概念実証ガereplicationド:ネereplicationティブOTP認証を使用したCitrix GatewayのnFactor . xml

はじめに

多要素認証の実装は,アイデンティティを検証し,セキュリティポスチャを改善する最良の方法の1つです。ネイティブ(時間ベース)ワンタイムパスワード(OTP)はすぐに使用できるオーセンティケータアプリケーションを使用して別の要素を実装するのに便利な方法です。これにより,ユーザは認証アプリケーションからゲートウェイフォームに検証コードを入力して認証できます。

Citrix网关はネイティブOTPをサポートしており,Webサービス,VPN, Citrix虚拟应用程序和桌面などのさまざまなサービスの認証を提供できます。このPOCガイドでは,Citrix虚拟应用程序和桌面環境での認証のためにそれを使用することをデモンストレーションします。

概念アキテクチャ

概要

このガイドでは,Citrix网关で2要素認証を使用して概念実証環境を実装する方法について説明します。最初の要素としてLDAPを使用してActive Directory資格情報を検証し,第2の要因としてネイティブOTPを使用します。

これは，ンストルが完了し，次のコンポ。

• Citrix网关は,ワイルドカード証明書にバインドされた外部から到達可能な仮想サーバーを使用してインストール,ライセンス供与,構成
• 認証にLDAPを使用するCitrix网关とCitrix虚拟应用程序和桌面環境を統合する
• Citrix Workspaceアプリがereplicationンストereplicationルされたエンドポereplicationント
• 時間ベースのOTPをサポートするサポートされている認証アプリがインストールされています(微软认证器,谷歌身份验证,Citrix SSOを含む)
• AD (Active Directory)が環境で使用可能

最新の製品バ，Citrixドキュメントを参照してください。ネ邮箱ティブotp認証

nFactor

LdapポリシLdap

まず,nFactorフローを構築するときに後で参照する2つのLDAPポリシーを作成します。

ネ邮箱ティブotp登録

このLDAP登録ポリシーは,時刻ベースのOTPコードを生成するために使用されるキーを交換および格納するために使用されます。

1. Citrix ADC UIにログンする
2. ［セキュリティ]> [AAAアプリケーショントラフィック]>[ポリシー]>[認証]>[詳細ポリシー]>に移動します
3. ダウンロドが完了した後，添加
4. ポリシ名としてpolldap_notpmanageを入力し，[动作类型]をLDAPに変更します。
5. [アクション]の下の添加をクリックします
6. 次のフィルドに入力します。
   • 名前-actldap_notpmanageを入力
   • サバ名/ ipアドレス-adサのfqdnまたはipアドレスを選択します。192.0.2.50を入力します
   • 身份验证クリアこの設定と以下のOTPシークレットは,ポリシーが得到ではなくオブジェクト属性を設定することを示します。
   • ベスdn-adユコンテナへのパスを入力します。DC =工作区,DC = wwco, DC =净を入力します
   • 管理者バインドDN -管理者/サービスアカウントを入力して,ユーザーを認証するために广告を照会します。workspacessrv@workspaces.wwco.netを入力します
   • 確認/管理者パスワド-管理者/サビスアカウントのパスワドを入力/確認する
   • [ネットワク接続のテスト]をクリックして，接続を確認します
   • サバログオン名属性-このフィルドの下の2番目のフィルドにuserPrincipalNameを入力
   • OTP秘密——userParameters入力これは,時間ベースのOTPコードを生成するためにハッシュで使用されるキーで更新されるユーザーのLDAPオブジェクトです
7. [作成]を選択します
8. 真正的式を入力し，好吧をクリックします

ネ邮箱ティブotp認証

このldap認証ポリシは，第1要素認証を行うために使用されます。

1. 安全> aaa -应用流量>策略>认证>高级策略>策略にアクセスします。
2. ダウンロドが完了した後，添加
3. ポリシ名としてpolldap_notpauthを入力し，[动作类型]をLDAPに変更します。
4. [アクション]の下の添加をクリックします
5. 次のフィルドに入力します。
   • 名前-actldap_notpauthを入力
   • サバ名/ ipアドレス-adサのfqdnまたはipアドレスを選択します。192.0.2.50を入力します
   • ベスdn-adユコンテナへのパスを入力します。DC =工作区,DC = wwco, DC =净を入力します
   • 管理者バインドDN -管理者/サービスアカウントを入力して,ユーザーを認証するために广告を照会します。workspacessrv@workspaces.wwco.netを入力します
   • 確認/管理者パスワド-管理者/サビスアカウントのパスワドを入力/確認する
   • [ネットワク接続のテスト]をクリックして，接続を確認します
   • サバログオン名属性-このフィルドの下の2番目のフィルドにuserPrincipalNameを入力
6. [作成]を選択します
7. 真正的式を入力し，好吧をクリックします

詳細にいては，Ldap認証ポリシLdapを参照してください。

ログ邮箱ンスキ邮箱マ

ログマは，ポリシ。

ネiad . xmlティブOTP lSchema -単一認証. xml

この登録ログeconf econfンスキマは，ldap econf登録ポリシ。

1. 安全> aaa -应用流量>登录模式にアクセスします。
2. 配置文件タブを選択します
3. [プロフィル]の下で添加をクリックし，名前を付けます。prolschema_notpsingle
4. noschemaの横にある鉛筆ア邮箱コンをクリックします
5. 登录模式をクリックし，下にスクロルしてSingleAuthManageOTP.xmlを選択し，右隅の青い选择を選択します。
6. ダウンロドが完了した後，创建

ネiad . xmlティブOTP lSchema -デュアル認証. xml

この登録ログインスキーマは,ユーザーがパスワードとOTPパスコードの両方を入力する二重要素認証に対応しています。

1. 配置文件タブの下でもう一度添加をクリックします
2. 名前の入力pollschema_notpdual
3. [プロフィル]の下で添加クリックし，名前を付けます。prolschema_notpdual
4. noschemaの横にある鉛筆ア邮箱コンをクリックします
5. 登录模式をクリックし，下にスクロルしてDualAuth.xmlを選択し，右隅の青い选择を選択します。
6. ダウンロドが完了した後，更多的
7. 密码凭据指数フィルドに1を入力します
8. ダウンロドが完了した後，创建

ネ邮箱ティブotpAAA仮想サバ-ビジュアラ

1. 次に移動します。安全> AAA -应用流量> nFactor Visualizer > nFactor流
2. ダウンロドが完了した後，添加
3. +記号をクリックして，初期因子を作成します。この要素はアクションを実行せず,着信トラフィックを登録または認証ファクタフローに転送する処理を行います。
4. factor0-notpと入力し，创建をクリックします

登録フロ

1. 選択添加政策
2. 选择政策の横にある添加を選択します
3. 名前の入力polfactor0-notpmanage
4. 动作类型をNO_AUTHNに設定します。
5. 式にHTTP.REQ.COOKIE.VALUE (“NSC_TASS”) .EQ (“manageotp”)を貼り付ける，または表情生成器で構築する。オプションとして,送信元IPアドレス条件を追加することで,内部ネットワーク上のエンドポイントへの登録を制限できますhttp.req.cookie.value(“NSC_TASS”).eq (manageotp) & & client.IP.SRC.IN_SUBNET (10.0.0.0/8)。
6. 创建、添加をクリックします
7. 作成したpolfactor0-notpmanageポリシの右側にある緑+を選択します。
8. factor1-notpmanageと入力し，创建をクリックします
9. [新しい係数]ボックスで，添加模式を選択します
10. prolschema_notpsingleを選択し，好吧をクリックします
11. 選択添加政策
12. 选择政策のドロップダウンリストから，polldap_notpauthを選択し添加をクリックします
13. polldap_notpauthポリシの右側にある緑+を選択します
14. factor2-notpmanageと入力し，创建をクリックします
15. [新しい係数]ボックスで，添加政策を選択します
16. 选择政策のドロップダウンリストからpolldap_notpmanageを選択し，添加をクリックします

認証フロ

1. 作成した初期係数ボックスfactor0-notpで，青の+を選択します
2. 选择政策の横にある添加を選択します
3. 名前の入力polfactor0-notpauth
4. 动作类型をno_authnに設定します
5. 式で真正的を入力します
6. 创建をクリックしてから，添加ポリシの優先順位が110に増加したことに注意してください。つまり,上記のポリシーpolfactor0-notpmanageが100で一致しない場合にのみ実行されます。
7. 作成したpolfactor0-notpauthポリシの右側にある緑+を選択します。
8. factor1-notpauthと入力し，创建をクリックします
9. [新しい係数]ボックスで，添加模式を選択します
10. prolschema_notpdualを選択し，好吧をクリックします
11. 選択添加政策
12. 选择政策のドロップダウンリストから，polldap_notpauthを選択し添加をクリックします
13. 選択完成

ネ邮箱ティブotpAAA仮想サ仮想サバ

このAAA仮想サバは，ポリシンドされる場所です。

1. ［トラフィック管理]> [ssl] >[証明書]>[すべての証明書]@の順に選択し，ドメe @ン証明書がe @ンストe @ルされていることを確認します。このPOC の例では、Active Directory ドメインに対応するワイルドカード証明書を使用しました。 詳細については、Citrix ADC SSL証明書を参照してください。
2. 次に安全> AAA -应用流量>虚拟服务器に移動し，[追加]を選択します
3. 次のフィルドに入力します。
   • 名前:一意の値。nativeotp_authvserverを入力します
   • IPアドレスの種類-非可寻址
4. ダウンロドが完了した後，好吧
5. [サバ証明書なし]を選択し，选择服务器证书の下の矢印を選択し,ドメイン証明書を選択して[選択],[バインド],[続行]の順にクリックします。
6. 高级认证政策で没有Nfactor流を選択します
7. 选择nFactor流で右矢印を選択し，factor0_notpを選択し，选择をクリックし，绑定をクリックします
8. 继续、完成をクリックします

交通政策

ここで、LDAPパスワードを店面にリレーするトラフィックポリシーを作成します,代わりに,OTPパスコード。

1. Citrix Gateway >仮想サバ>ポリシ>トラフィックに移動します
2. 交通概况タブを選択し，[追加]をクリックします。
3. 名前の入力notp_trafficprofile
4. 選択HTTP
5. 登录パスワド式にhttp.REQ.USER.ATTRIBUTE (1)を入力します
6. [作成]をクリックします
7. 次に，[トラフィックポリシ]タブをクリックします。
8. [请求配置文件]フィルドで，作成したnotp_trafficprofileトラフィックプロファ邮箱ルを選択します。
9. 名前の入力nOTP_TrafficPolicy
10. [エクスプレス]ボックスに真正的を入力します
11. ダウンロドが完了した後，创建

ゲトウェ

ゲトウェAAA仮想サーバーにバインドされ,Citrix虚拟应用程序和桌面の認証が提供されます。

1. Citrix Gateway >虚拟服务器にアクセスします。
2. 現在のゲトウェを選択し，编辑をクリックします
3. 右側の[詳細設定]パネルから[認証プロファ]を選択します
4. 選択添加
5. プロファ邮箱ル名を入力します。nativeotp_authprofileを入力します
6. [ポリシ]で矢印を選択し，[ネAAA仮想サバ]を選択しますnativeotp_authvserver
7. ダウンロドが完了した後，创建
8. 右側の[詳細設定]パネルから[ポリシ]を選択します
9. +記号を選択して追加します
10. 选择政策で交通を選択し，选择类型で请求を選択します。继续を選択します
11. 右矢印をクリックしnotp_trafficpolicy、好吧を選択します
12. 完成をクリックして，実行構成を保存します。

ユザエンドポント

今,私たちは,私たちのCitrix虚拟应用程序和桌面環境に認証することにより,ネイティブOTPをテストします。

Citrix SSOアプリでの登録

まず，Citrix SSOアプリを使用してデバereplicationスをネereplicationティブOTPに登録します。

1. ブラウザを開き，Citrix Gatewayで管理されるドメeconf eンFQDNにFQDNの最後に/ manageotpが付加されたドメ邮箱ンに移動します。https://gateway.workspaces.wwco.net/manageotpを使用します。
2. ブラウザがログ。
3. 次の画面で[デバ]を選択し，名前を入力します。iPhone7_nOTPを使用します。
4. “進む”を選択すると，二维码コドが表示されます。
5. モバイルデバイスで,Citrix SSOアプリ,または微软や谷歌などの他の認証アプリを開きます(アプリストアからダウンロード可能)
6. [新しいトクンの追加]を選択します
7. 二维码ココドをスキャンを選択します
8. カメラをqrコドに向ける]を選択し，キャプチャしたら[追加]を選択します。
9. トクンを保存するには，[保存]を選択します
10. トクンがアクティブになり，30秒間隔でotpコドの表示が開始されます。
11. [完了]を選択すると，デバ电子书スが正常に追加されたことが確認されます。

Citrix虚拟应用程序和桌面の認証，公開，起動

次に,ユーザーはCitrix SSOアプリからUserPrincipalName,パスワード,OTPパスコードを入力して,仮想アプリおよびデスクトップにアクセスします。

1. ブラウザを開き，Citrix Gatewayで管理されるドメeconf eンFQDNに移動します。https://gateway.workspaces.wwco.netを使用します。
2. ブラウザがログイン画面にリダイレクトされたら,userPrincipalNameとパスワードを入力します。
3. Citrix SSOアプリを開き，iPhone7_nOTPデバ。
4. ユザの仮想アプリとデスクトップが列挙されていることを確認し，ログンしたら起動する。

トラブルシュティング

ここでは，Native OTPの一般的なトラブルシュティング領域をいくか見ていきます。

ntpエラ

OTPコードでログインすると,国家结核控制规划同期の確認を知らせるメッセージがページに投稿されることがあります。正しい時刻ベスのOTPを生成するには，Citrix ADCの時刻を同期する必要があります。NTPを実装していない場合は，次の手順を実行します。

• Citrix ADCで時刻を手動で設定するを現在の時刻に設定します。これにより，同期が高速になり，それ以外の場合はより長い時間がかかります
• ntpサバの追加
• Otpコドの送信時にNTPエラが発生する場合は，NetScaler時刻表示がNTPを使用して同期されないを参照してください。

認証エラ

• 无法完成您的请求。——認証が成功した後にこのエラーメッセージが表示される場合は,ユーザーの資格情報を店面に渡すエラーを示している可能性があります。二重認証スキマとトラフィックポリシの設定を確認します。
• 重试或联系您的帮助台—このエラメッセジは，多くの場合，ldapログ。パスワドが正しいことを確認した場合は，管理者バドが設定されていることを確認します。既存のLDAP認証ポリシーがあり,管理ポリシーを選択し,【添加】を選択して作成した可能性があります。この手順では，基本DNのような既存の設定を入力することで時間を節約できます。また,管理员密码フィールドは入力されているように見えますが,パスワードを再入力する必要があります。

結果

Citrix工作区とCitrix网关を使用すると,企業ではユーザーエクスペリエンスを複雑にすることなく,多要素認証を実装することで,セキュリティ体制を向上させることができます。ユーザーは,ドメインユーザー名とパスワードを入力し,登録済みの認証アプリからワンタイムパスワードを入力して身元を確認することで,Citrix虚拟应用程序和桌面にアクセスできます。

参照ドキュメント

詳細にいては，以下を参照してください。

ネ邮箱ティブotp認証—ネ邮箱ティブotp邮箱の実装と使用例の詳細をご覧ください。