2х факторная аутентификация на NetScaler
Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.
Считаем, что уже есть:
-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер
Я рекомендую разграничивать доступ к одному внутреннему ресурсу 2 AG серверами (для локальных и удаленных пользователей). На приведенном примере ssl_ag_xd – доступ для XD из локальной сети (с ограничениями по IP), ssl_ag_smart_ica – опубликованный наружу сервис с проверкой по сертификатам.
Приступим к настройке:
В AG севере переходим на закладку SSL Parameter
Устанавливаем принудительное использование сертификатов
Далее создаем сервер авторизации CERT с указанием идентифицируемого поля.
NetScaler Access Gateway Policies Authentication Authentication Servers
Теперь создаем политику авторизации на основе созданного сервера
NetScaler Access Gateway Policies Authentication Authentication Policies
Осталось подключить созданную политику к правилу авторизации AG сервера
Осталось проверить:
Открываем браузер по адресу указанному в AG server. Браузер сразу предлагает выбрать сертификат с подключенного etoken (на етокене у меня 2 сертификата)
После выбора нужного сертификата и его проверки NS пускает на web сервер citrix xendektop / app где вводим учетные данные пользователя
Доступ с использование etoken получен
P.S. Спасибо за внимание, если у Вас есть какие-либо вопросы, комментарии пожалуйста задавайте. NetScaler штука мало у нас распространенная, но настоящая.
В статья я краем упомянул про ограничение по IP (это не свойственная функция NS), если кому интересно, пишите, расскажу как реализовано, возможно кому-то поможет.
Оригинал статьи тут