Aktivieren der Zwei-Faktor-Authentisierung mit SMS2 (kostenlos) y NetScaler-Gateway

In diesem Beitrag werden wir sehen, etwas Märchenhaftes, mal sehen, wie 2FA oder Zwei-Faktor-Authentifizierung NetScaler-Gateway ermöglichen, zwingt Benutzer ein zusätzliches Token für Corporate Zugriff auf die Organisation zu verwenden. Wir verwenden SMS2 ist ein kostenloses Tool, RADIUS bestätigen, dass Benutzertoken, benutzen wir Software Google Authenticator-App durch auf mobilen Token, eine Vergangenheit!

 

ich sagte:, wir werden auf TOTP Algorithmus bauen (Zeitbasierte Passwort Einmaliger), oder Einweg- Passwort basierend auf Zeit, Diese Codes werden in der Regel alle aktualisiert 30 Sekunden. Auf mobilen Geräten können Mitarbeiter eingesetzt werden (zum Beispiel) Google Authenticator und jedes Mal, wenn sie Zugriff auf die Website extern Citrix, die präsentieren ihre Anwendungen oder Desktops, als eine zusätzliche Faktor-Authentisierung, eine weitere Sicherheitsstufe Zugang zu verhindern, selbst das Kennwort des Benutzers kennen. in letzter Zeit, wir wissen,, zunehmend stiehlt Passwörter, Also, worauf warten Sie noch etwas anderes securize Ihrer Umgebung, um zu versuchen?

 

NPS-Konfiguration,

Wir haben die Rolle des Servers oder NPS Network Policy (Network Policy Server) installiert und konfiguriert RADIUS-Abfragen zu ermöglichen,.

 

installieren “Und Access Services Network Policy” und seine Eigenschaften, entweder durch GUI oder Power:

Install-WindowsFeature -Name npas

 

Wir öffnen die Konsole “Network Policy Server. Das erste, was wir betrachten in werden “Netzwerkrichtlinien-” gehen Sie zu den Eigenschaften der Richtlinie “Verbindungen zu anderen Zugangsserver”,

 

wählen “Zugriff gewähren” und markieren “Überspringen Wähleigenschaften Benutzerkonto”,

 

Jetzt müssen wir alle RADIUS-Clients gewinnen, dh alle Maschinen, die Anfragen machen, im Prinzip um die Maschine zu schaffen, in dem wir die Rolle installiert (für zukünftige Tests) und NetScaler IP-Subnetz im Wert von uns, da die NetScaler werden Konsultationen mit dem Adapter NPS. deshalb, in “clientes RADIUS” > “neu”,

 

Geben Sie den Hostnamen und IP-Adresse verwendet, Konsultationen zu ermöglichen, auch zeigen wir ein Geheimnis verwenden wir für die Authentifizierung.

 

Und wir erstellt alle Teams, ich sagte:, die IP der Maschinen, die Konsultationen genügt, Während wir vor Ort für die Prüfung und NetScaler IP-Adresse SNIP.

 

Installation und Konfiguration SMS2,

Wright SMS2 die Anwendung sein, damit wir diese 2FA verwenden, wir können es auf einem oder mehreren Computern installieren, in der Regel von den NPS, oder ein DC. Dieses Dienstprogramm ist kostenlos und auf seiner Website: http://www.wrightccs.com/support/download/

 

Wir beginnen mit der Installation, “Nächster”,

 

wählen “Brauch”,

 

Und wir den Teil von CloudSMS entfernen und sicherstellen, dass alle Kunden installieren, oder zumindest die Art, die uns interessiert, “Nächster”,

 

klicken Sie auf “konfigurieren AuthEngine”,

 

Wir stellen kostenlose Lizenz, die uns, zumindest bis Dezember 2022, wir können es herunterladen hier oder mit dem gleichen:

<?xml version="1.0" encoding="utf-8"?>
<LicenseXml>
<AuthEngine>zslx2mEqlV+d7mf0FtgVW5+L1vUTXAE8wOvs3fxXwTQ=</AuthEngine>
</LicenseXml>

 

Lokales Systemkonto Urlaub für Service AuthEngine, “Nächster”,

 

Geben Sie die AuthEngine, dass jede IP-Adressen (0.0.0.0) über Port 9060. Wir zeigen den FQDN unserer LDAP-Server oder Domänencontroller, zeigt spezifisches Benutzerkonto, das für die RADIUS-Abfragen verwendet werden, in meinem Fall der Anruf “usuario_radius”, AD geben Sie Ihr Passwort ein und zeigen, was die Basis-DN, die wir als Filter verwenden, wird für Benutzer zu suchen. “Nächster”,

 

Wir brauchen einen SQL-Server irgendwo, geben Sie Ihren Namen und die Instanz, puerto, SQL User oder wenn wir verwenden integrierte Authentifizierung, und der Name der Datenbank, die generiert. “Nächster”,

 

Wir können hier die E-Mail-Server für E-Mail-Benachrichtigungen einrichten oder wenn wir das Token per Post wollen, Es ist nicht unser Fall, können wir vermeiden, “Fertig”.

 

Wir folgen den Installationsassistenten, Klicken Sie nun auf “konfigurieren OATHCalc”,

 

Lokales Systemkonto Urlaub für Service OathCalc, “Nächster”,

 

Wir verlassen die Standardwerte, “Fertig”,

 

weiter geht es, Lassen Sie uns jetzt “Konfigurieren AdminGUI / Clients”,

 

Geben Sie die lokale IP-Adresse des Servers, mit dem bieten den Service und Hafen 9060, “Fertig”.

 

Und wir können mit dem Assistenten weiter, “Nächster”,

 

Wie darauf hinweist, dass alle Kunden installieren und das bringt auch veraltete Dateien Webinterface, wir können angeben, wo wir lassen wollen. Diese Dateien werden sie grundsätzlich nicht verwenden. “Nächster”,

 

und schließlich, klicken Sie auf “Installieren” beginnen SMS2 Installation,

 

… Wir warteten ein paar Sekunden…

 

“Fertig”, Die korrekte Installation!

 

Wir müssen die Konfigurationsdatei bearbeiten, Standardmäßig befindet sich in “%Programfiles% WrithCCS2 Einstellungen Configuration.xml”. Normalerweise werden die folgenden Änderungen, “AuthEngineChallengeResponse” wir verlassen “Falsch” die Verwendung von Google Authenticator, zusätzlich “AuthProviders” deaktivieren wir sie alle und aktiviert und Standard OATHCalc verlassen, sein:

<Name>CloudSMS</Name>
...
<Enabled>false</Enabled>
<Default>false</Default>
...
<Name>OATHCalc</Name>
...
<Enabled>true</Enabled>
<Default>true</Default>
...
<Name>PINTAN</Name>
...
<Enabled>false</Enabled>
<Default>false</Default>
...
<Name>Email</Name>
...
<Enabled>false</Enabled>
<Default>false</Default>
...
<Name>Static</Name>
...
<Enabled>true</Enabled>
<Default>false</Default>
...

 

folgende Änderungen, Speichern Sie die Datei und starten Sie Dienste “Wright AuthEngine” und “Wright OATHCalc”.

 

Beweis SMS2

Und wir können die SMS2 Administrationskonsole öffnen. aufpassen! dass, um die Konsole zu öffnen muss eine Gruppe sein, genannt “Administratoren” Ordner auf dem Built-In Active Directory unsere, Wenn es keine Gruppe (Active Directories in Spanisch ist Administratoren genannt) oder du bist kein Mitglied davon, Sie werden nicht alle Benutzer sehen. Das erste, was wir tun, ist zu “usuario_radius” stellt ein statisches numerischen Zeichen (Taipei 123456) Um zu testen, unten. vorher, wählen Sie den Benutzer aus und klicken Sie auf “Authentifizierungsoptionen”,

 

Tab “Auth-Optionen” Presse “Statisch” und wir setzen den numerischen Zeichen, die uns gefällt, so werden wir Dokumente benötigen. “Konfiguration speichern”. und dann “Kontoinformationen aktualisieren” Änderungen in dem spezifischen Benutzer aufzeichnen.

 

gut, wir werden prüfen, ob SMS2 ordnungsgemäß funktioniert, für sie, wir können NTRadPing unburden 1.5, der es ein Dienstprogramm zum Testen RADIUS, wir können es herunterladen: https://thwack.solarwinds.com/thread/14486. Dieser Test wird von einer der Maschinen haben wir unsere Server NPS entladen, RADIUS-Clients in, Wenn Sie sich erinnern haben wir ein Geheimnis dann, Was wir jetzt brauchen.

deshalb, einmal heruntergeladen, Wir führen Sie es aus und geben Sie die IP-Adresse des RADIUS-Servers und Port 1812, in “Radius Geheimschlüssel” Wir zeigen das Geheimnis, dass wir den RADIUS-Client verwenden definieren, geben Sie den Benutzernamen “usuario_radius” und “Passwort” Token müssen die Nummer nur setzte ihn im vorherigen Schritt zeigen. klicken Sie auf “Senden” und wenn alles gut gegangen ist, Wir sehen, dass ordnungsgemäß validierte Authentifizierung.

 

Konfigurieren von NetScaler,

Obwohl ich die minimalen Schritten verlassen, wo wir Authentifizierungsrichtlinien erstellen wir für unsere NetScaler-Gateway anwenden, Dieser Prozess könnte länger sein, wie es wird empfohlen, von hier aus mit Load Balancing und geben Sie den RADIUS-Dienst zu überwachen, obviaré schafft somit den Monitor, Dienstleistungen, Server und virtuelle Server LB für den RADIUS-Dienst. Sie gehen direkt an die Richtlinien zu erstellen und sie auf das Gateway,

 

Wir geben hohe zunächst auf dem RADIUS-Server, von “Citrix-Gateway” > “Richtlinien” > “Authentifizierung” > “RADIUS” > “Server > “Hinzufügen”, gibt die IP-Adresse des RADIUS-Servers und Port 1812, und die Geheimhaltung, die wir verwenden, wenn wir hohe NetScaler IP-Subnetz in der NPS gab. Wir können geben “Test RADIUS Erreichbarkeits” zu testen Validierung, sollte gehen ok, klicken Sie auf “Erstellen”,

 

Lassen Sie uns jetzt die Erstellung von Richtlinien RADIUS, von “Citrix-Gateway” > “Richtlinien” > “Authentifizierung” > “RADIUS” > “Richtlinien” > “Hinzufügen”, Wir schaffen eine Richtlinie für Geräte mit Citrix Receiver, verbinden wir die neu erstellte RADIUS-Server und geben Sie den folgenden Ausdruck:

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver

 

Wir schaffen eine andere für Geräte, die Empfänger nicht verwenden (o Arbeitsbereich), mit dem folgenden Ausdruck:

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver

Das Gleiche gilt für LDAP, schaffen zwei gleiche politische, ein für den Zugriff auf Citrix Receiver-Geräte, von “Citrix-Gateway” > “Richtlinien” > “Authentifizierung” > “LDAP” > “Richtlinien” > “Hinzufügen”, mit dem folgenden Ausdruck:

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver

Und gerade die neueste Richtlinie für Geräte, den Empfänger nicht verwenden,

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver

 

Und jetzt werden wir auf unserem virtuellen Server Gateway gehen und NetScaler wird verlinken, erzeugen primäre und sekundäre Authentifizierungen, die Nutzer gerecht zu werden, die uns verbinden, Primärer Urlaub als Priorität 100 la Politica LDAP Sin Receiver, und Priorität 90 RADIUS Politik Empfänger; als sekundäre Authentifizierungen, Wir verwenden das Gegenteil, nämlich, Priorität 100 RADIUS Politik Sin Empfänger, und Priorität 90 LDAP-Richtlinie Empfänger.

 

Wir müssen die Politik Sitzung ändern, die bereits existieren und wird in unserem virtuellen Server Gateway implementiert werden, in meinem Fall des Standard ‚AC_OS_X.X.X.X‘, dort, Tab “Client Experience”, in “Credential Index” Wir müssen zeigen, “NEBEN”. Und stellen Sie sicher, dass die anderen Sitzungspolitik (auch bereits vorhanden), in diesem Fall der ‚AC_WB_X.X.X.X’ Vereinigte Staaten von Amerika “NEBEN”, das geschieht durch Standard.

 

Im NetScaler-Gateway, so sicher, dass wir wissen und implementiert ein Corporate Thema, und wenn Sie nicht getan haben, sollten Sie geben ein persönliches und freundliches Bild an den Benutzer, Überprüfung es ist Post wenn Sie brauchen. Nun, ich sagte, wir können den Text von Textfelder anpassen, die Benutzer sehen, zum Beispiel auf dem Gebiet, um anzuzeigen, 2 nicht fragen “Kennwort 2” der Benutzer, wenn nicht “Zeichen” und assimilieren, also besser, was für ein Passwort und was für ein Token. Dies wird gesagt,, werden wir in unserem virtuellen Server, Abschnitt Thema, wenn sie gedrückt können wir das hinzufügen “Loginseite” und passen Sie diese Felder mit einer besseren Text.

 

Tokens ermöglicht Benutzern zu Active Directory,

Zurück zu SMS2, es ist Zeit, dies zu versuchen,! Lassen Sie uns einen Benutzer gewinnen!

 

Nun müssen wir die Benutzer auswählen, die wir Authentifizierung 2FA aktivieren möchten, für sie, öffnen ” SMS2 Administration Console”, über jeden Benutzer, die uns interessiert, wählen Sie es und wir werden “Authentifizierungsoptionen”,

 

wir ermöglichen “OATHCalc”, zeigen, dass die Art TOTP Token verwenden, in Authenticator können wir sagen Ihnen direkt Google Authenticator und klicken Sie auf die Verwendung “Generieren Shared Secret”, wird uns können Ihr Konto ein Geheimnis oder einen QR-Code geben, dass wir die Benutzer von Ihrem Mobilgerät senden registrieren.

 

Jetzt endlich, mit einem mobilen Hand, Google Authenticator-App installiert und hinzugefügt, um das Konto des QR-Code mit, Dieser Benutzer konnte bereits den Zugriff auf ihr Citrix-Portal und einen Teil Benutzername und Passwort angeben, Sie müssen die temporäre Token Sie nur von diesem Mobilgerät angeben. Gepanzerte Eingang zu unserem Unternehmen! Eine!

 

Letzte Artikel von Hector Herrero (Alle anzeigen)