Connessione ad Active Directory con Citrix Access Gateway tramite RADIUS

Compatibile con la stampa, PDF ed e-mail

Se invece di utilizzare utenti locali con Citrix Access Gateway quello che vogliamo è sfruttare la nostra Active Directory di Windows, i nostri utenti del dominio per convalidarci quando ci connettiamo dall'estero, dobbiamo installare il servizio IAS su un server della nostra rete (Servizio di autenticazione Internet), configurarlo e indicare nel CAG che è così. Attenzione, se il CAG si trova nella DMZ, dobbiamo mappare le porte RADIUS al server IAS, Quali sono i 1812 E la 1813, TCP entrambi.

Bene, lo primo de todo en un server de nuestra red es installer el servicio de IAS, per questo, lo instalamos desde “Pannello di controllo” > “Aggiungere o rimuovere programmi” > “Aggiungere o rimuovere componenti di Windows” > Clicca su “Servizi di rete” y dopo in el botón de “Dettagli…” para poter seleccionar el componente “Servizio di autenticazione Internet”, lo marcamos y accettamos todo para instalarlo.

Una volta installato, Lo apriamo, desde las “Strumenti di amministrazione”, Selezionare “Servizio di autenticazione Internet”,

lo primero de todo es crear el cliente, que será el CAG, per questo, dalla console, busta “Clienti RADIUS” con il tasto destro del mouse selezionare “Nuevo cliente RADIUS”,

Le indicamos un nombre descriptivo qualunque che serva per che noi le podremmo identificar; y le ponemos la dirección IP del CAG o il nome completo DNS del CAG, “Seguente”,

In “Cliente proveedor” Selezionare “RADIUS Standard”, y qui es dove le indicaremos cual será el secreto para que se puedan validar entre el IAS y el CAG, este secreto posteriormente será el que le indiquemos al CAG, “Fine”,

Ahora debemos indicar una directiva para el CAG, Stiamo per “Directivas de acceso remoto”, con el botón derecho y seleccionamos “Nueva directiva de acceso remoto”,

“Seguente”,

Seleccionamos la segunda opción “Configurar una directiva personalizada” y le indicamos un nombre descriptivo, usaremos la directiva para indicar quien sí se puede conectar usando el CAG, “Seguente”,

Clicca su “Aggiungere…”

Seleccionamos al final “Windows-Groups” e clicca su “Aggiungere…”

Clicca su “Aggiungere…” para seleccionar los grupos de Windows, del DA que queremos que se puedan conectar al CAG,

Escribimos el nombre del grupo donde tenemos metidos los usuarios que queremos che se conecten a la VPN, in mio caso in mio D.A. he creato un grupo llamado “UsuariosCAG” dove mettero a tutti quelli che le chiera dar accesso. Selezionamos los grupos que nos interessa y pulsamos en “Accettare”,

Comprobamos que salen nuestros grupos y pulsamos sobre “Accettare”,

“Seguente”,

Selezionare “Conceder permiso de acceso remoto” para dar accesso a questo gruppo di utenti a la conexión, “Seguente”,

Clicca su “Editar perfil…”,

Sul “Autenticazione” debemos desmarcar los dos primeros checks “Autenticación cifrada de Microsoft versión 2 (MS-CHAP v2)” e “Autenticación cifrada de Microsoft (MS-CHAP)”; y marcamos los other dos checks “Autenticación cifrada (CHAP)” e “Autenticación sin cifrado (PAPPA, SPAP)”,

Sul “Opzioni avanzate” borramos lo que haya seleccionandolas y pulsando sobre “Togliere”; y después pulsamos sobre “Aggiungere…”,

Seleccionamos el atributo “Vendor-Specific” e clicca su “Aggiungere”,

Clicca su “Aggiungere”,

In “Seleccionar de la lista” Indicare “RADIUS Standard” y debajo, debemos indicar que “Sí cumple” la norma RADIUS RFC, Clicca su “Configurar atributo…”

Debemos agregar el “Valor del atributo” con el siguiente dato: “CTXSUserGroups=” (Senza virgolette) seguido del nombre del grupo de usuarios del dominio de Windows que hemos agregado anteriormente, en mi caso era UsuariosCAG, así que quedaría de la siguiente forma: CTXSUserGroups=UsuariosCAG. Si por alguna razón tenemos más de un grupo, los separaremos con punto y coma (;), Accettare,

Accettare,

Indicamos que “No”,

E ora possiamo continuare, Clicca su “Seguente”,

Controlliamo che tutto sia a posto e concludiamo,

Vediamo che la direttiva che abbiamo creato rimane la massima priorità con Ordine 1. Abbiamo già finito con la parte di Windows, non c'è più nulla da configurare qui, ora tutto sarà dalla console di Amministrazione del CAG.

Apriamo la console per amministrare il CAG, “Strumento di Amministrazione Access Gateway”, andiamo alla scheda di “Autenticazione”, possiamo lasciare entrambe le autenticazioni, quella degli utenti locali e crearne una nuova per gli utenti RADIUS, Comunque, In questo esempio, accetterò solo utenti RADIUS quindi cancellerò l'autenticazione predefinita, A tal fine, da “Azione” > Clicca su “Rimuovi il dominio predefinito”,

“Sì”,

Ora in “Aggiungi un Dominio di Autenticazione” indicheremo uno chiamato “Default” e clicca su “Aggiungere”,

Selezioniamo nel tipo di Autenticazione “Autenticazione RADIUS” e clicca su “OK”,

Dobbiamo indicare al CAG quale è il server RADIUS, para ello en “Primary RADIUS Server Settings” in “IP address” pondremos la dirección IP del servidor RADIUS, La porta predefinita è la 1812, y ahora dobbiamo mettere il secreto che habíamos creado anteriormente en el servidor RADIUS a la hora de crear el cliente RADIUS. Clicca su “Invia” per salvare le modifiche. Si por alguna razón tenemos otro servidor RADIUS lo indicaremos debajo, en el servidor secundario.

“OK”

Y comprobamos que en la pestaña de “Autorizzazione” todo esté igual que en la imagen superior:
“Vendor code” = 0
“Vendor-assigned attribute number” = 0
“Attribute value prefix” = CTXSUserGroups=
“Separator” = ;

Clicca su “Invia”,

“OK”, no habría que hacer nada más, ahora probar a conectarse desde el exterior para comprobar que todo está bien.

Para comprobar qualsiasi evento lo veremos en el servidor RADIUS, Nel “Visor de Sucesos”, te indicará quién se conecta correctamente o quién se ha querido conectar y no ha podido.

Está sería la configuración final del CAG en la DMZ apuntando al servidor RADIUS:

Desde la parte del FW de internet deberíamos abrir única y exclusivamente el puerto 443 tcp al CAG para que los clientes puedan acceder a descargarse el software cliente y conectarse a la VPN. De la red LAN a la red DMZ deberíamos abrir únicamente el puerto 9001 tcp al CAG para poder administrarlo remotamente con las Administration Tools. Y de la red DMZ a la red LAN deberíamos abrir los puertos que nos interese, si usamos RADIUS redirigiremos el 1812 tcp y el 1813 tcp al servidor IAS. Le 1494 TCP (o il 2598 tcp si usamos “Session reability”) al servidor citrix y si nos interesa el 1604 tcp para cuando desde el cliente de Citrix (PN o PNA) se haga el browsing para cercare la comunidad Citrix.

www.bujarra.com – Héctor Herrero – Nh*****@*****ra.com – v 1.0


Post consigliati

Configurazione del gateway di accesso in NetScaler
Leggere
Abilitazione dell'autenticazione a due fattori con SMS2 (gratuito) e NetScaler Gateway
Leggere
Configurazione della rete Wi-Fi con autenticazione del server dei criteri di rete
Leggere
Autenticazione a due fattori in Citrix con PINsafe e NetScaler
Leggere

Autore

presso Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Non esitate a contattarmi, Cercherò di aiutarti ogni volta che potrò, Condividere è vivere ;) . Goditi i documenti!!!

Configurazione e gestione CAG - Citrix Access Gateway

19 Ottobre 2008

Modificare la password da OWA - Outlook Web Access in Exchange 2003

19 Ottobre 2008