Citrix NetScaler nFactor-Authentifizierung


Oft stehen Administratoren vor der Aufgabe, unterschiedliche Authentifizierungsmöglichkeiten anzubieten. Häufig bekommen die User einen Hard/Softwaretoken für eine typische 2-Faktor-Authentifizierung. Über eine interne Zertifizierungsstelle wird ein Clientzertifikat verteilt, über das ein Authentifizierungsfaktor abgedeckt wird. SAML Authentication, OAuth, FAS, Local oder einfach LDAP-only – gemeinsam haben alle eines: Zugriff auf gleiche Ressourcen.

Hier kommt die nFactor-Authentifizierung ins Spiel. Anstatt für jede Methode einen eigenen vServer zu bauen oder über AAA-Gruppen zu steuern, wird die Authentifizierung über ein angehängtes Profil an einen AAA-vServer ausgelagert. Dieser kann aufgrund der gebundenen „Authentication Policy Labels“ den gewünschten Authentifizierungsworkflow abbilden. Diesen „Authentication Policy Labels“ sind die Login-Schemen zugeordnet, also die angezeigten Webseiten (XML-basierend).

Nehmen wir als einfaches Beispiel folgendes, sehr einfaches Szenario:

Aufgrund von AD-Gruppenzugehörigkeit sollen die User in eine 2-Faktor-Authentifizierung umgeleitet werden. Wer nicht Mitglied dieser Gruppe ist kommt per LDAP weiter.

Für diesen Fall wird zunächst ein Schema benötigt, das aufgrund des Benutzernamens die Gruppenzugehörigkeit ermittelt.

Richtlinie wird das „http.req.user.is_member_of“ ausgelesen. Darauf folgt „keine Aktion“ sondern ein nächster Faktor, wir wollen hier ja nur die zugehörige Gruppe haben. Der nächste Faktor ist ein weiteres „Authentication Policy Label“.

Entweder eine LDAP-only Richtlinie.

Oder 2 Richtlinien für LDAP & Radius.

Einzige Voraussetzung ist, dass der „Web Based Receiver“ verwendet werden muss. Nativ kann kein nFactor verwendet werden.

 

That’s it!

Fragen? Fragen! 🙂


Related Posts