部署指南:了解如何将Citrix网关配置为使用nFactor对半径服务器进行MFA身份验证

概述

如何将Citrix网关配置为使用nFactor对半径服务器进行身份验证以进行多重身份验证(MFA)。

本文介绍如何配置Citrix ADC网关以将nFactor身份验证用于基于LDAP和半径的多因素身份验证以及常规故障排除技术。

在本文中,我们假设您的Citrix ADC具有Citrix网关实现以及半径和LDAP服务器。

本文还建议通过本地负载平衡虚拟服务器连接到半径和LDAP服务器,并假定负载均衡器已创建。您可以在此处了解有关创建负载平衡虚拟服务器的更多信息，并在此处了解有关在半径;半径;

半径

RADIUS (Citrix ADC)半径(半径)验证后,半径服务器会以“访问接受”、“拒绝”或“质询”进行响应,要求用户提供更多详细信息。

半径、半径、半径、半径半径、半径、半径、半径、半径、半径、半径、半径、半径。共享密钥对凭据的密码部分进行加密。当共享密钥错误时，服务器总是拒绝密码，因为密码没有解密到正确的值。

默认情况下,Citrix ADC会从活动哈节点的NSIP发送半径身份验证请求,并以单个半径服务器为目标。

Citrix建议ADC通过本地负载平衡虚拟服务器发送身份验证请求,而不是将HA对中的两个ADC的NSIP定义为半径服务器上的客户端。负载平衡虚拟服务器还为您的设置增加了恢复能力。

当Citrix ADC通过本地负载平衡虚拟服务器发送请半径求时,这些请求会通过剪断离开ADC。笨笨，笨笨，笨笨，笨笨，笨笨。

使用负载平衡(磅)虚拟服务器时,主哈节点和辅助哈节点的NSIP会向本地VIP发出请求。Lb VIP

半径

有半径，有半径，有半径，有半径，有半径。

" /tmp/aaad.debug

您可以在Citrix ADC上查看身份验证事件,方法是进入带有“壳”的BSH壳,然后使用“猫/ tmp / aaad.debug”查看aaad.debug管道。

“aaad.debug”https://support.citrix.com/article/CTX114999

NTRadPing

ntradping是第三方半径测试工具,可用于生成半径身份验证请求并观察响应。交易:

使用ntradping,您可以将半径身份验证请求直接从客户端发送到半径服务器,并确保其完全正常运行。IP地址:http://www.qqqq.com http://www.qqqq.com“半径”。

您还可以使用ntradping将身份验证请求发送到ADC上的磅虚拟服务器,后者将这些请求中继到半径服务器。“”“”“”“”“”“”“”“”齐齐，齐齐，齐齐。

通过分别测试每个组件，测试将隔离出故障发生的位置。本句的意思是:“半径”。在这种情况下,您知道问题出在之前的某些方面,比如您的ADC上的半径服务器定义,您可以集中精力。

【翻译】【翻译】贸易，贸易

• 半径
• 半径?
• 用户名和密码
• 身份验证请求类型

根据您正在执行的测试,您将使用半径服务器IP地址或ADC的磅虚拟服务器的IP地址作为目标。最常见的是在端口 1812 上。

“半径”、“半径”。如果您要通过ADC的磅虚拟服务器发送查询以模仿来自网关的身份验证请求,请使用与配置ADC相同的共享密钥。阿嬷:阿嬷，阿嬷，阿嬷，阿嬷。【中文翻译】

当您单击”发送”时,nTradping会从您的计算机向指定的目标发送身份验证请求,并显示响应(通常是访问接受或访问拒绝)。

WireShark

如果您在身份验证过程中在Citrix ADC上进行数据包跟踪,则可以在WireShark中检查请半径求和响应。

WireShark、WireShark、WireShark、WireSharkWireShark, http://www.wireshark。

WireShark。RADIUS。

Citrix ADC:骤。

“WireShark”，“笨笨”，“笨笨”，“笨笨”。(1)半径;(2)半径;

图形界面说明

假设半径服务器上的配置已完成,请按照以下步骤进行Citrix网关的MFA身份验证:

笨笨笨笨，笨笨笨笨，笨笨笨笨

1. 【中文翻译】" > < < < > >”，然后右键单击以启用该功能。
   

添加身份验证服务器

1. 选择“aaa -”，“a -”，“a -”，“a -”，“a -”，“a -”。
   

2. 选择 “服务器” 选项卡，然后单击 “添加”。
   

3. 这是一个很好的例子
   
   思杰(Citrix)、思杰、思杰、思杰。全英文，全英文，全英文，全英文，全英文。半径;

4. 选择安全> AAA -应用程序流量,策略,身份验证,基本策略,LDAP。然后，选择 “服务器” 选项卡并单击 “添加”。
   

5. 【中文译文
   ◆RADIUS、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix、Citrix“”“”“”“”“”“”“”“”“”

添加高级身份验证策略

1. 选择，安全> AAA -应用程序流量,策略,身份验证,高级策略,策略。然后，单击 “添加”。
   

2. 如图所示填写策略详细信息，然后单击 “创建”。
   

3. “半径”、“半径”、“半径”创建”。
   

【翻译

1. 导航到配置(英文)>安全(英文)> AAA -应用流量(英文)>虚拟服务器(英文)。
   

2. 单击 “添加” 以创建身份验证虚拟服务器。
   

3. 【参考译文】
   • 这是一个很好的例子。
   • IP地址类型——将IP地址类型更改为不可寻址,因为此虚拟服务器仅用于Citrix网关。
     

4. 在 “证书” 下，选择 “无服务器证书”。
   

5. 单击 “点击选择” 以选择服务器证书
   

6. “”“”“”“”选择”。选择的证书无关紧要，因为无法直接访问此服务器。
   

7. 点击 “绑定”。
   

8. 单击 “继续” 以关闭 “证书” 部分。
   

9. 单击 “高级身份验证策略” 中的 “无身份验证策略”。
   

10. 单击 “选择策略” 字段下的 “单击以选择”。
    

11. 选择 “LDAP_Pol” 策略，然后单击 “选择”。
    

12. 单击 “选择下一个因素” 字段下的 “单击以选择”。
    

13. 在 “身份验证策略标签” 中单击 “添加”。
    

14. “”“”“”“”继续”。
    

15. 单击 “选择策略” 字段下的 “单击以选择”。
    

16. 选择 “RADIUS_POL” 策略，然后单击 “选择”。
    

17. 单击 “创建身份验证策略标签” 屏幕底部的 “绑定”。
    

18. 单击 “身份验证策略标签” 屏幕底部的 “完成”。
    

19. 点击 “选择”。
    

20. 单击 “策略绑定” 屏幕底部的 “绑定”。
    

应用向用户显示用户名、密码和通行码字段的登录架构

1. 单击右侧 “高级设置” 菜单中的 “登录架构”。
   

2. 单击 “无登录架构” 以显示用于选择架构的窗口。
   

3. 单击 “选择策略” 下的 “单击以选择”。
   

4. 选择内置的 “lschema_dual_factor_builtin” 策略，然后单击 “选择”。
   

5. 单击 “绑定” 并选择 “完成“哎呀!”
   

注意：“lschema_dual_factor_builtin”。如果您使用的是早期版本，则需要创建策略。您可以在此处找到解释如何创建策略的说明。

【中文译文

1. 选择 “思杰网关”，然后选择您的网关虚拟服务器并单击 “编辑”。
   

2. 在右侧的 “高级设置” 菜单中选择 “身份验证配置文件”。
   

3. 在 “身份验证配置文件” 部分中选择 “添加”。
   

4. 输入显示的新身份验证配置文件的名称，然后单击 “身份验证虚拟服务器” 下的 “单击以选择”。
   

5. “”“”“”选择”。
   

6. 点击 “创建”。
   

7. 点击 “确定”。
   

8. 点击 “完成”。
   

执行测试

Citrix网关

如果您遇到任何身份验证质询，请参阅本文档的故障排除部分。

Cli

骤。

# 1。启用AAA enns功能AAA # 2。创建LDAP服务器添加认证ldapAction LDAP_for_Gateway -serverIP LDAP_LB_IP -serverPort 636 -ldapBase "DC=citrix,DC=lab" -ldapBindDn readonly@citrix.lab -ldapBindDnPassword PASSWORD - ldapploginname sAMAccountName -groupAttrName memberOf # 3。3 .创建LDAP策略，添加认证策略LDAP_Pol -rule true -action LDAP_for_Gateway #4 .添加RADIUS服务器认证radiusAction RADIUS_Server -serverIP 192.168.1.100 -serverPort 1812 -radKey sharedsecret #6.创建RADIUS策略，添加认证策略RADIUS_Pol -rule true -action RADIUS_Server #6 .创建触发RADIUS策略的PolicyLabel。add authentication PolicyLabel RADIUS_PolicyLabel -loginSchema LSCHEMA_INT bind authentication PolicyLabel RADIUS_PolicyLabel -policyName RADIUS_Pol -priority 100 #创建AAA虚拟服务器添加authentication vserver nFactorAuthvServer SSL 0.0.0.0 # 8。绑定SSL证书到AAA虚拟服务器Bind SSL vserver nFactorAuthvServer -certkeyName "Example Cert" # 9。绑定LDAP策略和RADIUS PolicyLabel到AAA虚拟服务器Bind authentication vserver nFactorAuthvServer -policy LDAP_Pol -priority 100 -nextFactor RADIUS_PolicyLabel -gotoPriorityExpression NEXT # 10。 Bind the builtin Login Schema for dual factor authentication to the AAA virtual server bind authentication vserver nFactorAuthvServer -policy lschema_dual_factor_builtin -priority 100 -gotoPriorityExpression END # 11. Create an Authentication Profile attached to the AAA virtual server add authentication authnProfile MFA_Authentication_Profile -authnVsName nFactorAuthvServer # 12. Configure your existing Gateway virtual server to use the Authentication Profile set vpn vserver "Steven Demo Gateway" -authnprofile "MFA_Authentication_Profile"