[KB3483] 如何配置 Citrix® NetScaler 设备以便与 ESET 安全身份验证一起使用？

简介

本文介绍了如何配置 Citrix® NetScaler 设备，以便通过 ESA 服务器验证用户身份。在继续之前，请确认您已安装 ESET 安全身份验证的 RADIUS 服务器组件，并且可以访问允许外部系统验证用户身份的 RADIUS 服务。

Citrix® NetScaler 设备通过 RADIUS 使用 ESA 服务器验证用户身份之前，必须在 ESA 服务器上将其设置为 RADIUS 客户端。然后，必须将运行 ESA RADIUS 服务的服务器设置为 Citrix® NetScaler 设备上的 RADIUS 服务器。指定这些配置后，您就可以开始使用 ESA OTP 登录 Citrix® NetScaler 设备。

步骤 I - RADIUS 客户端配置

要允许 Citrix® NetScaler 设备与 ESA 服务器通信，必须将 Citrix® NetScaler 设备配置为 ESA 服务器上的 RADIUS 客户端：

1. 登录ESA Web 控制台。
2. 导航至组件 > RADIUS，找到运行 ESA RADIUS 服务的服务器的主机名。
3. 单击主机名，然后单击创建新的 Radius 客户端。
4. 在 "基本设置"部分
   1. 给 RADIUS 客户端起一个好记的名字，以便于参考。
   2. 为客户端配置IP 地址和共享密文，使其与 VPN 设备的配置相对应。IP 地址是设备的内部 IP 地址。如果设备通过 IPv6 通信，则使用该 IP 地址以及相关的范围 ID（接口 ID）。
   3. 共享密文是您将在设备上配置的外部验证器的 RADIUS 共享密文。
5. 在 "身份验证"部分应用下图 1-1 所示的设置。

图 1-1

现在已配置 ESA 与 Citrix® NetScaler设备 通信 。现在必须配置 Citrix® NetScaler 设备与 ESA 服务器通信。

步骤 II - 配置 Citrix® NetScaler 设备

按照以下步骤操作：

1. 登录 Citrix® NetScaler 管理界面。
2. 展开访问网关→虚拟服务器，选择现有的访问网关虚拟服务器并单击 "打开"。
3. 在 "配置访问网关虚拟服务器"窗口中，导航到 "身份验证"选项卡。
4. 在 "身份验证策略 "部分，选择 "主要 "并单击 "插入策略"。
5. 在 "配置身份验证策略"窗口中，键入策略名称（例如，ESA 身份验证）
6. 从命名表达式下的第一个下拉菜单中选择常规，从第二个下拉菜单中选择true
7. 单击添加表达式→新建（在服务器旁边），然后将以下参数设置为下图所示的值：
   1. 名称：ESA RADIUS
   2. IP 地址：ESA RADIUS 服务器的 IP 地址
   3. 密钥： 如图1-1 所示
   4. 确认密钥：同上
   5. 密码编码：PAP
      
8. 单击确定
9. 单击确定
10. 单击确定
11. 单击保存

步骤 III - 测试连接

测试新配置的连接：

1. 导航到通常用于 Citrix® NetScaler 设备 SSL VPN 登录的 URL。
2. 输入测试用户的凭据。确保您使用的用户已启用使用 ESA 的移动应用程序 2FA。提示输入密码时，将移动应用程序生成的 OTP 附加到 AD 密码中。例如，如果用户的 AD 密码为 Esa123，OTP 为 999111，则应输入 Esa123999111。

故障排除

如果无法通过 ESA RADIUS 服务器进行身份验证，请确保已执行以下步骤：

1. 根据 "验证 ESA RADIUS 功能 "文档，对 RADIUS 服务器进行烟雾测试。
2. 如果没有修复故障且仍无法连接，则恢复到现有的登录配置（不使用 2FA）并验证是否能够连接
3. 如果使用旧设置仍能连接，请恢复新设置，并验证 VPN 设备和 RADIUS 服务器之间是否有防火墙阻止 UDP 1812
4. 如果仍然无法连接，请联系 ESET 技术支持。