Autenticação dupla no Citrix com PINsafe e NetScaler
Neste documento iremos ver a implementação do grande produto PINsafe da Swivel Secure, onde iremos obrigar os utilizadores a trabalhar na nossa plataforma Citrix com autenticação dupla, validando-se com a sua autenticação de Diretório Ativo, além de introduzirem um código OTC baseado no seu PIN, para que, em caso de keylogger, não consigam aceder à nossa plataforma, tentando assim tornar os acessos mais seguros!!
Previo a este despliegue, tendremos que tener en nuestro entorno el appliance de PINsafe ya configurado, podremos basarnos en estes anteriores documentos donde desplegabamos el appliance o montabamos nuestra própria instalação (olho, que se formos fãs da Microsoft, também o poderemos montar no Windows! instalamos primeiro o Apache Tomcat, Baixar PINsafe e colocamos o ficheiro 'pinsafe.war'’ no diretório 'webapps'); a parte de configurarlo inicialmente de forma básica. Continuaremos agora configurando um servidor RADIUS no appliance, permitiremos o acesso ao NS para que se possa validar e realizaremos todas as demais configurações no NetScaler!
Acedemos ao appliance de PINsafe, Nós vamos “RAIO” > “Servidor”, e assinalaremos “Server enabled” Para “SIM” para habilitar o servidor RADIUS.
Subsequentemente, em “RAIO” > “NAS” deveremos criar um novo NAS para que permita aceder ao NetScaler, adicionaremos um nome ou identificador, adicionaremos também o IP do NIP (Netscaler IP) e finalmente indicaremos um segredo para utilizá-lo posteriormente entre ambos os dispositivos, “Aplicar”,
Nada mau, dentro do nosso NetScaler deveremos criar um servidor e uma política de autenticação RADIUS que posteriormente associarmos ao nosso Access Gateway Enterprise. Para fazer isso,, dentro “Access Gateway” > “Políticas” > “Autenticação” > “RAIO” > “Servidores” > “Adicionar…”
Criaremos o servidor RADIUS contra o qual validaremos esta segunda autenticação, indicamos um nome e especificamos o IP do appliance de PINsafe além do segredo que definimos ao gerar o NAS dentro do appliance. “Criar”,
Definimos a política para aplicá-la desde “Políticas” > “Adicionar…”,
Indicamos um nome à política, adicionamos o servidor RADIUS que acabamos de criar, e adicionamos a expressão ‘ns_true’ ao ‘True value’.
Editamos o nosso Virtual Server de Access Gateway e deveremos adicionar a política recém-criada como secundária, por isso, em “Autenticação” > “Second…” y agregaremos la política para que ataque al RADIUS del PINsafe. “OKEY”.
Ahora continuaremos, primero nos bajaremos los archivos para editar el interface de nuestro CAG y poder introduzirle los cambios, para poder ver el botón de visualizar la imagen. Tendremos en cuenta que necesitaremos acceder desde el exterior de la organización al servidor de PINsafe, basicamente quando utilicemos las imágenes Single Channel Images, como por exemplo las TURing imageo el PINpad, siempre podremos probar accediendo a la siguiente URL: 'https://URL_PINSAFE_SERVER:8080/pinsafe/SCImage?username=pruebaaaa'.
Poço, nos bajamos los archivos de la template, selecionaremos los que necessitemos dependiendo de la versión de nuestro CAGEE:- Para CAGEE 8.x a 9.1 – AQUI.
– Para CAGEE 9.2 – AQUI.
– Para CAGEE 9.3 – AQUI.
– Para CAGEE 10.x – AQUI.
Editamos el fichero “pinsafe.js” e modificamos o parâmetro ‘sURL’ a la URL correcta y pública de nuestro appliance de PINsafe.
Realizaremos previamente um backup de los archivos de nuestro NetScaler, accedemos por putty o local a su 'shell’ e:
cd /netscaler/ns_gui/vpn
cp index.html index.html.bak
cd /netscaler/ns_gui/vpn/resources
mkdir bak
cp *.xml bak
O seguinte, modificaremos na nossa plantilla de idioma o código que queremos que ponga a los usuarios, en vez de 'Password 2:’ podríamos poner 'OTC:’ o 'PIN:’ para fazer más intuitiva la entrada a nuestros users, accedemos a '/netscaler/ns_gui/vpn/resources', editaremos el fichero de nuestro idioma, a mí me vale con edicar 'es.xml'.
Procuramos as seguintes entradas e colocamos o texto que nos interessa:
<String id="Senha">Senha AD</String> <String id="Password2">OTC:</String>
Copiamos agora os ficheiros acabados de descarregar (index.html e pinsafe.js) para ‘/netscaler/ns_gui/vpn/’
Para tornar as alterações permanentes no NetScaler e para que, quando reiniciado, as alterações não se percam, devemos primeiro, copiar os ficheiros modificados (index.html, pinsafe.js e, no meu caso, o es.xml) para um volume não volátil do appliance, por exemplo para /var; e depois editaremos ‘/nsconfig/rc.netscaler’ adicionando os comandos necessários para que os copie após o reinício!
Confirmamos y veremos cómo accedemos al portal de Access Gateway y ya disponemos el segundo campo para introducir el código OTC que generemos cada vez basándonos en nuestro PIN! Como os podréis imaginar esto es el principio de mejorar cualquier solução, claro que el código lo podríamos enviar por SMS, correio, app de móvil PINsafe… os recuerdo que es un produto que tiene las primeras 5 licencias gratuitas, para probarlo o entornos demo, y posteriormente con ir agregando licencias, entrarán más usuarios mediante PINsafe y doble autenticación!!!
Si necesitamos más información, aquí tenemos algunos documentos oficiales:- Swivel Secure PINsafe con CAGEE 10.x
– Swivel Secure PINsafe con CAGEE 9.x
– Swivel Secure PINsafe con CAGEE 8.x






















































