Налаштування двофакторної автентифікації (2FA) для Citrix ADC і Gateway

Ця інструкція показує, як налаштувати двофакторну автентифікацію (2FA) для Citrix за допомогою системи Protectimus.

Citrix ADC (NetScaler ADC), Citrix Gateway (NetScaler Gateway), а також Citrix Virtual Apps and Desktops (XenApp & XenDesktop) можна інтегрувати із системою двофакторної автентифікації Protectimus за допомогою протоколу RADIUS.

Налаштування політик автентифікації в Citrix дозволяють передавати запит на автентифікацію через протокол RADIUS до Protectimus RADIUS Server. Отримавши запит, Protectimus RADIUS Server звертається до сервера автентифікації Protectimus для перевірки одноразового пароля користувача та повертає відповідь Citrix через RADIUS.

Нижче наведено приклад інтеграції рішення Protectimus для двофакторної автентифікації в Citrix із Citrix Gateway (NetScaler Gateway).

Щоб налаштувати двофакторну автентифікацію (2FA) для Citrix Gateway:

1. Зареєструйтеся в SAAS сервісі багатофакторної автентифікації або розгорніть On-Premise платформу MFA Protectimus, а потім налаштуйте базові параметри.
2. Встановіть та налаштуйте Protectimus RADIUS Server.
3. Налаштуйте політики автентифікації Citrix.

1. Зареєструйтеся та налаштуйте основні параметри

1. Зареєструйтеся в хмарному сервісі Protectimus і активуйте API або встановіть локальну платформу Protectimus (якщо ви встановлюєте платформу Protectimus на Windows, не забудьте позначити опцію Radius).
2. Додайте ресурс.
3. Додайте користувачів.
4. Додайте Токени або активуйте Портал самообслуговування користувачів.
5. Призначте токени користувачам.
6. Призначте токени з користувачами на ресурс.

2. Встановіть і налаштуйте Protectimus RADIUS Server для Citrix 2FA

Детальні інструкції щодо встановлення та налаштування Protectimus RADIUS Server доступні в нашому Посібнику з встановлення Protectimus RADIUS Server для Citrix 2FA.

3. Налаштуйте політики автентифікації Citrix Gateway

3.1. Налаштування політики LDAP

Для першого фактора ми використаємо автентифікацію користувача через домен Active Directory. Для цього налаштуйте політику LDAP:

1. Navigate to Citrix Gateway → Policies → Authentication → LDAP
2. Виберіть вкладку Servers і додайте новий сервер.
3. Налаштуйте з’єднання LDAP:
   
   
   • Вкажіть IP-адресу сервера Active Directory та його порт. За замовчуванням використовується порт 389.

     ЗВЕРНІТЬ УВАГУ! Для підтримки функції зміни пароля при першому вході та після закінчення терміну дії пароля, використовуйте LDAPS на порту 636. Для коректної роботи цієї функції вам також потрібно імпортувати SSL сертифікат.

   • Вкажіть повний шлях до каталогу користувача:

     CN=Users,DC=protectimus,DC=office

   • Вкажіть повне ім’я адміністратора домену:

     CN=admin,CN=Users,DC=protectimus,DC=office

   • Натисніть “BindDN Password” та введіть пароль адміністратора домену. Інші налаштування можна залишити за замовчуванням.

4. Перейдіть на вкладку Policies і додайте створений сервер.
5. У полі Expression, введіть ns_true

3.2. Налаштування другого фактора за протоколом RADIUS

1. Перейдіть до Citrix Gateway → Policies → Authentication → RADIUS; виберіть вкладку Servers.

2. Додайте сервер.
3. Вкажіть налаштування RADIUS-сервера для підключення до Protectimus RADIUS Server.
4. Вкажіть IP-адресу комп’ютера, на якому працює Protectimus RADIUS Server, та порт, зазначений у конфігураційному файлі radius.yml.
5. Вкажіть SecretKey, знову ж таки, як це зазначено в файлі radius.yml.

6. Перейдіть на вкладку Політики і виберіть створений сервер. У полі Expression, введіть ns_true

3.3. Налаштування віртуального сервера

Налаштування політики та фактора аутентифікації завершено; тепер потрібно вказати їх на віртуальному сервері.

1. Перейдіть до Citrix Gateway → Virtual Servers і виберіть свій сервер; у вкладці Basic Authentication натисніть “+”.

2. Виберіть Policy – LDAP, Choose Type – Primary. Потім натисніть Continue.

3. Натисніть Add Binding і виберіть політику за допомогою Select Policy. Виберіть LDAP політику.

4. Зробіть те ж саме для RADIUS.

5. Виберіть Policy – RADIUS, Choose Type – Secondary і повторіть кроки, як для політики LDAP.

Інтеграція двофакторної аутентифікації для Citrix завершена.

Якщо у вас є запитання, зверніться до служби підтримки клієнтів Protectimus.