Conexión al Directorio Activo con Citrix Access Gateway usando RADIUS

Print Friendly, PDF & Email

Si en vez de usar usar usuarios locales con Citrix Access Gateway lo que queremos es aprovechar nuestro Directorio Activo de Windows, nuestros usuarios del dominio para validarnos a la hora de conectarnos desde el exterior, debemos instalar en un servidor de nuestra red el servicio de IAS (Servicio de autenticación de Internet), configurarlo e indicar en el CAG que sea así. Ojo si el CAG está en la DMZ necesitamos mapear los puertos de RADIUS al servidor IAS, que son el 1812 y el 1813, tcp ambos.

Bueno, lo primero de todo en un servidor de nuestra red es instalar el servicio de IAS, para ello, lo instalamos desdePanel de Control” > “Agregar o quitar programas” > “Agregar o quitar componentes de Windows” > pulsamos sobreServicios de redy después en el botón deDetalles…” para poder seleccionar el componenteServicio de autenticación de Internet”, lo marcamos y aceptamos todo para instalarlo.

Una vez instalado, lo abrimos, desde lasHerramientas Administrativas”, seleccionamosServicio de autenticación de Internet”,

Lo primero de todo es crear el cliente, que será el CAG, para ello, desde la consola, sobreClientes RADIUScon botón derecho seleccionamosNuevo cliente RADIUS”,

Le indicamos un nombre descriptivo cualquiera que sirva para que nosotros le podamos identificar; y le ponemos la dirección IP del CAG o el nombre completo DNS del CAG, “Siguiente”,

EnCliente proveedorseleccionamosRADIUS Standard”, y aquí es donde le indicaremos cual será el secreto para que se puedan validar entre el IAS y el CAG, este secreto posteriormente será el que le indiquemos al CAG, “Finalizar”,

Ahora debemos indicar una directiva para el CAG, nos vamos aDirectivas de acceso remoto”, con el botón derecho y seleccionamosNueva directiva de acceso remoto”,

Siguiente”,

Seleccionamos la segunda opciónConfigurar una directiva personalizaday le indicamos un nombre descriptivo, usaremos la directiva para indicar quien sí se puede conectar usando el CAG, “Siguiente”,

Pulsamos sobreAgregar…”

Seleccionamos al finalWindows-Groupsy pulsamos enAgregar…”

Pulsamos enAgregar…” para seleccionar los grupos de Windows, del DA que queremos que se puedan conectar al CAG,

Escribimos el nombre del grupo donde tenemos metidos los usuarios que queremos que se conecten a la VPN, en mi caso en mi D.A. he creado un grupo llamadoUsuariosCAGdonde meteré a todos los que les quiera dar acceso. Seleccionamos los grupos que nos interese y pulsamos enAceptar”,

Comprobamos que salen nuestros grupos y pulsamos sobreAceptar”,

Siguiente”,

SeleccionamosConceder permiso de acceso remotopara dar acceso a este grupo de usuarios a la conexión, “Siguiente”,

Pulsamos sobreEditar perfil…”,

En la pestañaAutenticaciondebemos desmarcar los dos primeros checksAutenticación cifrada de Microsoft versión 2 (MS-CHAP v2)” yAutenticación cifrada de Microsoft (MS-CHAP)”; y marcamos los otros dos checksAutenticación cifrada (CHAP)” yAutenticación sin cifrado (PAP, SPAP)”,

En la pestañaOpciones avanzadasborramos lo que haya seleccionandolas y pulsando sobreQuitar”; y después pulsamos sobreAgregar…”,

Seleccionamos el atributoVendor-Specificy pulsamos enAgregar”,

Pulsamos sobreAgregar”,

EnSeleccionar de la listaindicamosRADIUS Standardy debajo, debemos indicar queSí cumplela norma RADIUS RFC, pulsamos sobreConfigurar atributo…”

Debemos agregar elValor del atributocon el siguiente dato: “CTXSUserGroups=” (sin comillas) seguido del nombre del grupo de usuarios del dominio de Windows que hemos agregado anteriormente, en mi caso era UsuariosCAG, así que quedaría de la siguiente forma: CTXSUserGroups=UsuariosCAG. Si por alguna razón tenemos más de un grupo, los separaremos con punto y coma (;), Aceptamos,

Aceptamos,

Indicamos queNo”,

Y ya podemos continuar, pulsamos enSiguiente”,

Comprobamos que todo está bien y finalizamos,

Vemos que la directiva que hemos creado se queda como máxima prioridad con Orden 1. Ya hemos acabado con la parte de Windows, ya no hay más que configurar aquí, ahora todo será desde la consola de Administración del CAG.

Abrimos la consola para administrar el CAG, “Access Gateway Administration Tool”, nos vamos a la pestaña deAuthentication”, podemos dejar ambas autenticaciones, la de usuarios locales y crear una nueva para los usuarios de RADIUS, como sea, en este ejemplo, solo aceptaré usuarios RADIUS así que la autenticación que trae por defecto la borrare, para ello desdeAction” > pinchamos enRemove Default realm”,

”,

Ahora enAdd an Authentication Realmindicaremos una llamadaDefaulty pulsamos enAdd”,

Seleccionamos en tipo de AutenticaciónRADIUS authenticationy pulsamos enOK”,

Debemos indicarle al CAG cual es el servidor RADIUS, para ello enPrimary RADIUS Server SettingsenIP addresspondremos la dirección IP del servidor RADIUS, el puerto por defecto es el 1812, y ahora debemos poner el secreto que habíamos creado anteriormente en el servidor RADIUS a la hora de crear el cliente RADIUS. Pulsamos enSubmitpara guardar los cambios. Si por alguna razón tenemos otro servidor RADIUS lo indicaremos debajo, en el servidor secundario.

OK

Y comprobamos que en la pestaña deAuthorizationtodo esté igual que en la imagen superior:
Vendor code= 0
Vendor-assigned attribute number= 0
Attribute value prefix= CTXSUserGroups=
Separator= ;

Pulsamos enSubmit”,

OK”, no habría que hacer nada más, ahora probar a conectarse desde el exterior para comprobar que todo está bien.

Para comprobar cualquier evento lo veremos en el servidor RADIUS, en elVisor de Sucesos”, te indicará quién se conecta correctamente o quién se ha querido conectar y no ha podido.

Está sería la configuración final del CAG en la DMZ apuntando al servidor RADIUS:

Desde la parte del FW de internet deberíamos abrir única y exclusivamente el puerto 443 tcp al CAG para que los clientes puedan acceder a descargarse el software cliente y conectarse a la VPN. De la red LAN a la red DMZ deberíamos abrir únicamente el puerto 9001 tcp al CAG para poder administrarlo remotamente con las Administration Tools. Y de la red DMZ a la red LAN deberíamos abrir los puertos que nos interese, si usamos RADIUS redirigiremos el 1812 tcp y el 1813 tcp al servidor IAS. El 1494 tcp (o el 2598 tcp si usamosSession reability”) al servidor citrix y si nos interesa el 1604 tcp para cuando desde el cliente de Citrix (PN o PNA) se haga el browsing para buscar la comunidad Citrix.

www.bujarra.comHéctor Herreronh*****@bu*****.comv 1.0


Posts recomendados

Configuración de Access Gateway en NetScaler
Leer
Doble autenticación en Citrix con PINsafe y NetScaler
Leer
Permitiendo autenticación de doble factor con SMS2 (gratuito) y NetScaler Gateway
Leer
Configuración Red Wifi con Autenticación contra Servidor NPS
Leer

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

Configuración y administración de CAG - Citrix Access Gateway

19 de October de 2008

Cambiar la contraseña desde OWA - Outlook Web Access en Exchange 2003

19 de October de 2008