[KB3482] Wie konfiguriere ich mein Citrix® Access Gateway-Gerät für die Verwendung mit ESET Secure Authentication?

Einführung

Citrix® Access Gateway ist ein SSL-VPN-Gateway, das einen sicheren Zugang zu Netzwerken ermöglicht. In diesem Artikel wird beschrieben, wie Sie ein Citrix® Access Gateway-Gerät konfigurieren, um Benutzer gegenüber einem ESA-Server zu authentifizieren. Bevor Sie fortfahren, vergewissern Sie sich, dass Sie die RADIUS-Server-Komponente von ESET Secure Authentication installiert haben und auf den RADIUS-Dienst zugreifen können, der es externen Systemen ermöglicht, Benutzer zu authentifizieren.

Bevor Ihr Citrix® Access Gateway-Gerät den ESA-Server zur Authentifizierung von Benutzern über RADIUS verwenden kann, muss es als RADIUS-Client auf dem ESA-Server eingerichtet werden. Anschließend muss Ihr Server, auf dem der ESA-RADIUS-Dienst ausgeführt wird, als RADIUS-Server auf dem Citrix® Access Gateway-Gerät eingerichtet werden. Sobald diese Konfigurationen festgelegt wurden, können Sie sich mit ESA OTPs bei Ihrem Citrix® Access Gateway-Gerät anmelden.

Schritt I - RADIUS-Client-Konfiguration

Damit das Citrix® Access Gateway-Gerät mit Ihrem ESA-Server kommunizieren kann, müssen Sie das Citrix® Access Gateway-Gerät als RADIUS-Client auf Ihrem ESA-Server konfigurieren:

1. Melden Sie sich bei der ESA-Webkonsole an.
2. Navigieren Sie zu Komponenten > RADIUS und suchen Sie den Hostnamen des Servers, auf dem der ESA RADIUS-Dienst läuft.
3. Klicken Sie auf den Hostnamen und dann auf Neuen Radius-Client erstellen.
4. Im Abschnitt Grundeinstellungen
   1. Geben Sie dem RADIUS-Client einen einprägsamen Namen, damit er leicht zu finden ist.
   2. Konfigurieren Sie die IP-Adresse und das Shared Secret für den Client so, dass sie mit der Konfiguration Ihrer VPN-Appliance übereinstimmen. Die IP-Adresse ist die interne IP-Adresse Ihrer Appliance. Wenn Ihre Appliance über IPv6 kommuniziert, verwenden Sie diese IP-Adresse zusammen mit der zugehörigen Scope-ID (Schnittstellen-ID).
   3. Das gemeinsame Geheimnis ist das gemeinsame RADIUS-Geheimnis für den externen Authentifikator, den Sie auf Ihrer Appliance konfigurieren werden.
5. Nehmen Sie im Abschnitt Authentifizierung die in Abbildung 1-1 unten dargestellten Einstellungen vor.

Abbildung 1-1

ESA wurde nun für die Kommunikation mit dem Citrix® Access Gateway-Gerät konfiguriert . Sie müssen nun das Citrix® Access Gateway-Gerät für die Kommunikation mit dem ESA-Server konfigurieren .

Schritt II - Konfigurieren Ihres Citrix® Access Gateway-Geräts

Um Citrix Gateway 13 zu konfigurieren, lesen Sie die Dokumentation zur Konfiguration der Radius-Authentifizierung und verwenden Sie die folgenden Werte:

• Server: Die IP-Adresse Ihres ESA RADIUS-Servers
• Geheimer Schlüssel: Ihr gemeinsames RADIUS-Geheimnis (siehe Abbildung 1-1)
• Confirm Secret Key: Wiederholen Sie Ihr Shared Secret

Um Citrix® Access Gateway (Verkauf Ende 2016) zu konfigurieren, führen Sie die folgenden Schritte aus:

1. Melden Sie sich bei der Citrix® Access Gateway-Verwaltungsoberfläche an.
2. Navigieren Sie zu Verwaltung → Authentifizierungsprofile.
3. Klicken Sie auf Hinzufügen und wählen Sie RADIUS.
4. Geben Sie im Fenster RADIUS-Eigenschaften einen Profilnamen ein (z. B. ESA RADIUS).
5. Klicken Sie auf Neu (unterhalb der Liste Server) und setzen Sie die folgenden Parameter auf die unten angegebenen Werte
   1. Server: Die IP-Adresse Ihres ESA-RADIUS-Servers
   2. Shared Secret: Ihr RADIUS-Shared Secret (siehe Abbildung 1-1)
   3. Confirm Secret: Wiederholen Sie Ihr Shared Secret
   4. Klicken Sie auf OK.
   5. Klicken Sie auf Speichern.
6. Navigieren Sie zu Management → Logon Points.
7. Klicken Sie auf Hinzufügen (oder bearbeiten Sie einen vorhandenen Anmeldepunkt).
8. Wählen Sie ESA RADIUS unter Authentifizierungsprofile.
9. Klicken Sie auf Speichern

Schritt III - Testen der Verbindung

So testen Sie die neu konfigurierte Verbindung:

1. Navigieren Sie zu der URL, die Sie normalerweise für SSL-VPN-Anmeldungen mit Ihrer Citrix® Access Gateway-Appliance verwenden.
2. Geben Sie die Anmeldedaten Ihres Testbenutzers ein. Stellen Sie sicher, dass Sie ein Konto verwenden, für das Mobile Application 2FA mit ESA aktiviert ist. Wenn Sie zur Eingabe eines Kennworts aufgefordert werden, fügen Sie das von der mobilen Anwendung generierte OTP an Ihr AD-Kennwort an. Wenn der Benutzer beispielsweise ein AD-Kennwort von Esa123 und ein OTP von 999111 hat, sollten Sie Esa123999111 eingeben.

Fehlersuche

Wenn Sie sich nicht über den ESA-RADIUS-Server authentifizieren können, stellen Sie sicher, dass Sie die folgenden Schritte durchgeführt haben:

1. Führen Sie einen Smoke-Test mit Ihrem RADIUS-Server durch, wie im Abschnitt Überprüfen der ESA-RADIUS-Funktionalität beschrieben.
2. Wenn keine Fehler behoben wurden und Sie immer noch keine Verbindung herstellen können, kehren Sie zu einer bestehenden Anmeldekonfiguration zurück (die keine 2FA verwendet) und überprüfen Sie, ob Sie eine Verbindung herstellen können
3. Wenn Sie mit den alten Einstellungen immer noch eine Verbindung herstellen können, stellen Sie die neuen Einstellungen wieder her und stellen Sie sicher, dass keine Firewall UDP 1812 zwischen Ihrem VPN-Gerät und Ihrem RADIUS-Server blockiert
4. Wenn Sie immer noch keine Verbindung herstellen können, wenden Sie sich an den technischen Support von ESET.