない場合,ユーザーがユーザー名とパスワードを送信した後に最初の要素の完了がタイムアウトします。

• 交换サーバーがNTLM専用に構成されている場合,デフォルトでは,Citrix网关は認証できません。Citrix网关は、ユーザー名とパスワードを使用してログインし、OTPコードを含む電子メールを作成および送信できる必要があります。確認するには、Citrix GatewayにSSH接続するか、コンソールにアクセスします。
  • メールサーバのTCPポート25に壳牌とtelnetを入力します。例：telnet ipoct1.ipoct2.ipoct3。ipoct4 25
  • 次に,ehlo入力します。結果は身份验证登录またはAUTH NTLM登录が表示されます。登录が表示されない場合,詳細については(SMTPサーバでログインベースの認証を有効にします。]を参照してください。(/ ja-jp / citrix-adc /当前版本/ aaa-tm / sspr-support.html # configure-user-logon-page)
• Gmailなどのパブリックメールサーバーを使用することもできます。电子邮件OTPポリシーを設定する場合は,メールサーバフィールドにsmtp: / / smtp.gmail.com: 587を入力します。587年ただし,TCPポートで発信smtpを許可するようにファイアウォールを構成する必要があります。

結果

Citrix工作区とCitrix网关を使用すると,企業ではユーザーエクスペリエンスを複雑にすることなく,多要素認証を実装することで,セキュリティ体制を向上させることができます。ユーザーは,標準のドメインユーザーとパスワードを入力し,電子メールクライアントに送信された邮件OTPでIDを確認するだけ,ですべてのワークスペースリソースにアクセスできます。

参照ドキュメント

詳細については,その他のnFactor認証オプションを参照してください。

EメールOTP12.1 -メールOTPはCitrix ADCビルド51. xで導入されました