完成此文档, 我们将看到 WiKID 的安装和配置，以使用软件令牌而不是传统的硬件令牌进行双因素身份验证 (软令牌) 针对 Web 界面 5.3 来自 Citrix. 为此，, 首先，我们将安装并配置 WiKID，该 WiKID 将通过 LDAP 连接连接到我们的 Active Directory，并使用 RADIUS 对 Web 界面中的令牌进行身份验证, 针对域中的用户分配/配置令牌并打开 Citrix 会话. WiKID 是付费产品，但价格非常低, 从逻辑上讲，我们可以使用本文档通过分词来配置其他服务.

WiKID的安装和配置,

我们访问 官方网站, 注册并下载WiKID企业服务器, 我们可以下载VMware虚拟设备版本, 或下载ISO文件以进行全新安装，或者直接通过RPM在已有的Linux系统上安装.

在本例中，我将进行新的安装, 计算机不需要非常高配置 (1 中央处理器, 512MB 内存, 2GB硬盘, 1 网卡…), 插入安装光盘并启动计算机, 要进行新的安装，输入‘install’.

它将安装一个CentOS发行版 5.1, 将提示我们硬盘内容将被清空, 确认 “是的”,

然后我们按正常流程继续安装…

设置时区…

井, 要最终以 root 身份进行认证，我们必须执行 “wikidctl setup”, 以配置网络.

“和” 以配置网络,

“和” 以开始配置网络参数,

输入主机名, eth0 网络的 IP 地址 (或我们已有的地址), 网络掩码, 网关, DNS 服务器… 确认其正确性，使用 “和”,

完成以下有关主机证书的问题, 我们不会配置复制…

不错, 重要, 要启动 WiKID 服务，我们必须输入 “wikidctl start”,

现在，从网络中的任何一台设备都可以管理认证服务器, 之前在我们的 DNS 服务器上，我们已经创建了一个条目 “自” 使用 WiKID 的名称对应其 IP 🙂

默认用户登录是: WiKIDAdmin，密码是: 2Factor, 点击 “登录”,

让我们转到选项卡 “配置” > “创建一个中级证书颁发机构 (Intermediate CA)” 在此主机上创建中间CA, 继续所需条件.

我们填写信息以为此服务器生成CSR, 点击 “生成”,

我们需要为证书设置一个密码短语，这将用于保护密钥对, 此密钥将用于启动WiKID的服务/守护进程! 因此非常重要.

一旦我们有了CSR, 我们复制它. 点击上方链接 (HTTP 协议://ca.wikidsystems.com/wikid/newcertreq.jsp)

粘贴CSR & “提交处理”,

复制刚生成的证书… 因为 —–从BEGIN CERTIFICATE到END CERTIFICATE—–

粘贴刚生成的证书, 输入密码短语并点击 “安装中间证书”.

还行, 完善, 现在我们需要生成本地证书, 点击 “下一个: 创建本地主机证书”.

Vamos a crear un certificado localhost para permitir conexiones autorizadas y seguras con WiKID. Introducimos los datos de nuevo, necesitaremos una clave nueva para este certificado y tendremos que meter la Passphrase de la CA intermedia generada anteriormente. “生成”!

完善, tenemos que reiniciar los demonios de WiKID.

Abrimos una shell y ejecutamos “wikidctl restart”, nos pedirá la Passphrase…

Volvemos al interfaz web para configurarlo, 我们将 “域” > “Create a New Domain”, para agregar el dominio contra el que autenticaremos a los usuarios.

输入域名, cómo queremos verlo en el menú de opciones el resto lo dejamos por defecto. Tendremos que introducir el ‘Server Code’ que será la IP pública del dominio con formato de 12 caractéres rellenada con ‘0’ (ej para la 85.85.178.158: 085085178158). 点击 “创造”,

完善.

Ahora configuramos los protocolos, 我们将 “配置” > “Enable Protocol Modules”,

点击 “半径” para configurarlo y habilitarlo,

En principio con la configuración que trae es correcta, 所以 “Initialize”.

还行,

Pues reiniciamos los servicios, otra vez desde una shell ‘wikidctl restart’.

Configuramos ahora la conexión LDAP, “配置” > “LDAP 协议”,

Introducimos la clave LDAP_wauth_pass para el cliente de red y LDAP_wauth_server el código de 12 dígitos del dominio. “Enable LDAP”,

不错.

Reiniciamos los servicios de nuevo para cargar la última configuración, ‘wikidctl restart’.

Bueno ahora por fin daremos de alta un cliente que usará para validar usuarios a través de WiKID con tokens de forma segura. 我们将 “Network Clients” > “Create a new network client”.

Le ponemos un nombre significativo que nos asocie para lo que es, en mi caso será para validar un Web Interface, 我们提供您的 IP 地址, indicamos el protocolo Radius y el dominio nuestro, 点击 “加”,

Creamos el ‘Shared Secret’ que tendremos que tener en cuenta cuando configuremos la conexión Radius en el Web Interface. “Add NC”,

还行,

Bien ahora modificaremos un par de cosas para permitir que nuestros usuarios puedan añadirse ellos mismos a través de una URL y solicitar validación mediante Token.

Editamos en el servidor de autenticación con vi el fichero /opt/WiKID/tomcat/webapps/wikid/ADRegister.jsp

Completamos los siguientes parámetros:

directoryDomainSuffix = FQDN dominio
ldapURL = ldap://CONTROLADOR_DOMINIO_FQDN_DOMINIO:389
domainCode = Código 12 dígitos del dominio.
wikidClientPass = la clave del certificado anterior.

完善! ya hemos acabado de configurar WiKID!

Citrix Web 界面通过令牌进行身份验证的配置,

在 Citrix Web 界面管理控制台中, 在 XenApp 网站或 XenApp 服务中 (我们希望启用此身份验证的地方) 选择 “身份验证方法”

马克 “显式” 我们将 “性能”,

在‘双因素配置’中’ 选择‘RADIUS’, 接受.

在网站默认的‘conf’文件夹中’ 我们的网站中 (默认路径 C:inetpubwwwrootCitrixXenAppconf) 创建一个名为‘radius_secret.txt’的文件’ 输入之前在 RADIUS 中配置的共享密钥作为 Secret.

检查在我们网站的默认网站中 (默认路径 C:inetpubwwwrootCitrixXenApp) 在‘web.config’文件中’ 配置是否已正确设置:
RADIUS_SECRET_PATH al fichero que acabamos de configurar.
RADIUS_NAS_IDENTIFIER un identificador unico que identifique con WiKID, por ejemplo su IP o su nombre.
RADIUS_NAS_IP_ADDRESS con la IP del WiKID.

一切准备就绪, ahora sólo queda probarlo!

Instalación de WiKID Token,

Esta será la instalación del SoftToken o Token por software (en vez de los tradicionales por hardware) llamado wikidtoken, nos lo bajamos de la 官方网站 de WiKID.

安装简单, escogemos un idioma & “还行”,

“下一个”,

“下一个”,

“I accept the terms of this license agreement” & “下一个”,

Path de instalación por defecto ‘%ProgramFileswikidtoken’ & “下一个”,

“下一个” 开始安装,

… 等待几秒钟…

“下一个”,

Si queremos iconos de acceso directo… “下一个”,

Y por fín “捐”!

Con esto tendremos el software del Token instalado, 没有别的了.

Lo abrimos por primera vez,

Nos pedirá una contraseña por seguridad para abrirlo posteriormente “继续”,

“行动” > “Crear Nuevo Dominio” para dar de alta nuestro dominio!

Introducimos los 12 dígitos del dominio nuestro & “继续”,

Metemos un código PIN para este dominio, “继续”,

Y nos dará un código.

Tenemos que introducir este código en WiKID con una cuenta del directorio activo, para ello lo que tenemis que hacer es abrir un navegador e ir a “https://SERVIDOR_WiKID/wikid/ADRegister.jsp”, introducimos los credenciales de nuestro usuario para validarlo contra LDAP y asignarle ese código. 点击 “Authenticate”,

Introducimos el código del registro del Token & “注册”,

完善! Guillermo Puertas ya podrá autenticarse mediante Token pq ya está registrado, claro que nosotros como administradores también podremos agregar manualmente las cuentas de usuario en WiKID.

Uso de Token con Citrix Web Interface,

Y ya finalmente no queda más que probarlo!

El proceso habitual será que el usuario abra “WiKID Token Client”,

Meta la contraseña que haya puesto para abrir el wikidtoken & “继续”,

Elegimos el dominio que querramos & “Obtener Contraseña”,

Metemos el PIN que hemos asociado al dominio & “继续”,

Y esto nos dará el código que cuando querramos entrar en el Web Interfaz tengamos que introducir!

所以我说的, 有 60 segundos para validarnos con ese código, vamos al sitio web de Citrix, introducimos nuestro usuario, contraseña, (dominio), y el PASSCODE, 点击 “登录” y ya estaría.