[KB3482] ¿Cómo configuro mi dispositivo Citrix® Access Gateway para usarlo con ESET Secure Authentication?

Solución

Introducción


Citrix® Access Gateway es una puerta de enlace SSL VPN que provee acceso seguro a redes. Este artículo describe cómo configurar un dispositivo Citrix® Access Gateway para autenticar usuarios frente a un ESA Server. Antes de proceder, verifique que haya sido instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda acceder al servicio de RADIUS que permite a los sistemas externos autenticar usuarios.

Antes de que su dispositivo Citrix® Access Gateway pueda usar ESA Server para autenticar usuarios vía RADIUS, debe configurarse un cliente de RADIUS sobre ESA Server. A continuación, el servidor que ejecuta el servicio ESA RADIUS debe configurarse como RADIUS Server sobre el dispositivo Citrix® Access Gateway. Una vez que estas configuraciones hayan sido especificadas, podrá iniciar sesión en su Citrix® Access Gateway mediante las OTP de ESA.

Paso I - Configuración del cliente de RADIUS


Para permitir al dispositivo Citrix® Access Gateway comunicarse con su ESA Server, deberá configurar Citrix® Access Gateway como un cliente de RADIUS sobre su ESA Server: 

  1. Inicie ESA Management Console (se encuentra dentro de las Herramientas administrativas).
     
  2. Diríjase hacia RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
     
  3. Haga clic derecho y seleccione Agregar cliente dentro del menú contextual.
     
  4. Configure un cliente de RADIUS (ver Figura 1-1)
     
  5. Haga clic en Aceptar - se le solicitará reiniciar el servicio de RADIUS. Hágalo desde el Panel de control de servicios.

Configurando su cliente de RADIUS

  • Para evitar cualquier usuario de Active Directory, sin doble factor de autenticación habilitado fuera de la VPN, recomendamos que permita contraseñas de Active Directory sin OTPs durante la fase de transición. También es recomendable que limite el acceso al grupo de seguridad de la VPN (por ejemplo VPNusers).
     
  • Asegúrese de que el casillero correspondiente a Mobile Application se encuentre seleccionado.

Figura 1-1

ESA ya ha sido configurado para comunicarse con el dispositivo Citrix® Access Gateway. Ahora debe configurar el dispositivo Citrix® Access Gateway para comunicarse con ESA Server. 

Paso II - Configurando su dispositivo Citrix® Access Gateway


Siga los pasos descriptos a continuación: 

  1. Inicie sesión en la interfaz de administración de Citrix® Access Gateway.
     
  2. Diríjase a Management Authentication Profiles.
     
  3. Haga clic en Add y seleccione RADIUS.
     
  4. En la ventana RADIUS Properties, ingrese un nombre de perfil dentro del campo Profile Name (por ejemplo, ESA RADIUS).
     
  5. Haga clic en New (debajo de Servers list) y defina los siguientes parámetros en los valores indicados debajo:

    1. Server: La dirección IP de su servidor ESA RADIUS
       
    2. Shared Secret: Su shared secret de RADIUS (ver Figura 1-1)
       
    3. Confirm Secret: Repita su shared seceret
       
    4. Haga clic en OK.
       
    5. Haga clic en Save.
       
  6. Diríjase a Management Logon Points.

  7. Haga clic en Add (o modifique un punto de inicio haciendo clic en Edit).
     
  8. Seleccione ESA RADIUS dentro de Authentication Profiles.

  9. Haga clic en Save
     

Paso III - Verificando la conexión


 Para verificar la conexión recientemente configurada:

  1. Localice la URL que utiliza normalemnte para los inicios de sesión SSL en la VPN con su appliance Citrix® Access Gateway.
     
  2. Ingrese las credenciales de su usuario de  su usuario de prueba. Asegúrese de encontrarse usando una cuenta la aplicación móvil de doble factor de autenticación utilizando ESA habilitado. Cuando se le solicite una contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como Esa123 y una OTP of 999111, usted deberá ingesar  Esa123999111.

 

Resolución de problemas

Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:

  1. Ejecute una prueba preliminar  contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
     
  2. Si ninguna falla fue arreglada y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
     
  3. Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
     
  4. Si no puede conectarse, contacte al Equipo de soporte de ESET