Как стать автором
Обновить

Двухфакторная авторизация на Citrix NetScaler

Время на прочтение2 мин
Количество просмотров5.1K

2х факторная аутентификация на NetScaler


Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.

Считаем, что уже есть:


-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер



Я рекомендую разграничивать доступ к одному внутреннему ресурсу 2 AG серверами (для локальных и удаленных пользователей). На приведенном примере ssl_ag_xd – доступ для XD из локальной сети (с ограничениями по IP), ssl_ag_smart_ica – опубликованный наружу сервис с проверкой по сертификатам.

Приступим к настройке:


В AG севере переходим на закладку SSL Parameter



Устанавливаем принудительное использование сертификатов



Далее создаем сервер авторизации CERT с указанием идентифицируемого поля.
NetScaler Access Gateway Policies Authentication Authentication Servers



Теперь создаем политику авторизации на основе созданного сервера
NetScaler Access Gateway Policies Authentication Authentication Policies



Осталось подключить созданную политику к правилу авторизации AG сервера



Осталось проверить:


Открываем браузер по адресу указанному в AG server. Браузер сразу предлагает выбрать сертификат с подключенного etoken (на етокене у меня 2 сертификата)


После выбора нужного сертификата и его проверки NS пускает на web сервер citrix xendektop / app где вводим учетные данные пользователя


Доступ с использование etoken получен



P.S. Спасибо за внимание, если у Вас есть какие-либо вопросы, комментарии пожалуйста задавайте. NetScaler штука мало у нас распространенная, но настоящая.
В статья я краем упомянул про ограничение по IP (это не свойственная функция NS), если кому интересно, пишите, расскажу как реализовано, возможно кому-то поможет.

Оригинал статьи тут
Теги:
Хабы:
Всего голосов 3: ↑3 и ↓0+3
Комментарии0

Публикации

Истории

Работа

DevOps инженер
42 вакансии

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань