概念验证南南：使用电子邮件otp进行citrix网关身份验证的nfactor

简介

实施多因素身份验证是验证身份和改善安全状况的最佳方法之一。电子邮件otp.是使用随时可用的电子邮件系统实施另一个因素的便捷方法。它允许用户从任何设备上的电子邮件客户端接收、复制和粘贴身份验证码，并将其粘贴到网关身份验证表单中。

Citrix Gateway支持电子邮件otp身份验证，并可为各服务验证，包括网服务，vpn和citrix虚拟应用程序和桌面。在本地Poc河南中，我们演示了在Citrix虚拟应用程序和桌面环境中间使用它进行身份验证。

概述

本江南演示了如何用Citrix Gateway的双双身份验证验证实现验证环境。本北南握值验证Active Directory凭凭作用为第因素，并使使用Citrix虚拟应用程序和桌面发布的虚拟桌面来验证。



• 使用绑定到通配符证书的外部可访问虚拟服务器安装,许可和配置Citrix网关
• Citrix网关与使用LDAP进行身份验证的Citrix虚拟应用程序和桌面环境集成
• SMTP仪器访问，能够使用作名和密码登录以以发布电子书
• 安装了Citrix Workspace实用程
• Active Directory（AD）在环境中可用

有关更新产品版本和许可证，请参阅citrix文章：电子邮件otp验证

Citrix网关

首先，我们将登录到网关上的CLI，然后分享输入LDAP和电子邮件的身份作作和相关策略。当我们将将登录我们的gu，在可调工具中，我们的nfactor编程，并并成多因素身份验证配置。

身份验证策略

我们创建LDAP操作以及引用该操作的策略,这是第一个身份验证因素。然后，我们创建电子邮件操作以及引用该操作的策略，这是第二个身份验证因素。

首先通过打开citrix adc的nsip的nsip的nsip的ssh会来连接cli，然后以nsroot管理员登录。

LDAP操作

填充以下字段以创建LDAP操作并将完成的字符串粘贴到CLI中:

• ldapAction- 输入输入作品名称。我们输入authAct_LDAP_eotp
• serverIP- 输入域仪器的FQDN或IP地址。我们输入192.0.2.50以获得环境中间仪器的专用IP地址
• serverPortLDAP -输入端口。我们输入636.以获得安防LDAP端口
• ldapBase- 输入存储在目录中的相关使用的域对象和仪器的字符串。我们输入“ou =团队m，ou =团队账户，ou =演示账户，ou =工作空间用户，dc = workspaces，dc = wwco，dc = net”
• ldapBindDn- 输入用于查询域用作的服务帐服务帐帐。我们输入workspacessrv@workspaces.wwco.net
• ldapbinddnpassword.-输入您的服务帐户密码。默认情况下,该密码由Citrix ADC加密
• ldapLoginName- 输入用水对象类型。我们输入userPrincipalName
• groupattrname.- 输入组属性名称。我们输入memberOf
• subattributename.-输入子属性名称。我们输入CN.
• sectype.- 输入安全类型。我们输入SSL
• sonameattribute.- 输入单位登录名属性。我们输入userPrincipalName
• defaultauthenticationgroup.-输入默认身份验证组。我们输入电子邮件 - OTP.
• alternedeemailattr.-输入可以检索其电子邮件地址的用户域对象属性。我们输入其他邮件

为环境构建完整字符串，请将其复制并粘贴cli中：add authentication ldapAction authAct_LDAP_eotp -serverIP 192.0.2.50 -serverPort 636 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword your_service_account_password - ldapploginname userPrincipalName -groupAttrName memberOf .-subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox

有各种工具可用于填充Active Directory用户对象属性。对于POC,我们使用ADSI编辑,从“服务器管理器>工具”,手动将user1的电子邮件地址添加到“otherMailbox”属性中。

LDAP政策

填充以下字段以创建LDAP操作并将完成的字符串粘贴到CLI中:

• 政策-输入策略名称。我们输入authpol_ldap_eotp.
• 行动- 输入我们上面创建的“电子邮件”作业的名词。我们输入authAct_LDAP_eotp

为环境构建完整字符串，请将其复制并粘贴cli中：添加身份验证策略authpol_ldap_eotp -rule true - authact_ldap_ldap_eotp有关详细信息，请参阅LDAP身份验证策略

电子邮件操

填充以下字段以创建“电子邮件“操作并将完成的字符串粘贴到CLI中:

• 电子邮件管理- 输入输入作品名称。我们输入authAct_Email_eotp
• 用户名- 输入将登录邮件仪器的用途或服务服务。我们输入workspacessrv@workspaces.wwco.net
• 密码-输入您的服务帐户密码以登录邮件服务器。默认情况下,Citrix ADC将对密码进行加密
• serverurl.- 输入邮件仪器的FQDN或IP地址。我们输入“smtp: / / 192.0.2.40:587”
• 内容- 在字段旁输入用水消息以输入以以邮件邮件。我们输入“你的OTP是$代码”
• 时间-输入电子邮件代码有效的秒数。我们输入60.
• 电子邮件地址- 输入LDAP对象以查询用词电子邮件地址。我们输入“aaa.user.attribute(\“alternate_mail \”)”

为环境构建完整字符串，请将其复制并粘贴cli中：添加身份验证电子邮件AuthAct_email_eotp -username workspacessrv@workspaces.wwco.net -password your_service_account_password -serverurel“smtps：//192.0.2.40：587”-Content“您的OTP为$ Code”-timeout 60 -emailaddress“aaa.user.attribute（“alternede_mail \”）“

邮件策略

填充以下字段以创建电子邮件策略并将完成的字符串粘贴到CLI中:

• 政策-输入策略名称。我们输入authPol_Email_eotp
• 行动- 输入我们上面创建的“电子邮件”作业的名词。我们输入authAct_Email_eotp

为环境构建完整字符串，请将其复制并粘贴cli中：添加身份验证策略authpol_email_eotp -rule true - autheact_email_eotp有关详细信息，请参阅电子邮件验证策

n

1. 登录citrix ADC UI
2. 导航到销量管理> SSL>证书>所有书籍以验证您是安装了了书。在此poc示例中，我们签用了与活动目录域对应的通讯证书。有关何信息，请参阅Citrix ADC SSL证书。
3. 下一步导航到安全> AAA - 应用程序流量> Nfactor Visualizer> Nfactor流程
4. 选择添加，然后在因子框中选择选择加载牌
5. 输入nFactor_EmailOTP并选择创建
6. 选择添加架构，然后再次选择选择策略旁边的添加
7. 进入lschema_SingleAuth
8. 在身份验证架构下，选择铅笔图标以编辑架构选择
9. 在架构文件下,选择LoginSchema,然后导航到LoginSchema,然后选择SingleAuth.xml
10. 选择蓝色的选择按钮，然后选择创建，然后选择确定
11. 在同一般中选择加加策略
12. 选择我们创建的ldap策略。我们使用authpol_ldap_eotp.
13. 选择添加
14. 选择authpol_ldap_eotp.策略旁边的绿色加号以创建因子
15. 输入因子_EMAIL.此因素将使用电电子邮件代码行
16. 选择创建
17. 在同一般中选择加加策略
18. 选择我们是创建的电子话。我们申用authPol_Email_eotp
19. 在“转到达达”下选择结尾
20. 选择添加
21. 现在我们已经完成了nFactor流程设置,然后单击”完成”

Citrix ADC身份验证,授权和审核(Citrix ADC AAA)虚拟服务器

1. 接下来导航到安全> AAA -应用程序流量>虚拟服务器，然后然后添加
2. 输入以下字段，然后单击“确定”：
   • 名称 - 第一。我们进入'emailotp_authvserver'
   • IP地图类型 -非可寻址
3. 选择无服务器证书，选择域证书，单击选择、绑定和继续
4. 选择拥有nfactor流
5. 在选择nfactor流下，单位向右箭头，选择之前创建的nFactor_EmailOTP流程
6. 单位选择，然后单位绑定
7. 点击继续，然后点击完成

Citrix Gateway-虚拟虚拟器

1. 接下来导航到Citrix网关>虚拟服务器
2. 选择提供对citrix虚拟应用程序和桌面环境的谐波访问权限额的没有虚拟服务器
3. 选择编辑
4. 如果您当前绑定了ldap策略，请在基本身份验证 - 主身份验证下导航，请选择ldap策略。然后检查策略，选择取消绑定，选择进行，然后选择关键字
5. 在右侧的高级设置菜单下，选择身份验证配置文件
6. 选择添加
7. 请输入名。我们输入emailotp_auth_profile.
8. 在身份身份虚拟服务器下，单位向右箭头，然后选择联系器的citrix adc aaa虚拟虚拟器emaimotp_auth_vserver.
9. 点击选择，然后创建
10. 单击确定并验证在删除基本身份验证策略时虚拟服务器现在已选择身份验证配置文件
11. 单击”完成”

用户端点

现在我们通过在Citrix虚拟应用程序和桌面环境中进行身份验证来测试电子邮件

1. 打开仪器，然后导航到citrix网关管理的域FQDN。我们申用https://gateway.workspaces.wwco.net
2. 在输电器重定重定向到登录屏幕，请请用词userprincipalname和密码
3. 打开用药电子邮件端并复制otp代码
4. 返回返回用作的仪器，粘贴粘贴，然后单位确定
5. 验证用户虚拟应用程序和桌面是否已枚举，并在登录后启动

故障排除

SMTP仪器

Citrix Gateway必须必须使使用手名和密码向邮件仪器进身份验证，才才能使用OTP代码生成客户端电子邮件。如果citrix网关无无客户邮件。如果citrix网关无法发电电子书，则在用来提交其用作名和密码后，第后，第因素因素将超时。

• 如果交换服务器仅为NTLM配置,则默认情况下,Citrix网关将无法进行身份验证。Citrix网关必须能够使用用户名和密码登录,才能撰写和发送含有OTP代码的电子邮件。要验证,请将SSH连接到Citrix网关或访问控制台。
  • 输入贝壳和telnet到到仪器TCP端口25.例如telnet ipoct1.ipoct2.ipoct3。ipoct4 25
  • 然后输入ehlo。结果应该显示验证登录或AUTH NTLM登录。如果有没有显示登录，要了解更多信息，请参阅在SMTP仪器上使用基因登录的身份验证。
• 您还可以使用公共电器邮件邮件器，例如gmail。配置电子邮件otp策略时，在电子邮件邮件器字段中输入SMTPS：//Smtp.gmail.com：587。但是,您必须将防火墙配置为允许TCP端口587上的出站smtp。

摘要

借助Citrix Workspace和Citrix Gateway，企业可以通讯更多因素身份来改善其安防状况，而不合会输入标准域用作和密码，然后只需通知发出的电子邮件otp确认确认可访问可访问所所资源资源资源。

使用

有关详细信息,请参阅其他nFactor身份验证选项:

电子邮件otp.- 电子邮件otp是随citrix adc 12.1版本51.x一起的