Общие сведения
Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, выполняющих подключение к Citrix ADC (NetScaler). В инструкции описывается настройка 2FA/MFA для Citrix ADC с использованием RADIUS-механизма системы Avanpost FAM. Функциональность доступна для веб-интерфейса и десктопного интерфейса Citrix ADC.
Для Citrix ADC с целью 2FA/MFA могут использоваться следующие факторы аутентификации:
- Доменный пароль;
- Push-уведомление в мобильном приложении Avanpost Authenticator;
- Встроенный программный TOTP через мобильное приложение Avanpost Authenticator (при поддержке Access-Challenge в NAS);
- Программный TOTP через любое приложение-аутентификатор (Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator при поддержке Access-Challenge в NAS);
- Аппаратный OTP (TOTP/HOTP) с использованием OTP-брелоков (при поддержке Access-Challenge в NAS);
- Push-уведомление в мессенджер Telegram;
Системные требования для интеграции Citrix ADC (NetScaler) с Avanpost FAM:
- Сервер Avanpost FAM 1.3.0 или выше.
Для выполнения настройки 2FA/MFA в соответствии с инструкцией необходимо выполнить следующие предварительные условия:
- Зарегистрироваться на citrix.com (не требуется, если уже имеется УЗ пользователя).
- Скачать и установить образ Citrix ADC.
- Скачать и установить лицензию на Citrix ADC.
- Для доступа к удаленному рабочему столу необходимы установленные и лицензионные XenApp и XenDesktop.
Этап 1. Настройка балансировки и доступности RADIUS
Настройка балансировки нагрузки не обязательна. Настройка балансировки доступна при использовании двух и более серверов FAM. Балансировка может быть произведена на любом этапе развертывания интеграции.
Настройка балансировки и доступности RADIUS-сервера осуществляется следующим образом:
- Войти в административную веб-консоль Citrix ADC в учетную запись администратора (ввести логин и пароль).
- Создать виртуальный сервер в Citrix ADC: раздел Traffic Management → Virtual Servers, нажать кнопку "Add".
Виртуальный сервер в Citrix ADC позволяет управлять потоком данных, обеспечивая балансировку нагрузки, маршрутизацию и доступ к различным сервисам и приложениям в сети.
- В окне виртуального сервера балансировки нагрузки (Load Balancing Virtual Server) задать параметры настройки в соответствии с таблицей.
Параметр Значение Name
Ввести название виртуального сервера. Protocol
Выбрать протокол RADIUS. State
Задать статус сервера (для активации работы сервера установить статус "UP"). IP-адрес
указать IP-адрес, по которому сервер Citrix ADC будет прослушивать входящий клиентский трафик. Порт
Ввести "1812". Load balancing method
Метод, который будет использоваться для распределения нагрузки между сервисами (TOKEN). Создать сервисы, которые будут балансироваться на виртуальном сервере. Сервисы представляют собой конечные точки (например, веб-серверы или приложения).
Создать группу сервисов, к которой добавятся ранее созданные сервисы: раздел Traffic Management → Service Groups, нажать кнопку "Add".
Service groups (группа служб) – группа сервисов, которые будут зарегистрированы на виртуальном сервере для обработки запросов. Группа служб объединяет несколько сервисов для организации балансировки нагрузки.
- В окне "Load Balancing Service Group" установить настройки:
Параметр Значение Name
Ввести имя группы сервисов Protocol
Задать "RADIUS" (протокол, использующийся для связи между виртуальным сервером и сервисами). Health Monitoring
Задать "YES" (параметр, позволяющий проверять работоспособность сервиса и отключать неработающие сервисы из группы). - Добавить сервисы в группу сервисов: перейти в настройку "Service Group Members" и настроить параметры в открывшемся окне "Service group members binding".
Service Group Members Binding – окно настройки связи между сервисом и группой сервисов. Для добавления нового сервиса нажать "Add". Для активации сервиса в группе установить флажок в строке нужного сервиса.
Параметр Значение IP address
Ввести IP-адрес физического сервера или виртуальной машины, где запущен сервис. Server Name
Ввести имя сервера. Port
Ввести порт, который будет использоваться для общения с сервисом. Weight
Указать вес сервера. Параметр, используемый для приоритезации серверов в группе. Чем больше вес, тем выше приоритет сервера. Server ID
Уникальный идентификатор сервера, добавленного в группу сервисов. State
Ввести статус сервера (подключенный или отключенный). Установить связь между группой сервисов и виртуальным сервером для распределения нагрузки: войти в "Load Balancing Virtual Server ServiceGroup Binding", выбрать сервер и нажать кнопку "Add Binding".
Для оптимизации и настройки отображения графических приложений и рабочих столов произвести настройку мониторов: перейти в раздел Traffic Management → Monitors и нажать кнопку "Add".
Установить настройки монитора в соответствии с таблицей.
Параметр Значение Name
Ввести имя монитора. Type
Установить тип монитора "RADIUS". Interval
Указать временной интервал для проверки работоспособности ресурса. Response Time-out
Указать максимальное время ожидания для ответа от ресурса. User Name*
Ввести имя учетной записи в системе Avanpost FAM. Response codes
Код ответа, который должен быть получен от ресурса. Password
Пароль учетной записи пользователя в системе FAM (для логина, указанного в параметре User Name). RADIUS Key
Установить разделяемый секрет RADIUS, соответствующий ключу, определенному в системе FAM. *Пользователь, которому принадлежит данная учетная запись, должен принадлежать группе пользователей без настроенных факторов аутентификации. В текущую группу должно быть добавлено приложение типа RADIUS, настроенное на интеграцию с Citrix ADC и c одним фактором аутентификации (логин/пароль).
- Создать связи между монитором и сервисом: в списке "Monitors" выбрать нужный монитор и нажать на него, затем в окне дополнительных настроек нажать "Add Binding" и выбрать сервис, с которым необходимо создать связь.
Этап 2. Настройка политики аутентификации RADIUS
Настройка политик аутентификации RADIUS-сервера осуществляется следующим образом:
- Войти в административную веб-консоль Citrix ADC в учетную запись администратора (ввести логин и пароль).
- Создать и настроить сервер аутентификации RADIUS: перейти в раздел Citrix Gateway → Polices → Authentication → RADIUS → Servers. Нажать кнопку "Add".
В окне "Configure Authentication RADIUS Server" установить настройки.
Параметр Значение Name
Задать имя сервера. Переключатель Server Name/ Server IP
Параметр, использующийся для идентификации и обращения к RADIUS-серверу. Server Name
Задать имя сервера.
Если RADIUS-сервер имеет имя хоста или сетевое имя, можно указать его в качестве
Server Name
при создании сервера аутентификации RADIUS. Данное решение предназначено для более простой идентификации и связки сервера с его сетевым именем.Server IP
Задать IP-адрес сервера.
Если IP-адрес RADIUS-сервера известен, необходимо выбрать Server IP при создании сервера аутентификации RADIUS. Это позволит Citrix ADC установить соединение с RADIUS-сервером по указанному IP-адресу.
IP Adress
Установить IP-адрес RADIUS-сервера. Port
Задать порт "1812". Secret Key
Установить разделяемый секрет RADIUS, который соответствует ключу, определенному в системе Avanpost FAM. Confirm Secret Key
Подтвердить секретный ключ, заданный Secret Key
.Password Encoding
Выбрать протокол "PAP" ( при выборе значения "PAP" пароль пользователя отправляется в чистом виде через сеть на RADIUS-сервер). Authentication Server Retry
Настройка, которая определяет, как часто Citrix ADC будет повторять попытки соединения с аутентифицирующим сервером в случае неудачи. Authentication
Установить флажок. - Создать и настроить политику аутентификации RADIUS: перейти в раздел Citrix Gateway → Policies → Authentication → RADIUS → Policies, затем создать новую политику, нажав кнопку "Add".
- Установить настройки политики, задав параметры согласно таблице.
Параметр Значение Name
Ввести имя новой политики. Server
Выбрать из выпадающего списка название сервера, на котором будет действовать созданная политика. Expression
Задать "ns_true" (выражение, которое указывает, что аутентификация должна быть выполнена посредством RADIUS-сервера). - Создать виртуальный сервер Citrix Gateaway: перейти в раздел Citrix Gateway → Virtual Servers, затем нажать кнопку "Add".
- Установить настройки для виртуального сервера VPN, обеспечивающего защищенный удаленный доступ задав параметры согласно таблице.
Параметр Значение Name
Ввести название виртуального сервера VPN для его идентификации. IP Address
Указать IP-адрес виртуального сервера VPN. Port
Установить порт, по которому виртуальный сервер VPN будет получать входящие подключения (например, порт 443 для HTTPS). State
Указать состояние виртуального сервера VPN (вкл/выкл). RDP Server Profile
Указать профиль сервера RDP, если используется протокол RDP для удаленного доступа. PCoIP VServer Profile
Указать профиль виртуального сервера PCoIP для конфигурации параметров PCoIP, если используется протокол PCoIP для удаленного доступа. Login Once
Опция, позволяющая клиенту войти только один раз при переходе между разными подключениями или сессиями (true/false). Double Hop
Опция для включения двойного подключения, которое позволяет на виртуальном сервере VPN запускать другие сеансы соединения (true/false). Down State Flush
Опция, указывающая, нужно ли автоматически удалять сессии виртуальных серверов VPN, если состояние сервера становится недоступным (true/false). DTLS
Опция для включения DTLS-протокола, обеспечивающего шифрование и безопасную передачу данных (true/false). AppFlow Logging
Опция, позволяющая вести журнал данных AppFlow для мониторинга и анализа трафика с виртуального сервера VPN (true/false). Logout On Smart Card Removal
Опция для автоматического выхода из сеанса, когда смарт-карта удалена из системы (true/false). Certificate
Настройки сертификата для шифрования и аутентификации, включая выбор серверного сертификата и сертификатов центра сертификации (CA). Basic Authentication
Выбрать в нужной последовательности факторы аутентификации. Для связи с системой FAM одним из факторов аутентификации следует указать "RADIUS Policies".
Привязать политику аутентификации RADIUS к виртуальному серверу VPN: нажать кнопки "Add Binding" и выбрать политику, с которой стоит создать связь.
Этап 3. Настройка приложения на стороне системы FAM
В административной консоли Avanpost FAM Server необходимо выполнить следующие действия:
- Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
- На этапе "Основные настройки" требуется ввести наименование и выбрать тип "RADIUS" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление RADIUS-приложениями).
- На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для RADIUS-приложений)
Параметр Значение IP адрес как идентификатор Включить переключатель ()
NAS IP(Source IP) Установить адрес сервера сетевого доступа, совпадающий с адресом в настройках Citrix ADC. Протокол аутентификации Выбрать "PAP". - На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для RADIUS-приложения).
- На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания (более подробно в Шаг 4. Завершение для RADIUS-приложения).
- Найти созданное приложение в реестре режима "Приложения" и зайти в его профиль.
- В профиле приложения во вкладке "Настройки" нажать "Разделяемые секреты RADIUS" и в выполнить настройки в соответствии с таблицей (более подробно описано в статье Настройка разделяемых секретов RADIUS).
Атрибут | Настройка |
---|---|
Имя клиента | Ввести имя клиента. |
Диапазон адресов | Определить диапазон IP-адресов по типу: 10.10.17.108/32, где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов. |
Смена общего секрета | Задать секретный ключ (см. Общие требования к разделяемому секрету). |
Общие требования к разделяемому секрету:
Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов.
Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.
- Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов.
- Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек.