Documento completito este, veremos la instalación y configuración de WiKID para autenticació de doble factor con un token de software en vez de los tradicionales de hardware (SoftToken) contra un Web Interface 5.3 de Citrix. Per a això, primer instal·larem i configurarem WiKID que mitjançant una connexió LDAP se connectará a nuestro Directorio Activo y autenticará el token en el Web Interface con RADIUS, asignaremos/configuraremos el token contra un usuari del nostre domini i abriremos una sessió Citrix. Comentar que WiKID és un producte de pagament però té un preu molt bajo, lògicament podríem utilitzar aquest document per configurar mitjançant token altres serveis.

Instalación y configuración de WiKID,

Vamos a la web oficial, nos registramos y nos descargamos WiKID Enterprise Server, podremos baixar en appliance virtual de VMware, o en una ISO para realizar una instal·lació neta o directament podríem instal·lar-lo en una instal·lació que tengamos de un Linux mediante rpms.

En aquest cas yo realizé una instalación nueva, la máquina no tiene por qué ser muy potente (1 CPU, 512Mb RAM, 2Gb HD, 1 NIC…), metemos el CD de instalación y arrancamos la máquina, para realizar una instalación nueva escribimos 'install'.

Nos instalará una distribución CentOS 5.1, nos indicará que nos eliminará el contingut del disco duro, confirmamos “Yes”,

y continuamos el proceso de instalación de forma normal…

Establecemos la zona horaria…

Bo, tras authenticarnos ya por fin como root debemos executar “wikidctl setup”, para configurar la red.

“y” para configurar la red,

“y” para començar a configurar los parámetros de red,

Introducimos el nombre del equipo, la dirección IP para la red eth0 (o la que tengamos), la máscara de red, porta d' enllaç, servidors DNS… confirmamos que es correcte con “y”,

Completamos les següents qüestions per al certificat del equipo, no configuraremos una replicación…

Bé, important, para arrancar los servicios de WiKID tendremos que escribir “wikidctl start”,

Ahora ya desde un equipo cualquiera de la red podremos gestionar el servidor de autenticación, previamente en el nostre servidor DNS habremos dado de alta una entrada “A” con el nombre del WiKID contra su IP 🙂

Para entrar el usuario por defecto es: WiKIDAdmin y la contraseña: 2Factor, posem en “Inicia Sessió”,

Ens anem a la pestanya “Configuration” > “Crear una CA intermitja” per crear una CA intermitja en aquest host, requisit per continuar.

Completem la informació per generar un CSR per a aquest servidor, posem en “Generate”,

Haurem d'indicar una Passphrase al certificat que serà per assegurar el parell de claus, aquesta clau serà la necessària per iniciar els serveis/demons de WiKID! així que és molt important.

Un cop tenim el CSR, el copiem. Premem a l'enllaç superior (http://ca.wikidsystems.com/wikid/newcertreq.jsp)

Enganxem el CSR & “Submit for Processing”,

Copiem el certificat que acabem de generar… des de —–BEGIN CERTIFICATE fins a END CERTIFICATE—–

Enganxem el certificat acabat de generar, introduïm la Passphrase i premem a “Install Intermediate Certificate”.

Ok, perfecte, ara hem de generar un certificat local, posem en “Next: Crear un certificat localhost”.

Vamos a crear un certificado localhost para permitir conexiones autorizadas y seguras con WiKID. Introducimos los datos de nuevo, necesitaremos una clave nueva para este certificado y tendremos que meter la Passphrase de la CA intermedia generada anteriormente. “Generate”!

Perfecte, tenemos que reiniciar los demonios de WiKID.

Abrimos una shell y ejecutamos “wikidctl restart”, nos pedirá la Passphrase…

Volvemos al interfaz web para configurarlo, anem a “Domains” > “Create a New Domain”, para agregar el dominio contra el que autenticaremos a los usuarios.

Introducimos el nombre del dominio, cómo queremos verlo en el menú de opciones el resto lo dejamos por defecto. Tendremos que introducir el ‘Server Code’ que será la IP pública del dominio con formato de 12 caractéres rellenada con ‘0’ (ej para la 85.85.178.158: 085085178158). Posem en “Create”,

Perfecte.

Ahora configuramos los protocolos, anem a “Configuration” > “Enable Protocol Modules”,

Posem en “Radius” para configurarlo y habilitarlo,

En principio con la configuración que trae es correcta, així que “Initialize”.

Ok,

Pues reiniciamos los servicios, otra vez desde una shell ‘wikidctl restart’.

Configuramos ahora la conexión LDAP, “Configuration” > “LDAP”,

Introducimos la clave LDAP_wauth_pass para el cliente de red y LDAP_wauth_server el código de 12 dígitos del dominio. “Enable LDAP”,

Bé.

Reiniciamos los servicios de nuevo para cargar la última configuración, ‘wikidctl restart’.

Bueno ahora por fin daremos de alta un cliente que usará para validar usuarios a través de WiKID con tokens de forma segura. Anem a “Network Clients” > “Create a new network client”.

Le ponemos un nombre significativo que nos asocie para lo que es, en mi caso será para validar un Web Interface, indiquem la seva adreça IP, indicamos el protocolo Radius y el dominio nuestro, posem en “Add”,

Creamos el ‘Shared Secret’ que tendremos que tener en cuenta cuando configuremos la conexión Radius en el Web Interface. “Add NC”,

Ok,

Bien ahora modificaremos un par de cosas para permitir que nuestros usuarios puedan añadirse ellos mismos a través de una URL y solicitar validación mediante Token.

Editamos en el servidor de autenticación con vi el fichero /opt/WiKID/tomcat/webapps/wikid/ADRegister.jsp

Completamos los siguientes parámetros:

directoryDomainSuffix = FQDN dominio
ldapURL = ldap://CONTROLADOR_DOMINIO_FQDN_DOMINIO:389
domainCode = Código 12 dígitos del dominio.
wikidClientPass = la clave del certificado anterior.

Perfecte! ya hemos acabado de configurar WiKID!

Configuración de Citrix Web Interface para autenticación mediante Token,

En la consola de administración del Interfaz Web de Citrix, en el sitio web XenApp o en los servicios de XenApp (donde querramos esta autenticación) triem “Métodos de autenticación”

Marquem “Explícita” i anem a “Propietats”,

En ‘Configuración de dos factores’ indicamos ‘RADIUS’, acceptem.

En el sitio predeterminado de la carpeta ‘conf’ de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenAppconf) creamos un fichero llamado ‘radius_secret.txt’ e introducimos el secreto que hemos configurado antes en RADIUS cómo Shared Secret.

Comprobamos que en el sitio predeterminado de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenApp) en el fichero ‘web.config’ tenemos las entradas configuradas:
RADIUS_SECRET_PATH al fitxer que acabem de configurar.
RADIUS_NAS_IDENTIFIER un identificador únic que identifiqui amb WiKID, per exemple la seva IP o el seu nom.
RADIUS_NAS_IP_ADDRESS amb la IP del WiKID.

Amb això tot llest, ara només queda provar-ho!

Instal·lació de WiKID Token,

Aquesta serà la instal·lació del SoftToken o Token per programari (en comptes dels tradicionals per maquinari) anomenat wikidtoken, ens el baixem de la web oficial de WiKID.

La instal·lació és simple, triem un idioma & “OK”,

“Next”,

“Next”,

“Accepto els termes d’aquest acord de llicència” & “Next”,

Ruta d’instal·lació per defecte ‘%ProgramFileswikidtoken’ & “Next”,

“Next” per començar la instal·lació,

… esperem uns segons…

“Next”,

Si volem icones d’accés directe… “Next”,

I finalment “Done”!

Amb això tindrem el programari del Token instal·lat, res més.

L’obrim per primera vegada,

Nos pedirà una contraseña por seguridad para abrirlo posteriorment “Continuar”,

“Accions” > “Crear Nuevo Dominio” per donar d'alta el nostre domini!

Introducimos los 12 dígitos del domini nuestro & “Continuar”,

Metemos un codi PIN per aquest domini, “Continuar”,

Y daremos un codi.

Hem que introduir aquest codi en WiKID amb una compte del directorio activo, per a ell que tenem que fer es obrir un navegador i ir a “https://SERVIDOR_WiKID/wikid/ADRegister.jsp”, introduimos los credenciales del nostre usuari per validarlo contra LDAP i assignarle ese codi. Posem en “Authenticate”,

Introducimos el codi del registro del Token & “Register”,

perfecte! Guillermo Puertas ya podrá autenticarse mediante Token pq ya está registrado, claro que nosotros como administradores también podremos agregar manualment las cuentas de usuario en WiKID.

Uso de Token con Citrix Web Interface,

Y ya finalmente no queda más que probarlo!

El proceso habitual será que el usuario abra “WiKID Token Client”,

Meta la contraseña que haya puesto para abrir el wikidtoken & “Continuar”,

Elegimos el domini que querramos & “Obtener Contraseña”,

Metemos el PIN que hemos associat al domini & “Continuar”,

I això ens dará el codi que quan querramos entrar en el Web Interface tengamos que introducir!

Així que el que s' ha dit, tendremos 60 segons per validarnos amb ese codi, vamos al sitio web de Citrix, introduimos el nostre usuario, contrasenya, (domini), i el PASSCODE, posem en “Iniciar sessió” i ja estaría.