Aquest post m'agrada molt, en el document d'avui veurem com podem fer que els nostres volguts i amats usuaris accedeixin a NetScalet Gateway a través dels seus propis certificats SSL i no de la manera tradicional; fent-lo més àgil i amb un Smart card (USB o NFC) entraran més segurs.

Així que continuant aquesta sèrie de publicacions sobre el muntatge d'una VPN a través de NetScaler Gateway, avui farem que l'accés a l'entorn sigui mitjançant certificats personals que haurem generat prèviament al nostre Directori Actiu, així com distribuïts als nostres usuaris en format físic o digital.

Aquest post està estructurat de la manera següent:

• Configuració a NetScaler per requerir certificats en el logon
  • Creant el perfil d'Autenticació CERT
  • Creant la política d'Autenticació CERT
  • Vinculant la política a NetScaler Gateway
• Provant
• Simulador de Smart Card

Configuració a NetScaler per requerir certificats en el logon

Creant el perfil d'Autenticació CERT

Creem el perfil d'autenticació per requerir certificats des de, “Citrix Gateway” > “Policies” > “Authentication” > “CERT” > “Perfils” > “Add”, Li indiquem un nom i escollim l'atribut amb el camp del nom de l'usuari, “Create”,

Creant la política d'Autenticació CERT

Creamos ahora la política y lo vinculamos con el perfíl recién creado, des de “Citrix Gateway” > “Policies” > “Authentication” > “CERT” > “Policies” > “Add”, indicando un nombre y la expresión ‘ns_true’. “Create”,

Vinculant la política a NetScaler Gateway

En el Virtual Server del NetScaler Gateway se le bindea el certificado de la CA de la organización (si no lo tenemos hecho ya),

En el Virtual Server del Gateway en “Basic Authentication” debemos añadirle una nueva, Seleccionamos una política de tipo ‘CERTIFICATE’ del tipo ‘Primary’ i posem en “Continue”,

Seleccionamos la política anteriormente creada y pulsamos en “Bind”,

Quedando ya asociada ‘1 Cert Policy’, posem en “Done”.

Per cert, tener en cuenta en el servidor LDAP el ‘Server Logon Name Attribute’ ya que por defecto es ‘sAMAccountName’ y eso sería algo como hector.herrero y no me permitiría loguearme como ‘he************@**********es.local‘ que es como aparece el usuario que se emite en los certificados.

Provant

Abrimos de nuevo el sitio web de Citrix NetScaler Gateway, si no disponemos de nuestro certificado no podremos loguearnos.

En cambio si tenemos nuestra tarjeta inteligente o smart card o certificado instalado, al entrar a la web de Citrix NetScaler Gateway ya nos pedirá el PIN para acceder a nuestro certificado y nos mostrará el portal web cargando…

Posteriormente lanzará Secure Access y pedirá el PIN…

Y pedirá la contraseña, el usuario lo cogerá del certificado y no se podrá modificar. Esto nos pasa por tener todavía vinculada la política de LDAP.

Y tras introducir los credenciales podremos acceder como es habitual!

Simulador de Smart Card

Esta parte final hablaremos de cómo generar un certificado de usuario y de cómo si no tenemos un Smart Card reader USB podemos simularlo con un software. En un documento previo, ya vimos cómo se pueden generar certificados para los usuarios de nuestro Directorio Activo, puedes seguir esos pasos. O estos usando un software simulador llamado EIDVirtual Smart Card, para usar en MVs y LABs puede venir bien, tenim 30 días de trial y se puede descargar de aquí.

Instalamos el software, que no tiene mucho misterio y después lanzamos el asistente de configuración. Enchufamos un pendrive USB y lo usará para él, indicamos nuestra letra del pendrive y un PIN, lo formateará para esto. Podremos guardar luego certificados en él 😉 “Format”,

“Sí”,

És normal, no detecta la tarjeta, hi ha que despinchar el pendrive i tornar a llençar-lo…

Llist, lo detecta, Acceptar!

Ara sí que carregues el Smart Card Manager, que serveix per gestionar aquest pendrive, o sea esta SmartCard, i instal·larà els certificats, podem importar-los… obre la utilitat com administrador si anem a importar PFX. Si volem sol·licitar des d'aquí al AD un certificat per a l'usuari amb el que estem llogats, Le damos a Request.

Introducimos el PIN de la tarjeta,

Seleccionamos la CA de nuestro AD & Acceptar,

Y listo certificat solicit y generado en aquest simulador o virtual smart card, podremos si no instalarlos manualmente…

Espero que este tipo de posts os animen a elevar en algun cas un poquito la seguretat, a part de la comoditat de treballar amb Smart cards y certificats; =) Com sempre esperant que os vaya MUY bien =)