Conclua o documento, veremos a instalação e configuração do WiKID para autenticação de dois fatores com um token de software em vez dos tradicionais de hardware (SoftToken) em relação a uma interface da Web 5.3 da Citrix. Para fazer isso,, primeiro vamos instalar e configurar o WiKID que através de uma conexão LDAP se conectará ao nosso Active Directory e autenticará os tokens na Interface Web com RADIUS, atribuir/configurar o token em relação a um usuário em nosso domínio e abrir uma sessão Citrix. WiKID é um produto pago, mas tem um preço muito baixo, Logicamente, podemos usar este documento para configurar outros serviços por tokenização.

Instalação e configuração do WiKID,

Vamos ao Website oficial, registramos e baixamos o WiKID Enterprise Server, poderemos baixá-lo no dispositivo virtual VMware, ou em um ISO para realizar uma instalação limpa ou podemos instalá-lo diretamente em uma instalação que temos de um Linux usando rpms.

Neste caso, realizarei uma nova instalação, A máquina não precisa ser muito potente (1 CPU, 512Mb RAM, 2Gb HD, 1 NIC…), inserimos o CD de instalação e iniciamos a máquina, Para realizar uma nova instalação, digitamos 'install'.

Ele instalará uma distribuição CentOS 5.1, Ele nos dirá que excluirá o conteúdo do disco rígido, Confirmar “Sim”,

e continue o processo de instalação normalmente…

Definimos o fuso horário…

Poço, Depois de finalmente autenticar como root, devemos executar “Configuração do Wikidctl”, Para configurar a rede.

“e” Para configurar a rede,

“e” Para começar a definir as configurações de rede,

Digite o nome da equipe, o endereço IP da rede eth0 (ou o que quer que tenhamos), A máscara de rede, Porta, Servidores DNS… Confirmamos que está correto com “e”,

Preenchemos as seguintes perguntas para o certificado de equipamento, Não configuraremos uma replicação…

Nada mau, importante, para iniciar os serviços WiKID, teremos que escrever “início do wikidctl”,

Agora, de qualquer computador na rede, podemos gerenciar o servidor de autenticação, anteriormente em nosso servidor DNS, teremos registrado uma entrada “Para” com o nome WiKID contra o seu IP 🙂

Para inserir o usuário padrão é: WiKIDAdmin e senha: 2Fator, Clique em “Iniciar sessão”,

Vamos para a guia “Configuração” > “Criar uma autoridade de certificação intermediária” para criar uma CA intermediária neste host, Requisito para continuar.

Preenchemos as informações para gerar um CSR para este servidor, Clique em “Gerar”,

Devemos indicar uma senha para o certificado que será para proteger o par de chaves, esta chave será a necessária para iniciar os serviços/daemons WiKID! Portanto, é muito importante.

Assim que tivermos o CSR, Nós copiamos. Clique no link acima (Referências HTTP://ca.wikidsystems.com/wikid/newcertreq.jsp)

Colamos o CSR & “Enviar para processamento”,

Copiamos o certificado que acabou de ser gerado para nós… desde —–BEGIN CERTIFICATE para END CERTIFICATE—–

Colamos o certificado recém-gerado, digite a senha e clique em “Instalar certificado intermediário”.

Okey, perfeito, Agora precisamos gerar um certificado local, Clique em “Próximo: Criar um certificado localhost”.

Vamos criar um certificado localhost para habilitar conexões autoritativas e seguras com o WiKID. Inserimos os dados novamente, precisaremos de uma nova chave para este certificado e teremos que inserir a senha da CA intermediária gerada anteriormente. “Gerar”!

Perfeito, Temos que reiniciar os daemons WiKID.

Abrimos um shell e executamos “reinício do wikidctl”, ele nos pedirá a senha…

Voltamos à interface da web para configurá-la, Nós vamos “Domínios” > “Criar um novo domínio”, para adicionar o domínio no qual autenticaremos os usuários.

Digite o nome de domínio, Como queremos ver no menu de opções, o resto deixamos por padrão. Teremos que inserir o 'Código do Servidor'’ que será o IP público do domínio no formato de 12 personagens preenchidos com ‘0’ (por exemplo, para o 85.85.178.158: 085085178158). Clique em “Criar”,

Perfeito.

Agora configuramos os protocolos, Nós vamos “Configuração” > “Habilitar módulos de protocolo”,

Clique em “RAIO” para configurá-lo e habilitá-lo,

Em princípio, a configuração que vem com ela está correta, Então “Inicializar”.

Okey,

Bem, reiniciamos os serviços, Novamente a partir de um shell 'wikidctl restart'.

Agora configuramos a conexão LDAP, “Configuração” > “LDAP”,

Insira a chave LDAP_wauth_pass para o cliente de rede e LDAP_wauth_server o 12 Dígitos do domínio. “Ativar LDAP”,

Nada mau.

Reiniciamos os serviços novamente para carregar a última configuração, 'reinicialização do wikidctl'.

Bem, agora vamos finalmente registrar um cliente que será usado para validar usuários através do WiKID com tokens de forma segura. Nós vamos “Clientes de rede” > “Criar um novo cliente de rede”.

Damos a ele um nome significativo que nos associa ao que é, no meu caso será para validar uma interface web, fornecemos seu endereço IP, indicamos o protocolo Radius e nosso domínio, Clique em “Adicionar”,

Criamos o 'Segredo Compartilhado'’ que teremos que levar em consideração ao configurar a conexão Radius na interface da Web. “Adicionar NC”,

Okey,

Ok, agora vamos ajustar algumas coisas para permitir que nossos usuários se adicionem por meio de uma URL e solicitem validação via Token.

Editamos en el servidor de autenticación con vi el fichero /opt/WiKID/tomcat/webapps/wikid/ADRegister.jsp

Completamos los siguientes parámetros:

directoryDomainSuffix = FQDN dominio
ldapURL = ldap://CONTROLADOR_DOMINIO_FQDN_DOMINIO:389
domainCode = Código 12 Dígitos do domínio.
wikidClientPass = la clave del certificado anterior.

Perfeito! ya hemos acabado de configurar WiKID!

Configuración de Citrix Web Interface para autenticación mediante Token,

En la consola de administración del Interfaz Web de Citrix, en el sitio web XenApp o en los servicios de XenApp (donde querramos esta autenticación) escogemos “Métodos de autenticación”

Assinalar “Explícita” y vamos a “Propriedades”,

En ‘Configuración de dos factores’ indicamos ‘RADIUS’, Aceitar.

En el sitio predeterminado de la carpeta ‘conf’ de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenAppconf) creamos un fichero llamado ‘radius_secret.txt’ e introducimos el secreto que hemos configurado antes en RADIUS cómo Shared Secret.

Comprobamos que en el sitio predeterminado de nuestro sitio web (por defecto C:inetpubwwwrootCitrixXenApp) en el fichero ‘web.config’ tenemos las entradas configuradas:
RADIUS_SECRET_PATH al fichero que acabamos de configurar.
RADIUS_NAS_IDENTIFIER un identificador unico que identifique con WiKID, por ejemplo su IP o su nombre.
RADIUS_NAS_IP_ADDRESS con la IP del WiKID.

Com isso tudo pronto, ahora sólo queda probarlo!

Instalación de WiKID Token,

Esta será la instalación del SoftToken o Token por software (en vez de los tradicionales por hardware) llamado wikidtoken, nos lo bajamos de la Website oficial de WiKID.

La instalación es simple, escogemos un idioma & “OKEY”,

“Próximo”,

“Próximo”,

“I accept the terms of this license agreement” & “Próximo”,

Path de instalación por defecto ‘%ProgramFileswikidtoken’ & “Próximo”,

“Próximo” para iniciar a instalação,

… Aguarde alguns segundos…

“Próximo”,

Si queremos iconos de acceso directo… “Próximo”,

Y por fín “Done”!

Con esto tendremos el software del Token instalado, Nada mais.

Lo abrimos por primera vez,

Nos pedirá una contraseña por seguridad para abrirlo posteriormente “Continuar”,

“Ações” > “Crear Nuevo Dominio” para dar de alta nuestro dominio!

Introducimos los 12 dígitos del dominio nuestro & “Continuar”,

Metemos un código PIN para este dominio, “Continuar”,

Y nos dará un código.

Tenemos que introducir este código en WiKID con una cuenta del directorio activo, para ello lo que tenemis que hacer es abrir un navegador e ir a “https (em inglês)://SERVIDOR_WiKID/wikid/ADRegister.jsp”, introducimos los credenciales de nuestro usuario para validarlo contra LDAP y asignarle ese código. Clique em “Authenticate”,

Introducimos el código del registro del Token & “Registro”,

perfeito! Guillermo Puertas ya podrá autenticarse mediante Token pq ya está registrado, claro que nosotros como administradores también podremos agregar manualmente las cuentas de usuario en WiKID.

Uso de Token con Citrix Web Interface,

Y ya finalmente no queda más que probarlo!

El proceso habitual será que el usuario abra “WiKID Token Client”,

Meta la contraseña que haya puesto para abrir el wikidtoken & “Continuar”,

Elegimos el dominio que querramos & “Obtener Contraseña”,

Metemos el PIN que hemos asociado al dominio & “Continuar”,

Y esto nos dará el código que cuando querramos entrar en el Web Interfaz tengamos que introducir!

Então o que eu disse, Ter 60 segundos para validarnos con ese código, vamos al sitio web de Citrix, introducimos nuestro usuario, senha, (dominio), y el PASSCODE, Clique em “Iniciar sesión” y ya estaría.