Avanpost FAM/MFA+ : Настройка 2FA/MFA для Citrix ADC (NetScaler)

Общие сведения

Avanpost FAM позволяет обеспечить 2FA/MFA для пользователей, выполняющих подключение к Citrix ADC (NetScaler). В инструкции описывается настройка 2FA/MFA для Citrix ADC с использованием RADIUS-механизма системы Avanpost FAM. Функциональность доступна для веб-интерфейса и десктопного интерфейса Citrix ADC.

Для Citrix ADC с целью 2FA/MFA могут использоваться следующие факторы аутентификации:  

  • Доменный пароль;
  • Push-уведомление в мобильном приложении Avanpost Authenticator;
  • Встроенный программный TOTP через мобильное приложение Avanpost Authenticator (при поддержке Access-Challenge в NAS);
  • Программный TOTP через любое приложение-аутентификатор (Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator при поддержке Access-Challenge в NAS);
  • Аппаратный OTP (TOTP/HOTP) с использованием OTP-брелоков (при поддержке Access-Challenge в NAS);
  • Push-уведомление в мессенджер Telegram;

Системные требования для интеграции Citrix ADC (NetScaler) с Avanpost FAM:

  • Сервер Avanpost FAM 1.3.0 или выше.

Для выполнения настройки 2FA/MFA в соответствии с инструкцией необходимо выполнить следующие предварительные условия: 

  • Зарегистрироваться на citrix.com (не требуется, если уже имеется УЗ пользователя).
  • Скачать и установить образ Citrix ADC.
  • Скачать и установить лицензию на Citrix ADC.
  • Для доступа к удаленному рабочему столу необходимы установленные и лицензионные XenApp и XenDesktop.

Этап 1. Настройка балансировки и доступности RADIUS  

Настройка балансировки нагрузки не обязательна. Настройка балансировки доступна при использовании двух и более серверов FAM. Балансировка может быть произведена на любом этапе развертывания интеграции.

Настройка балансировки и доступности RADIUS-сервера осуществляется следующим образом:

  1. Войти в административную веб-консоль Citrix ADC в учетную запись администратора (ввести логин и пароль). 
  2. Создать виртуальный сервер в Citrix ADC: раздел Traffic Management → Virtual Servers, нажать кнопку "Add".

    Виртуальный сервер в Citrix ADC позволяет управлять потоком данных, обеспечивая балансировку нагрузки, маршрутизацию и доступ к различным сервисам и приложениям в сети.


  3. В окне виртуального сервера балансировки нагрузки (Load Balancing Virtual Server) задать параметры настройки в соответствии с таблицей.
    ПараметрЗначение
    NameВвести название виртуального сервера.
    ProtocolВыбрать протокол RADIUS.
    State Задать статус сервера (для активации работы сервера установить статус "UP").
    IP-адресуказать IP-адрес, по которому сервер Citrix ADC будет прослушивать входящий клиентский трафик.
    ПортВвести "1812".
    Load balancing methodМетод, который будет использоваться для распределения нагрузки между сервисами (TOKEN).



  4. Создать сервисы, которые будут балансироваться на виртуальном сервере. Сервисы представляют собой конечные точки (например, веб-серверы или приложения).

  5. Создать группу сервисов, к которой добавятся ранее созданные сервисы:  раздел Traffic Management → Service Groups, нажать кнопку "Add".

    Service groups (группа служб) – группа сервисов, которые будут зарегистрированы на виртуальном сервере для обработки запросов. Группа служб объединяет несколько сервисов для организации балансировки нагрузки.




  6. В окне "Load Balancing Service Group" установить настройки:
    ПараметрЗначение
    NameВвести имя группы сервисов
    ProtocolЗадать "RADIUS" (протокол, использующийся для связи между виртуальным сервером и сервисами).
    Health MonitoringЗадать "YES" (параметр, позволяющий проверять работоспособность сервиса и отключать неработающие сервисы из группы).
     



  7. Добавить сервисы в группу сервисов: перейти в настройку "Service Group Members" и настроить параметры в открывшемся окне "Service group members binding".

    Service Group Members Binding – окно настройки связи между сервисом и группой сервисов. Для добавления нового сервиса нажать "Add". Для активации сервиса в группе установить флажок в строке нужного сервиса.

    ПараметрЗначение
    IP addressВвести IP-адрес физического сервера или виртуальной машины, где запущен сервис.
    Server NameВвести имя сервера.
    PortВвести порт, который будет использоваться для общения с сервисом.
    WeightУказать вес сервера. Параметр, используемый для приоритезации серверов в группе. Чем больше вес, тем выше приоритет сервера.
    Server IDУникальный идентификатор сервера, добавленного в группу сервисов.
    StateВвести статус сервера (подключенный или отключенный).
  8. Установить связь между группой сервисов и виртуальным сервером для распределения нагрузки: войти в "Load Balancing Virtual Server ServiceGroup Binding", выбрать сервер и нажать кнопку "Add Binding".

  9. Для оптимизации и настройки отображения графических приложений и рабочих столов произвести настройку мониторов: перейти в раздел Traffic Management → Monitors и нажать кнопку "Add".



  10. Установить настройки монитора в соответствии с таблицей.

    ПараметрЗначение
    NameВвести имя монитора.
    TypeУстановить тип монитора "RADIUS".
    IntervalУказать временной интервал для проверки работоспособности ресурса.
    Response Time-outУказать максимальное время ожидания для ответа от ресурса.
    User Name*Ввести имя учетной записи в системе Avanpost FAM.
    Response codes Код ответа, который должен быть получен от ресурса.
    PasswordПароль учетной записи пользователя в системе FAM (для логина, указанного в параметре User Name).
    RADIUS KeyУстановить разделяемый секрет RADIUS, соответствующий ключу, определенному в системе FAM.

    *Пользователь, которому принадлежит данная учетная запись, должен принадлежать группе пользователей без настроенных факторов аутентификации. В текущую группу должно быть добавлено приложение типа RADIUS, настроенное на интеграцию с Citrix ADC и c одним фактором аутентификации (логин/пароль).


  11. Создать связи между монитором и сервисом: в списке "Monitors" выбрать нужный монитор и нажать на него, затем в окне дополнительных настроек нажать "Add Binding" и выбрать сервис, с которым необходимо создать связь.


Этап 2. Настройка политики аутентификации RADIUS

Настройка политик аутентификации RADIUS-сервера осуществляется следующим образом:

  1. Войти в административную веб-консоль Citrix ADC в учетную запись администратора (ввести логин и пароль).
  2. Создать и настроить сервер аутентификации RADIUS: перейти в раздел Citrix Gateway → Polices → Authentication → RADIUS → Servers. Нажать кнопку "Add".
  3. В окне "Configure Authentication RADIUS Server" установить настройки.

    ПараметрЗначение
    NameЗадать имя сервера.
    Переключатель Server Name/ Server IPПараметр, использующийся для идентификации и обращения к RADIUS-серверу.
    Server Name

    Задать имя сервера.

    Если RADIUS-сервер имеет имя хоста или сетевое имя, можно указать его в качестве Server Name при создании сервера аутентификации RADIUS. Данное решение предназначено для более простой идентификации и связки сервера с его сетевым именем.

    Server IP

    Задать IP-адрес сервера.

    Если IP-адрес RADIUS-сервера известен, необходимо выбрать Server IP при создании сервера аутентификации RADIUS. Это позволит Citrix ADC установить соединение с RADIUS-сервером по указанному IP-адресу.

    IP AdressУстановить IP-адрес RADIUS-сервера.
    PortЗадать порт "1812". 
    Secret KeyУстановить разделяемый секрет RADIUS, который соответствует ключу, определенному в системе Avanpost FAM.
    Confirm Secret KeyПодтвердить секретный ключ, заданный Secret Key.
    Password EncodingВыбрать протокол "PAP" ( при выборе значения "PAP" пароль пользователя отправляется в чистом виде через сеть на RADIUS-сервер).
    Authentication Server RetryНастройка, которая определяет, как часто Citrix ADC будет повторять попытки соединения с аутентифицирующим сервером в случае неудачи.
    AuthenticationУстановить флажок.




  4. Создать и настроить политику аутентификации RADIUS: перейти в раздел Citrix Gateway → Policies → Authentication  → RADIUS  → Policies, затем создать новую политику, нажав кнопку "Add".


  5.  Установить настройки политики, задав параметры согласно таблице.
    ПараметрЗначение
    NameВвести имя новой политики.
    ServerВыбрать из выпадающего списка название сервера, на котором будет действовать созданная политика.
    ExpressionЗадать "ns_true" (выражение, которое указывает, что аутентификация должна быть выполнена посредством RADIUS-сервера).



  6. Создать виртуальный сервер Citrix Gateaway: перейти в раздел Citrix Gateway → Virtual Servers, затем нажать кнопку "Add". 


  7. Установить настройки для виртуального сервера VPN, обеспечивающего защищенный удаленный доступ задав параметры согласно таблице.
    ПараметрЗначение
    NameВвести название виртуального сервера VPN для его идентификации.
    IP AddressУказать IP-адрес виртуального сервера VPN.
    PortУстановить порт, по которому виртуальный сервер VPN будет получать входящие подключения (например, порт 443 для HTTPS).
    StateУказать состояние виртуального сервера VPN (вкл/выкл).
    RDP Server ProfileУказать профиль сервера RDP, если используется протокол RDP для удаленного доступа.
    PCoIP VServer ProfileУказать профиль виртуального сервера PCoIP для конфигурации параметров PCoIP, если используется протокол PCoIP для удаленного доступа.
    Login Once Опция, позволяющая клиенту войти только один раз при переходе между разными подключениями или сессиями (true/false).
    Double Hop Опция для включения двойного подключения, которое позволяет на виртуальном сервере VPN запускать другие сеансы соединения (true/false).
    Down State Flush Опция, указывающая, нужно ли автоматически удалять сессии виртуальных серверов VPN, если состояние сервера становится недоступным (true/false).
    DTLSОпция для включения DTLS-протокола, обеспечивающего шифрование и безопасную передачу данных (true/false).
    AppFlow LoggingОпция, позволяющая вести журнал данных AppFlow для мониторинга и анализа трафика с виртуального сервера VPN (true/false).
    Logout On Smart Card RemovalОпция для автоматического выхода из сеанса, когда смарт-карта удалена из системы (true/false).
    CertificateНастройки сертификата для шифрования и аутентификации, включая выбор серверного сертификата и сертификатов центра сертификации (CA).
    Basic AuthenticationВыбрать в нужной последовательности факторы аутентификации.

    Для связи с системой FAM одним из факторов аутентификации следует указать "RADIUS Policies".




  8. Привязать политику аутентификации RADIUS к виртуальному серверу VPN: нажать кнопки "Add Binding" и выбрать политику, с которой стоит создать связь.



Этап 3. Настройка приложения на стороне системы FAM

В административной консоли Avanpost FAM Server необходимо выполнить следующие действия:

  1. Зайти во вкладку создания приложения, нажав кнопку "Добавить приложение" в сервисе "Приложения".
  2. На этапе "Основные настройки" требуется ввести наименование и выбрать тип "RADIUS" (более подробно процесс создания и управления приложениями описан в разделах Управление приложениями и Управление RADIUS-приложениями).
  3. На этапе "Настройка интеграции" заполнить все поля следующим образом (более подробно можно найти значения на Шаг 2. Настройки интеграции для RADIUS-приложений)
    ПараметрЗначение
    IP адрес как идентификатор

    Включить переключатель ()

    NAS IP(Source IP)Установить адрес сервера сетевого доступа, совпадающий с адресом в настройках Citrix ADC.
    Протокол аутентификацииВыбрать "PAP".


  4. На этапе "Настройки аутентификации" выбрать факторы аутентификации приложения, установив переключатели напротив тех или иных факторов (более подробно описано в Шаг 3. Настройки аутентификации для RADIUS-приложения).
  5. На этапе "Завершение" следует сохранить приложение, делая его активным сразу после создания (более подробно в Шаг 4. Завершение для RADIUS-приложения).
  6. Найти созданное приложение в реестре режима "Приложения" и зайти в его профиль.
  7. В профиле приложения во вкладке "Настройки" нажать "Разделяемые секреты RADIUS" и в выполнить настройки в соответствии с таблицей (более подробно описано в статье Настройка разделяемых секретов RADIUS).

Атрибут 

Настройка

Имя клиентаВвести имя клиента.
Диапазон адресов

Определить диапазон IP-адресов по типу:

10.10.17.108/32,

где 10.10.17.108 – адрес NAS, а /32 – маска подсети, используемая для определения границ диапазона IP-адресов.

Смена общего секретаЗадать секретный ключ (см. Общие требования к разделяемому секрету).

Общие требования к разделяемому секрету: 

  • Длина: Рекомендуется использовать длинный секретный ключ, состоящий как минимум из 22 символов. 

    Максимальное количество символов в распределяемом секрете RADIUS зависит от конкретной реализации RADIUS-сервера и клиентских устройств.

  • Сложность: Рекомендуется использовать сочетание букв верхнего и нижнего регистров, цифр и специальных символов. 
  • Надежность: Секретный ключ должен быть известен только тем устройствам, которые используют его для аутентификации. Разделяемый секрет должен периодически обновляться для предотвращения возможных утечек. 




Обсуждение