VPN com Citrix NetScaler III – Autenticação com certificados

Impressão amigável, PDF & E-mail

Eu realmente gosto deste post, no artigo de hoje, veremos como podemos fazer com que nossos queridos e amados usuários acessem o NetScalet Gateway por meio de seus próprios certificados SSL e não da maneira tradicional; tornando-o mais ágil e com um cartão inteligente (USB ou NFC) eles entrarão com mais segurança.

 

Assim, continuando esta série de posts sobre a montagem de uma VPN através do NetScaler Gateway, hoje vamos obrigar que o acesso ao ambiente seja feito através de certificados pessoais que teremos gerado previamente no nosso Diretório Ativo, assim como distribuídos aos nossos utilizadores em formato físico ou digital.

Este post está estruturado da seguinte forma:

 

Configuração no NetScaler para exigir certificados no logon

Criando o perfil de Autenticação CERT

 

Criamos o perfil de autenticação para exigir certificados a partir de, “Citrix Gateway” > “Políticas” > “Autenticação” > “CERT” > “Profiles” > “Adicionar”, Indiquemo um nome e escolhemos o atributo com o campo do nome do utilizador, “Criar”,

 

 

Criando a política de Autenticação CERT

 

Creamos ahora la política y lo vinculamos con el perfíl recién creado, desde “Citrix Gateway” > “Políticas” > “Autenticação” > “CERT” > “Políticas” > “Adicionar”, indicando un nombre y la expresión ‘ns_true’. “Criar”,

 

 

Vinculando a política ao NetScaler Gateway

 

En el Virtual Server del NetScaler Gateway se le bindea el certificado de la CA de la organización (si no lo tenemos hecho ya),

 

En el Virtual Server del Gateway enBasic Authenticationdebemos añadirle una nueva, Seleccionamos una política de tipo ‘CERTIFICATEdel tipo ‘Primary’ e clique em “Continuar”,

 

Seleccionamos la política anteriormente creada y pulsamos en “Bind”,

 

Quedando ya asociada ‘1 Cert Policy’, Clique em “Concluído”.

 

A propósito, tener en cuenta en el servidor LDAP el ‘Server Logon Name Attributeya que por defecto es ‘sAMAccountNamey eso sería algo como hector.herrero y no me permitiría loguearme comohe************@**********es.local‘ que es como aparece el utilizador que se emite en los certificados.

 

 

Teste

Abrimos de nuevo el sitio web de Citrix NetScaler Gateway, si no disponemos de nuestro certificado no podremos loguearnos.

En cambio si tenemos nuestra tarjeta inteligente o smart card o certificado instalado, al entrar a la web de Citrix NetScaler Gateway ya nos pedirá el PIN para aceder ao nosso certificado e nos mostrará o portal web carregando…

Posteriormente lanzará Secure Access y pedirá el PIN…

Y pedirá la contraseña, el usuario lo cogerá del certificado y no se podrá modificar. Esto nos pasa por tener todavía vinculada la política de LDAP.

Y tras introducir los credenciales podremos acceder como es habitual!

Simulador de Smart Card

Esta parte final falamos de como gerar um certificado de utilizador e de como si no tenemos un Smart Card reader USB podemos simularlo con un software. En un documento previo, ya vimos cómo se podem gerar certificados para os utilizadores do nosso Directorio Ativo, puedes seguir esos pasos. O isto usando um software simulador chamado EIDVirtual Smart Card, para usar en MVs y LABs puede venir bien, Temos 30 días de trial y se pode descargar de aqui.

Instalamos el software, que no tiene mucho misterio y depois lançamos el asistente de configuración. Enchufamos un pendrive USB y lo usará para él, indicamos nuestra letra del pendrive y un PIN, lo formateará para esto. Podremos guardar luego certificados en él 😉 “Format”,

“Sim”,

Es normal, no detecta la tarjeta, hay que despinchar el pendrive y volver a enchufarlo

Pronto, lo detecta, Aceitar!

Ahora se carga el Smart Card Manager, que sirve para gestionar este pendrive, o sea este SmartCard, e instalarle certificados, podemos importarlosabrir la utilidad como administrador si vamos a importar PFX. Si queremos solicitar desde aquí al AD un certificado para el usuario con el que estamos logueados, le damos a Request.

Introducimos el PIN de la tarjeta,

Seleccionamos la CA de nuestro AD & Aceitar,

Y listo certificado solicitado y generado en este simulador o virtual smart card, podremos si no instalarlos manualmente

Espero que este tipo de posts os animen a elevar en algún caso un poquito la seguridad, a parte de la comodidad de trabajar con Smart cards y certificados; =) Como siempre esperando que os vaya MUY bien =)

Postagens recomendadas

Implementando a LAPS do Windows
Ler
VPN com Citrix NetScaler IV - Sempre ligado
Ler
VPN com Citrix NetScaler II - Exigir certificados para acessar
Ler
VPN com Citrix NetScaler I - Implantação & Pré-autenticação
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Painéis solares com Home Assistant e Huawei

19 Novembro 2024

Monitoramento do Crowdsec com o Centreon

26 Novembro 2024