Solución
Introducción
Este artículo describe cómo configurar un dispositivo Citrix® NetScaler para autenticar usuarios frente a un ESA Server. Antes de proceder, verifique que haya sido instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda acceder al servicio de RADIUS que permite a los sistemas externos autenticar usuarios.
Antes de que su dispositivo Citrix® NetScaler pueda usar ESA Server para autenticar usuarios vía RADIUS, debe configurarse un cliente de RADIUS sobre ESA Server. A continuación, el servidor que ejecuta el servicio ESA RADIUS debe configurarse como RADIUS Server sobre el dispositivo Citrix® NetScaler. Una vez que estas configuraciones hayan sido especificadas, podrá iniciar sesión en su Citrix® NetScaler mediante las OTP de ESA.
Paso I - Configuración del cliente de RADIUS
Para permitir al dispositivo Citrix® NetScaler comunicarse con su ESA Server, deberá configurar Citrix® NetScaler como un cliente de RADIUS sobre su ESA Server:
-
Inicie ESA Management Console (se encuentra dentro de las Herramientas administrativas).
-
Diríjase hacia RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
-
Haga clic derecho y seleccione Agregar cliente dentro del menú contextual.
-
Configure un cliente de RADIUS (ver Figura 1-1)
- Haga clic en Aceptar - se le solicitará reiniciar el servicio de RADIUS. Hágalo desde el Panel de control de servicios.
Figura 1-1
ESA ya ha sido configurado para comunicarse con el dispositivo Citrix® Access Gateway. Ahora debe configurar el dispositivo Citrix® NetScaler para comunicarse con ESA Server.
Paso II - Configurando su dispositivo Citrix® NetScaler
Siga los pasos descriptos a continuación:
-
Inicie sesión en la interfaz de administración de Citrix® NetScaler..
-
Expanda las opciones Access Gateway → Virtual Servers, seleccione su actual Access Gateway Virtual Server and click Open.
-
En la ventana Configure Access Gateway Virtual Server diríjase a la solapa Authentication.
-
En la sección Authentication Policies, seleccione Primary y haga clic en Insert Policy.
-
En la ventana Configure Authentication Policy escriba un nombre para su política (por ejemplo, ESA Authentication)
-
Seleccione General en el primer menú desplegable y true en el segundo menú desplegable correspondiente a Named Expressions.
-
Haga clic en Add Expression → New (próximo a Server) y defina los siguientes parámetros en los valores indicados debajo:
-
Name: ESA RADIUS
-
IP Address: La dirección IP Address de su ESA RADIUS Server
-
Secret Key: Como fue ingresado en la Figure 1-1
-
Confirm Secret Key: Como se muestra arriba
- Password Encoding: PAP
-
Name: ESA RADIUS
-
Haga clic en OK en 3 oportunidades.
-
Haga clic en Save.
Paso III - Verificando la conexión
Para verificar la conexión recientemente configurada:
-
Localice la URL que utiliza normalemnte para los inicios de sesión SSL en la VPN con su appliance Citrix® NetScaler.
- Ingrese las credenciales de su usuario de su usuario de prueba. Asegúrese de encontrarse usando una cuenta la aplicación móvil de doble factor de autenticación utilizando ESA habilitado. Cuando se le solicite una contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como Esa123 y una OTP of 999111, usted deberá ingresar Esa123999111.
Resolución de problemas
Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:
-
Ejecute una prueba preliminar contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
-
Si ninguna falla fue arreglada y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
-
Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
- Si no puede conectarse, contacte al Equipo de soporte de ESET.