Permitiendo autenticación de doble factor con SMS2 (gratuito) y NetScaler Gateway

En este post vamos a ver algo fabuloso, vamos a ver cómo habilitar 2FA o doble factor de autenticación en NetScaler Gateway, obligando a los usuarios a utilizar un Token adicional para el acceso corporativo a la organización. Usaremos SMS2 que es una herramienta gratuita, que mediante RADIUS validará los tokens de los usuarios, usaremos tokens de software mediante la app Google Authenticator en los móviles, una pasada!

Instalando y configurando WiKID para acceder a Citrix Web Interface con token (de software!)

Documento completito este, veremos la instalación y configuración de WiKID para autenticación de doble factor con un token de software en vez de los tradicionales de hardware (SoftToken) contra un Web Interface 5.3 de Citrix. Para ello, primero instalaremos y configuraremos WiKID que mediante una conexion LDAP se conectará a nuestro Directorio Activo y autenticará los token en el Web Interface con RADIUS, asignaremos/configuraremos el token contra un usuario de nuestro dominio y abriremos una sesión Citrix. Comentar que WiKID es un producto de pago pero tiene un precio muy bajo, lógicamente podremos utilizar este documento para configurar mediante token otros servicios.

Conexión al Directorio Activo con Citrix Access Gateway usando RADIUS

Si en vez de usar usar usuarios locales con Citrix Access Gateway lo que queremos es aprovechar nuestro Directorio Activo de Windows, nuestros usuarios del dominio para validarnos a la hora de conectarnos desde el exterior, debemos instalar en un servidor de nuestra red el servicio de IAS (Servicio de autenticación de Internet), configurarlo e indicar en el CAG que sea así. Ojo si el CAG está en la DMZ necesitamos mapear los puertos de RADIUS al servidor IAS, que son el 1812 y el 1813, tcp ambos.