Documento completato, verremo all'installazione e configurazione di WiKID per l'autenticazione a doppio fattore con un token software invece dei tradizionali hardware (SoftToken) contro una Interfaccia Web 5.3 da Citrix. Per fare ciò,, prima installeremo e configureremo WiKID che tramite una connessione LDAP si connetterà al nostro Active Directory e autenticherà i token nell'Interfaccia Web con RADIUS, assegneremo/configureremo il token contro un utente del nostro dominio e apriremo una sessione Citrix. Commentare che WiKID è un prodotto a pagamento ma ha un prezzo molto basso, logicamente potremo utilizzare questo documento per configurare tramite token altri servizi.

Installazione e configurazione di WiKID,

Andiamo su Sito ufficiale, ci registriamo e scarichiamo WiKID Enterprise Server, podremos bajarlo en appliance virtual de VMware, o en una ISO para realizar una instalación limpia o directamente podremos instalarlo en una instalación que tengamos de un Linux mediante rpms.

En este caso yo realizaré una instalación nueva, la máquina no tiene por qué ser muy potente (1 CPU, 512Mb RAM, 2Gb HD, 1 NIC…), metemos el CD de instalación y arrancamos la máquina, para realizar una instalación nueva escribimos ‘install’.

Nos instalará una distribución CentOS 5.1, nos indicará que nos eliminará el contenido del disco duro, Confermare “Sì”,

y continuamos el proceso de instalación de forma normal…

Establecemos la zona horaria…

Bene, tras autenticarnos ya por fin como root debemos ejecutar “wikidctl setup”, para configurar la red.

“e” para configurar la red,

“e” per iniziare a configurare i parametri di rete,

Inseriamo il nome dell'host, l'indirizzo IP per la rete eth0 (o quello che abbiamo), La maschera di rete, Gateway, Server DNS… confermiamo che è corretto con “e”,

Compiliamo le seguenti questioni per il certificato dell'host, non configureremo una replicazione…

Non male, importante, per avviare i servizi di WiKID dovremo scrivere “wikidctl start”,

Ora da qualsiasi host della rete potremo gestire il server di autenticazione, precedentemente nel nostro server DNS avremo creato un'entrata “A” con il nome del WiKID contro il suo IP 🙂

Per accedere l'utente predefinito è: WiKIDAdmin e la password: 2Fattore, Clicca su “Accedi”,

Andiamo alla scheda “Configurazione” > “Crea una CA Intermedia” per creare una CA intermedia su questo host, requisito per continuare.

Completiamo le informazioni per generare un CSR per questo server, Clicca su “Genera”,

Dobbiamo indicare una Passphrase al certificato che servirà per garantire la coppia di chiavi, questa chiave sarà necessaria per avviare i servizi/demonii di WiKID! quindi è molto importante.

Una volta che abbiamo il CSR, lo copiamo. Clicchiamo sul link in alto (Protocollo HTTP://ca.wikidsystems.com/wikid/newcertreq.jsp)

Incolliamo il CSR & “Invia per elaborazione”,

Copiamo il certificato che ci è stato appena generato… poiché —–BEGIN CERTIFICATE fino a END CERTIFICATE—–

Incolliamo il certificato appena generato, inseriamo la Passphrase e clicchiamo su “Installa certificato intermedio”.

Ok, Perfetto, ora dobbiamo generare un certificato locale, Clicca su “Prossimo: Crea un certificato localhost”.

Creeremo un certificato localhost per consentire connessioni autorizzate e sicure con WiKID. Introducimos los datos de nuevo, necesitaremos una clave nueva para este certificado y tendremos que meter la Passphrase de la CA intermedia generada anteriormente. “Genera”!

Perfetto, tenemos que reiniciar los demonios de WiKID.

Abrimos una shell y ejecutamos “wikidctl restart”, nos pedirá la Passphrase…

Volvemos al interfaz web para configurarlo, Stiamo per “Domains” > “Create a New Domain”, para agregar el dominio contra el que autenticaremos a los usuarios.

Introduciamo il nome del dominio, cómo queremos verlo en el menú de opciones el resto lo dejamos por defecto. Tendremos que introducir el ‘Server Code’ que será la IP pública del dominio con formato de 12 caractéres rellenada con ‘0’ (ej para la 85.85.178.158: 085085178158). Clicca su “Creare”,

Perfetto.

Ahora configuramos los protocolos, Stiamo per “Configurazione” > “Enable Protocol Modules”,

Clicca su “Radius” para configurarlo y habilitarlo,

In principio la configurazione che porta è corretta, Così “Inizializzare”.

Ok,

Perciò riavviamo i servizi, ancora una volta da una shell 'wikidctl restart'.

Configuriamo ora la connessione LDAP, “Configurazione” > “LDAP”,

Inseriamo la chiave LDAP_wauth_pass per il client di rete e LDAP_wauth_server il codice di 12 cifre del dominio. “Abilita LDAP”,

Non male.

Riavviamo i servizi di nuovo per caricare l'ultima configurazione, 'wikidctl restart'.

Bene, ora finalmente registreremo un client che utilizzerà per validare utenti attraverso WiKID con token in modo sicuro. Stiamo per “Client di rete” > “Crea un nuovo client di rete”.

Diamo un nome significativo che ci associ a ciò che è, nel mio caso sarà per validare un'interfaccia web, forniamo il tuo indirizzo IP, indicamos el protocolo Radius y el dominio nuestro, Clicca su “Aggiungere”,

Creamos el ‘Shared Secret’ que tendremos que tener en cuenta cuando configuremos la conexión Radius en el Web Interface. “Add NC”,

Ok,

Bien ahora modificaremos un par de cosas para permitir que nuestros usuarios puedan añadirse ellos mismos a través de una URL y solicitar validación mediante Token.

Editamos en el servidor de autenticación con vi el fichero /opt/WiKID/tomcat/webapps/wikid/ADRegister.jsp

Completamos los siguientes parámetros:

directoryDomainSuffix = FQDN dominio
ldapURL = ldap://CONTROLADOR_DOMINIO_FQDN_DOMINIO:389
domainCode = Código 12 cifre del dominio.
wikidClientPass = la clave del certificado anterior.

Perfetto! ya hemos acabado de configurar WiKID!

Configuración de Citrix Web Interface para autenticación mediante Token,

En la consola de administración del Interfaz Web de Citrix, en el sitio web XenApp o en los servicios de XenApp (donde querramos esta autenticación) Scegliere “Métodos de autenticación”

Segno “Explícita” e stiamo per “Proprietà”,

En ‘Configuración de dos factores’ indicamos ‘RADIUS’, Accettare.

En el sitio predeterminado de la carpeta ‘conf’ de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenAppconf) creamos un fichero llamado ‘radius_secret.txt’ e introducimos el secreto que hemos configurado antes en RADIUS cómo Shared Secret.

Comprobamos que en el sitio predeterminado de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenApp) en el fichero ‘web.config’ tenemos las entradas configuradas:
RADIUS_SECRET_PATH al fichero que acabamos de configurar.
RADIUS_NAS_IDENTIFIER un identificador unico que identifique con WiKID, per esempio il tuo IP o il tuo nome.
RADIUS_NAS_IP_ADDRESS con l'IP del WiKID.

Con questo tutto pronto, ora non resta che provarlo!

Installazione del WiKID Token,

Questa sarà l'installazione del SoftToken o Token software (invece dei tradizionali hardware) chiamato wikidtoken, lo scarichiamo da Sito ufficiale di WiKID.

L'installazione è semplice, scegliamo una lingua & “OK”,

“Prossimo”,

“Prossimo”,

“Accetto i termini di questo accordo di licenza” & “Prossimo”,

Percorso di installazione predefinito '%ProgramFileswikidtoken’ & “Prossimo”,

“Prossimo” per iniziare l'installazione,

… Attendi qualche secondo…

“Prossimo”,

Se vogliamo icone di accesso rapido… “Prossimo”,

E finalmente “Donare”!

Con questo avremo il software del Token installato, Nient'altro.

Lo apriamo per la prima volta,

Ci verrà chiesta una password per sicurezza per aprirlo successivamente “Continuare”,

“Azioni” > “Creare Nuovo Dominio” per registrare il nostro dominio!

Introduciamo i 12 numeri del nostro dominio & “Continuare”,

Inseriamo un codice PIN per questo dominio, “Continuare”,

E ci darà un codice.

Dobbiamo inserire questo codice in WiKID con un account del directory attivo, per questo ciò che dobbiamo fare è aprire un browser e andare a “https://SERVIDOR_WiKID/wikid/ADRegister.jsp”, inseriamo le credenziali del nostro utente per validarlo contro LDAP e assegnargli quel codice. Clicca su “Autenticare”,

Inseriamo il codice di registrazione del Token & “Registro”,

Perfetto! Guillermo Puertas potrà già autenticarsi tramite Token perché è già registrato, certo che noi come amministratori potremo anche aggiungere manualmente gli account degli utenti in WiKID.

Uso del Token con Citrix Web Interface,

E infine non resta altro che provarlo!

Il processo abituale sarà che l'utente apra “WiKID Token Client”,

Meta la password che hai inserito per aprire il wikidtoken & “Continuare”,

Scegliamo il dominio che desideriamo & “Ottieni Password”,

Inseriamo il PIN che abbiamo associato al dominio & “Continuare”,

E questo ci darà il codice che quando vogliamo entrare nell'Interfaccia Web dobbiamo inserire!

Quindi quello che ho detto, Avere 60 secondi per validarci con quel codice, andiamo sul sito web di Citrix, inseriamo il nostro utente, parola d’ordine, (dominio), e il PASSCODE, Clicca su “Accedi” e siamo a posto.