思杰网关(Citrix Gateway)

简介

大型企业环境需要灵活的身份验证选项来满足各种用户角色的需求。使用组提取用户广告组成员资格确定用户需要完成nFactor身份验证方法的数量和类型,以验证其身份并访问其应用程序和数据。

用户组的示例包括：

• 普通安全组适用于因其工作性质或数据访问有限而可能具有较低安全要求且位于公司安全边界范围内的个人。该组可能只需要 1 个因素。
• 针对可能没有进行背景调查并且有更高安全要求的第三方工人或承包商的高级安全组。该组可能需要 2 个或更多因素。
• 为从事关键工作、需要政府特别审批或行业批准的员工提供高安全性组。1 . IP, IP, IP, IP。

概述

Citrix网关只有当用户的终端节点位于私有子网上,表示他们在公司内部网上,或者他们是CXO等“VIP”广告组的成员时,它才使用LDAP验证Active Directory凭据。否,则假定它们位于企业网络外围的外围,而不是安全要求较低的组的成员,并且需要填写第二个因素,即输入电子邮件一次性密码(OTP)。它使用Citrix虚拟应用程序和桌面发布的虚拟桌面来验证连接性。

它对以下组件的完成安装和配置进行了假设：

• 思杰ADC
• 思杰网关
• Citrix虚拟应用和桌面软件
• 思杰工作空间
• AD (Active Directory)
• 【中文】

齐格思(Citrix):n因子

nFactor

首先,我们登录Citrix ADC上的CLI,然后分别输入LDAP和电子邮件的身份验证操作和相关策略。然后我们登录我们的GUI,在可视化工具中构建我们的nFactor流程,然后完成多因素身份验证配置。

Ldap

我是说，我是说，我是说，我是说，我是。我们还创建了“电子邮件“操作以及引用该操作的策略,这是非贵宾组成员或本地子网上的用户的多因素身份验证方法。

对于LDAP操作,请填充必填字段,以便在字符串中创建LDAP操作并将其粘贴到CLI中:

• ldapAction-输入操作名称。
• serverIP-
• serverPort- ldap端面。
• ldapBase-输入存储在目录中的相关用户的域对象和容器的字符串。
• ldapBindDn-输入用于查询域用户的服务帐号。
• ldapBindDnPassword-输入您的服务帐户密码。
• ldapLoginName-输入用户对象类型。
• groupAttrName-输入组属性名称。
• subAttributeName-输入子属性名称。
• secType-输入安全类型。
• ssoNameAttribute-输入单点登录名称属性。
• defaultAuthenticationGroup-输入默认身份验证组。
• alternateEmailAttr-输入可以检索其电子邮件地址的用户域对象属性。

对于LDAP策略,请填充必填字段以在字符串中引用LDAP操作并将其粘贴到CLI中:

• 政策-输入策略名称。
• 行动-输入我们上面创建的 “电子邮件” 操作的名称。

有关详细信息，请参阅Ldap。

1. Citrix ADC。NSIP。SSHnsroot管理员或等效管理员用户身份登录。

LDAP 1 - authAct_GroupExtract_genf

■■■■■■■■■■■■add authentication ldapAction authAct_GroupExtract_genf -serverIP 192.0.2.50 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -authentication DISABLED

LDAP - authPol_GroupExtract_genf

■■■■■■■■■■■■add认证策略authPol_GroupExtract_genf -rule true -action authAct_GroupExtract_genf . add认证策略authPol_GroupExtract_genf -rule true

LDAP: authPol_LdapOnly_genf

■■■■■■■■■■■■添加认证策略authPol_LdapOnly_genf -rule "AAA.USER.IS_MEMBER_OF(\"VIP\") || client.IP.SRC.IN_SUBNET(10.0.0.0/8)"动作片NO_AUTHN

LDAP . authPol_TwoFactor_genf . 2B

■■■■■■■■■■■■2 .添加认证策略authPol_TwoFactor_genf -rule "client.IP.SRC.IN_SUBNET(10.0.0.0/8).使用实例-action NO_AUTHN

LDAP: 3A - authAct_Ldap_genf

■■■■■■■■■■■■add authentication ldapAction authAct_Ldap_genf -serverIP 192.0.2.50 -ldapBase "OU=Team M,OU=Team Accounts,OU=Demo Accounts,OU=Workspaces Users,DC= Workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -passwdChange ENABLED

LDAP - authPol_Ldap_genf

■■■■■■■■■■■■add认证策略authPol_Ldap_genf -rule true -action authAct_Ldap_genf . add

LDAP 3B - authAct_LDAP_eotp_genf

■■■■■■■■■■■■add authentication ldapAction authAct_LDAP_eotp_genf -serverIP 192.0.2.50 -serverPort 636 -ldapBase "DC=workspaces,DC=wwco,DC=net" -ldapBindDn workspacessrv@workspaces.wwco.net -ldapBindDnPassword 123xyz -encrypted -encryptmethod ENCMTHD_3 -ldapLoginName userPrincipalName -groupAttrName memberOf -subAttributeName cn -secType SSL -ssoNameAttribute userPrincipalName -defaultAuthenticationGroup Email-OTP -alternateEmailAttr otherMailbox .net

LDAP - authPol_LDAP_eotp_genf

■■■■■■■■■■■■add认证策略authPol_LdapEtop_genf -rule true -action authAct_LDAP_eotp_genf . add认证策略authpol_ldap_etop_genf . add

电子邮件验证策

填充以下字段以创建“电子邮件“操作并将完成的字符串粘贴到CLI中:

• emailAction-输入操作名称。
• 用户名-输入登录邮件服务器的用户或服务帐号。
• 密码-输入您的服务帐户密码以登录邮件服务器。()
• serverURL-。
• 内容-在字段旁输入用户消息以输入电子邮件代码。
• 时间-输入电子邮件代码有效的秒数。
• emailAddress——输入LDAP对象以查询用户电子邮件地址。

对于电子邮件策略,请填写必填字段,以便在字符串中引用电子邮件操作并将其粘贴到CLI中:

• 政策-输入策略名称。
• 行动-输入 “电子邮件” 操作的名称

有关详细信息，请参阅【翻译

“authAct_Email_eotp_genf . 4B

■■■■■■■■■■■■

add authentication emailAction authAct_Email_eotp_genf -userName workspacessrv@workspaces.wwco.net -password 123xyz -encrypted -encryptmethod ENCMTHD_3 -serverURL "smtps://192.0.2.40:587" -content "Your OTP is $code" -timeout 60 -emailAddress "aaa.user.attribute(\"alternate_mail\")"

“authPol_Email_eotp_genf . cn

■■■■■■■■■■■■

add认证策略authPol_Email_eotp_genf -rule true -action authAct_Email_eotp . add认证策略authpol_email_eotp . add

登录模式

lSchema 1 - lSchema_GroupExtract_genf

■■■■■■■■■■■■“/nsconfig/ loginSchema / loginSchema /OnlyUsername.xml”

lSchema 2 - CheckAuthType_genf

第二个因素不需要登录模式。它只有带表达式的策略来检查接下来要执行哪个因素。

lSchema_LDAPPasswordOnly_genf

■■■■■■■■■■■■“/nsconfig/ loginSchema /PrefilUserFromExpr.xml”http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com【中文译文】

1. Citrix ADC命令行
2. 输入壳牌
3. 输入cd / nsconfig / loginschema / loginschema
4. “vi PrefilUserFromExpr.xml”
5. 输入/ http.req
6. 8 . http://www.qqqq.comReq
7. 按下逃生键
8. 中国日报网2016-01-18 08:30aaa，，，，
9. 按冒号键 “:”，输入wq1 .进入。
10. 注意，您可以使用此方法修改登录架构的其他方面，例如字段提示

lSchema_EOTPPasswordOnly_genf

■■■■■■■■■■■■添加认证loginSchema lSchema_EOTPPasswordOnly_genf -authenticationSchema "/nsconfig/ loginSchema /PrefilUserFromExpr.xml"

注意:3 b因素也使用PrefilUserFromExpr.xml模式,但我们对EOTP路径的策略进行了不同的标签。

lSchema 4B - EOTP_genf

第四个因素不需要登录架构。它会生成带有一次性密码的电子邮件。

nFactor

1. Citrix ADC GUI
2. 导航到> > > > >以验证您是否安装了域证书。在此 POC 示例中，我们使用了与 Active Directory 域对应的通配符证书。有关更多信息，请参阅Citrix ADC SSL。
3. 下一步导航到“安全> AAA -应用流量> nFactor可视化> nFactor流”
4. 选择添加，然后在因子框中选择加号

视觉型的人

Factor1_GroupExtract_genf

1. 输入Factor1_GroupExtract_genf并选择创建
2. 选择添加架构
3. http://www.schema_groupextract_genf
4. 选择确定
5. 在同一框中选择添加策略
6. ldapauthPol_GroupExtract_genf
7. 选择添加
8. 选择authPol_GroupExtract_genf策略旁边的绿色加号以创建另一个因素

Factor2_CheckAuthType_genf

1. 输入Factor2_CheckAuthType_genf此因素用于验证身份验证要求
2. 选择创建
3. 在同一框中选择添加策略
4. 选择authPol_LdapOnly_genf
5. 在 “转到表达式” 下选择结束
6. 选择 “添加”
7. 选择authPol_LdapOnly_genf策略下的蓝色加号以添加第二个策略
8. 选择策略authPol_TwoFactor_genf
9. 输入90获取优先级“”“”“”“”“”“”“”“”“”“”“”“”“”VIP、VIP、VIP、VIP、VIP
10. 选择添加

Factor3A_LDAPPasswordAuth_genf

1. 返回authPol_GroupExtract_genf策略旁边的绿色加号以创建另一个因素
2. 输入Factor3A_LDAPPasswordAuth_genf
3. 选择创建
4. 在同一框中选择添加策略
5. 选择authPol_Ldap_genf
6. 在 “转到表达式” 下选择结束
7. 选择添加
8. 选择添加架构
9. 选择登录架构lSchema_LDAPPasswordOnly_genf
10. 选择确定

Factor3B_EOTPPasswordAuth_genf

1. 返回authPol_TwoFactor_genf策略旁边的绿色加号以创建另一个因素
2. 输入Factor3B_EOTPPasswordAuth_genf
3. 选择创建
4. 在同一框中选择添加策略
5. 选择authPol_LdapEtop_genf
6. 选择添加
7. 选择添加架构
8. 选择登录架构lSchema_EOTPPasswordOnly_genf
9. 选择确定

Factor4B_EOTP_genf

1. 在authPol_LdapEtop_genf策略旁边选择绿色加号以创建另一个因素
2. 输入Factor4B_EOTP_genf
3. 选择创建
4. 在同一框中选择添加策略
5. 选择authPol_Email_eotp_genf
6. 选择添加
7. 【翻译

Citrix ADC (Citrix ADC AAA)

1. 接下来导航到【中文翻译】，然后选择添加
2. 输入以下字段，然后单击 “确定”：
   • 名称-唯一值。我们输入GroupExtraction_AuthVserver
   • -非可寻址
3. 选择无服务器证书，选择域证书，单击选择、绑定和继续
4. 因子
5. 元件流，元件流，元件流Factor1_GroupExtract_genf流程
6. 单击 “选择”，然后单击 “绑定”，然后单击 “继续分”

Citrix网关-

1. 接下来导航到思杰网关
2. 选择提供对Citrix虚拟应用程序和桌面环境的代理访问权限的现有虚拟服务器
3. 选择编辑
4. 。然后检查策略，选择取消绑定，选择是进行确认，然后选择关闭
5. 在右侧的高级设置菜单下，选择身份验证配置文件
6. 选择添加
7. 请输入名称。我们输入GroupExtract_AuthProfile
8. Citrix ADC AAAGroupExtraction_AuthVserver
9. 点击选择，然后创建
10. 单击 “确定”，验证在删除基本身份验证策略后，虚拟服务器现在已选择身份验证配置文件
11. 单击“完成”

用户端点

首先,我们通过对Citrix虚拟应用程序和桌面环境进行身份验证来测试是否将一因素身份验证应用于贵宾

1. Citrix网关FQDN。我们使用https://gateway.workspaces.wwco.net
2. 将浏览器重定向到登录屏幕之后。首先输入用户名。我们使用wsvipuser@workspaces.wwco.net“”“”“”“”贵宾
3. nFactor, VIP, VIP, VIP, VIP, VIP
4. 现在，用户已登录到他们的工作区页面。
5. 选择虚拟桌面并验证启动情况。

现在,我们通过再次进入我们的Citrix虚拟应用程序和桌面环境进行身份验证来测试使用电子邮件OTP

1. Citrix网关FQDN。我们使用https://gateway.workspaces.wwco.net
2. 将浏览器重定向到登录屏幕之后。首先输入用户名。我们使用wsuser@workspaces.wwco.net
3. nFactor, VIP, VIP, VIP, VIP, VIP, VIP
4. n因子(factor)我们从wsuser电子邮件帐户复制并粘贴密码。
5. 现在，用户已登录到他们的工作区页面。
6. 选择虚拟桌面并验证启动情况。

摘要

借助Citrix工作区和Citrix网关,企业可以通过实施多因素身份验证来改善安全状况,而不会使用户体验复杂群组提取允许企业根据用户组角色要求自定义多因素使用的深度以及上下文身份验证。

引用

有关更多信息，请参阅：

Citrix网关支安打Citrix ADC【中文译文Nsconmsg -d current -g _hits）的详细信息，跟踪策略支安打以帮助进行故障排除。

思杰网关(Citrix Gateway)——了解如何实施一种可扩展且灵活的方法,使用nFactor配置多因子身份验证,以便使用电子邮件一次性密码进行Citrix网关身份验证。