[KB3483] ¿Cómo configuro mi dispositivo Citrix® NetScaler para usarlo con ESET Secure Authentication?

Solución

Introducción


Este artículo describe cómo configurar un dispositivo Citrix® NetScaler para autenticar usuarios frente a un ESA Server. Antes de proceder, verifique que haya sido instalado el componente de RADIUS Server de ESET Secure Authentication y que pueda acceder al servicio de RADIUS que permite a los sistemas externos autenticar usuarios.

Antes de que su dispositivo Citrix® NetScaler pueda usar ESA Server para autenticar usuarios vía RADIUS, debe configurarse un cliente de RADIUS sobre ESA Server. A continuación, el servidor que ejecuta el servicio ESA RADIUS debe configurarse como RADIUS Server sobre el dispositivo Citrix® NetScaler. Una vez que estas configuraciones hayan sido especificadas, podrá iniciar sesión en su Citrix® NetScaler mediante las OTP de ESA.

Paso I - Configuración del cliente de RADIUS


Para permitir al dispositivo Citrix® NetScaler comunicarse con su ESA Server, deberá configurar Citrix® NetScaler como un cliente de RADIUS sobre su ESA Server: 

  1. Inicie ESA Management Console (se encuentra dentro de las Herramientas administrativas).
     
  2. Diríjase hacia RADIUS Servers y localice el hostname del servidor que ejecuta el servicio de ESA RADIUS.
     
  3. Haga clic derecho y seleccione Agregar cliente dentro del menú contextual.
     
  4. Configure un cliente de RADIUS (ver Figura 1-1)
     
  5. Haga clic en Aceptar - se le solicitará reiniciar el servicio de RADIUS. Hágalo desde el Panel de control de servicios.

Configurando su cliente de RADIUS

  • Para evitar cualquier usuario de Active Directory, sin doble factor de autenticación habilitado fuera de la VPN, recomendamos que permita contraseñas de Active Directory sin OTPs durante la fase de transición. También es recomendable que limite el acceso al grupo de seguridad de la VPN (por ejemplo VPNusers).
     
  • Asegúrese de que el casillero correspondiente a Mobile Application se encuentre seleccionado.

Figura 1-1

ESA ya ha sido configurado para comunicarse con el dispositivo Citrix® Access Gateway. Ahora debe configurar el dispositivo Citrix® NetScaler para comunicarse con ESA Server.

Paso II - Configurando su dispositivo Citrix® NetScaler


Siga los pasos descriptos a continuación:

  1. Inicie sesión en la interfaz de administración de Citrix® NetScaler..
     
  2. Expanda las opciones Access GatewayVirtual Servers, seleccione su actual  Access Gateway Virtual Server and click Open
     
  3. En la ventana Configure Access Gateway Virtual Server diríjase a la solapa Authentication.
     
  4. En la sección Authentication Policies, seleccione Primary y haga clic en Insert Policy.
     
  5. En la ventana Configure Authentication Policy escriba un nombre para su política (por ejemplo, ESA Authentication)
     
  6. Seleccione General en el primer menú desplegable y true en el segundo menú desplegable correspondiente a Named Expressions.
     
  7. Haga clic en Add ExpressionNew (próximo a Server) y defina los siguientes parámetros en los valores indicados debajo:
    1. Name: ESA RADIUS
       
    2. IP Address: La dirección IP Address de su ESA RADIUS Server
       
    3. Secret Key: Como fue ingresado en la Figure 1-1
       
    4. Confirm Secret Key: Como se muestra arriba
       
    5. Password Encoding: PAP
  8. Haga clic en OK en 3 oportunidades.
     
  9. Haga clic en Save.
     

Paso III - Verificando la conexión


 Para verificar la conexión recientemente configurada:

  1. Localice la URL que utiliza normalemnte para los inicios de sesión SSL en la VPN con su appliance Citrix® NetScaler.
     
  2. Ingrese las credenciales de su usuario de  su usuario de prueba. Asegúrese de encontrarse usando una cuenta la aplicación móvil de doble factor de autenticación utilizando ESA habilitado. Cuando se le solicite una contraseña, anexe la OTP generada por la aplicación móvil a su contraseña de AD. Por ejemplo, si el usuario posee una contraseña de AD como Esa123 y una OTP of 999111, usted deberá ingresar  Esa123999111.

 

Resolución de problemas

Si se encuentra imposibilitado de autenticar a través del servidor de ESA RADIUS, asegúrese de haber realizado estos pasos:

  1. Ejecute una prueba preliminar  contra su servidor RADIUS, de acuerdo al documento “Verifying ESA RADIUS Functionality”.
     
  2. Si ninguna falla fue arreglada y aún se ve imposibilitado para conectarse, regrese a una configuración de inicio de sesión existente (aquella que no use doble factor de autenticación) y verifique si logra conectar.
     
  3. Si aún no logra conectarse utilizando la configuración antigua, restaure los nuevos ajustes y compruebe que no exista ningún firewall bloqueando el puerto UDP 1812 entre su dispositivo VPN y su servidor RADIUS.
     
  4. Si no puede conectarse, contacte al Equipo de soporte de ESET.