VPN mit Citrix NetScaler III – Authentifizierung mit Zertifikaten

Druckfreundlich, PDF & Email

Ich mag diesen Beitrag wirklich, Im heutigen Artikel werden wir uns ansehen, wie wir unsere lieben und geliebten Benutzer dazu bringen können, über ihre eigenen SSL-Zertifikate auf NetScalet Gateway zuzugreifen und nicht auf traditionelle Weise; Agiler und mit einer Smartcard (USB oder NFC) Sie werden sicherer eintreten.

 

Así que continuando esta serie de posts del montaje de una VPN a través de NetScaler Gateway, hoy obligaremos a que el acceso al entorno sea mediante certificados personales que habremos generado previamente en nuestro Directorio Activo, así cómo distribuidos a nuestros usuarios en formato físico o digital.

Este post está estructurado de la siguiente manera:

 

Configuración en NetScaler para requerir certificados en el logon

Creando el perfil de Authentication CERT

 

Creamos el perfil de autenticación para requerir certificados desde, “Citrix Gateway” > “Politik” > “Authentifizierung” > “CERT” > “Profile” > “Hinzufügen”, Le indicamos un nombre y elegimos el atributo con el campo del nombre del usuario, “Schaffen”,

 

 

Creando la política de Authentication CERT

 

Creamos ahora la política y lo vinculamos con el perfíl recién creado, seit “Citrix Gateway” > “Politik” > “Authentifizierung” > “CERT” > “Politik” > “Hinzufügen”, indicando un nombre y la expresión ‘ns_true’. “Schaffen”,

 

 

Vinculando la política a NetScaler Gateway

 

En el Virtual Server del NetScaler Gateway se le bindea el certificado de la CA de la organización (si no lo tenemos hecho ya),

 

En el Virtual Server del Gateway enBasic Authenticationdebemos añadirle una nueva, Seleccionamos una política de tipo ‘CERTIFICATEdel tipo ‘Primary’ und klicken Sie auf “Fortsetzen”,

 

Seleccionamos la política anteriormente creada y pulsamos en “BINDEN”,

 

Quedando ya asociada ‘1 Cert Policy’, Anklicken “Spenden”.

 

Übrigens, tener en cuenta en el servidor LDAP el ‘Server Logon Name Attributeya que por defecto es ‘sAMAccountNamey eso sería algo como hector.herrero y no me permitiría loguearme como he************@op**********.local que es como aparece el usuario que se emite en los certificados.

 

 

Testen

Abrimos de nuevo el sitio web de Citrix NetScaler Gateway, si no disponemos de nuestro certificado no podremos loguearnos.

En cambio si tenemos nuestra tarjeta inteligente o smart card o certificado instalado, al entrar a la web de Citrix NetScaler Gateway ya nos pedirá el PIN para acceder a nuestro certificado y nos mostrará el portal web cargando

Posteriormente lanzará Secure Access y pedirá el PIN

Y pedirá la contraseña, el usuario lo cogerá del certificado y no se podrá modificar. Esto nos pasa por tener todavía vinculada la política de LDAP.

Y tras introducir los credenciales podremos acceder como es habitual!

Simulador de Smart Card

Esta parte final hablaremos de cómo generar un certificado de usuario y de cómo si no tenemos un Smart Card reader USB podemos simularlo con un software. En un documento previo, ya vimos cómo se pueden generar certificados para los usuarios de nuestro Directorio Activo, puedes seguir esos pasos. O estos usando un software simulador llamado EIDVirtual Smart Card, para usar en MVs y LABs puede venir bien, Wir haben 30 días de trial y se puede descargar de hier.

Instalamos el software, que no tiene mucho misterio y después lanzamos el asistente de configuración. Enchufamos un pendrive USB y lo usará para él, indicamos nuestra letra del pendrive y un PIN, lo formateará para esto. Podremos guardar luego certificados en él 😉Format”,

“Ja”,

Es normal, no detecta la tarjeta, hay que despinchar el pendrive y volver a enchufarlo

Fertig, lo detecta, Annehmen!

Ahora se carga el Smart Card Manager, que sirve para gestionar este pendrive, o sea este SmartCard, e instalarle certificados, podemos importarlosabrir la utilidad como administrador si vamos a importar PFX. Si queremos solicitar desde aquí al AD un certificado para el usuario con el que estamos logueados, le damos a Request.

Introducimos el PIN de la tarjeta,

Seleccionamos la CA de nuestro AD & Annehmen,

Y listo certificado solicitado y generado en este simulador o virtual smart card, podremos si no instalarlos manualmente

Espero que este tipo de posts os animen a elevar en algún caso un poquito la seguridad, a parte de la comodidad de trabajar con Smart cards y certificados; =) Como siempre esperando que os vaya MUY bien =)

Empfohlene Beiträge

Verfasser

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!