[KB3458] Comment configurer mon serveur Citrix® XenApp™ pour l'utilisation d'ESET Secure Authentication ?

NOTE:

Cette page a été traduite par un ordinateur. Cliquez sur English sous Languages sur cette page pour afficher le texte original. Si vous estimez que quelque chose n'est pas clair, veuillez contacter votre support local.

Détails

Citrix® XenApp™ Server version 6.5 fournit un accès distant sécurisé aux réseaux internes de l'entreprise grâce à l'intégration native et, avec ESET Secure Authentication (ESA), grâce à RADIUS (sans qu'un serveur RADIUS distinct ne soit nécessaire pour servir d'intermédiaire).

Solution

Introduction

Cet article décrit comment configurer un serveur Citrix® XenApp™ version 6.5 pour authentifier les utilisateurs par rapport à un serveur ESA. Avant de poursuivre, vérifiez que vous avez installé le composant Serveur RADIUS d'ESET Secure Authentication et que vous pouvez accéder au service RADIUS qui permet aux systèmes externes d'authentifier les utilisateurs.

Avant que votre serveur Citrix® XenApp™ puisse utiliser le serveur ESA pour authentifier les utilisateurs via RADIUS, il doit être configuré en tant que client RADIUS sur le serveur ESA. Ensuite, votre serveur exécutant le service RADIUS ESA doit être configuré en tant que serveur RADIUS sur le serveur Citrix® XenApp™. Une fois ces configurations spécifiées, vous pouvez commencer à vous connecter à votre serveur Citrix® XenApp™ à l'aide des OTP ESA.

REMARQUE :

Ce guide d'intégration utilise Client valide le nom d'utilisateur et le mot de passe Type de client pour cette appliance VPN particulière. Si vous souhaitez utiliser un autre type de client, reportez-vous à generic description of Client types et vérifiez auprès du fournisseur si l'appareil VPN le prend en charge.

Étape I - Configuration du client RADIUS

Pour permettre au serveur Citrix® XenApp™ de communiquer avec votre serveur ESA, vous devez configurer le serveur Citrix® XenApp™ en tant que client RADIUS sur votre serveur ESA :

  1. Connectez-vous à la console Web ESA.
  2. Naviguez vers Composants > RADIUS et localisez le nom d'hôte du serveur exécutant le service RADIUS ESA.
  3. Cliquez sur le nom d'hôte, puis sur Create New Radius Client (Créer un nouveau client Radius).
  4. Dans la section Paramètres de base
    1. Donnez au client RADIUS un nom mémorable pour faciliter les références.
    2. Configurez l'adresse IP et le secret partagé pour le client afin qu'ils correspondent à la configuration de votre appareil VPN. L'adresse IP est l'adresse IP interne de votre appareil. Si votre appareil communique via IPv6, utilisez cette adresse IP ainsi que l'ID de portée (ID d'interface) correspondant.
    3. Le secret partagé est le secret partagé RADIUS pour l'authentificateur externe que vous configurerez sur votre appliance.
  5. Dans la section Authentification, appliquez les paramètres indiqués dans la figure 1-1 ci-dessous.

Configuration de votre client RADIUS

  • Pour éviter de bloquer les utilisateurs AD existants qui n'ont pas accès à l'authentification 2FA dans votre VPN, nous vous recommandons d'autoriser les utilisateurs qui n'ont pas accès à l'authentification 2FA au cours de la phase de transition. Il est également recommandé de limiter l'accès au VPN à un groupe de sécurité dans la section Utilisateurs.
  • Assurez-vous que la case à cocher à côté de Mobile Application OTPs est sélectionnée.

Figure 1-1

Notez que la case à cocher en regard de Mobile Application est sélectionnée. L'avertissement peut être ignoré sans risque, puisque Citrix® XenApp™ authentifiera les mots de passe AD des utilisateurs.

ESA a maintenant été configuré pour communiquer avec le serveur Citrix® XenApp™. Vous devez maintenant configurer le serveur Citrix® XenApp™ pour qu'il communique avec le serveur ESA. Tout d'abord, créez un secret partagé pour le protocole RADIUS, puis spécifiez une adresse IP de client d'accès au réseau pour RADIUS. Enfin, activez l'authentification à deux facteurs à l'aide de la console de gestion Citrix® XenApp™.

Étape II - Créer un secret partagé pour RADIUS

L'interface Web Citrix stocke votre secret partagé dans un fichier texte sur le système de fichiers local. L'emplacement de ce fichier est indiqué par la valeur de configuration RADIUS_SECRET_PATH dans le fichier web.config (normalement dans inetpubwwwrootCitrixXenApp pour les sites hébergés sur IIS) ou dans le fichier web.xml (pour les sites hébergés sur des serveurs d'application Java). L'emplacement indiqué est relatif au dossier conf pour les sites hébergés sur IIS et relatif au répertoire /WEB_INF pour les sites hébergés sur des serveurs d'application Java.

Pour créer le secret partagé, suivez les étapes ci-dessous :

  1. Créez un fichier texte (.txt) appelé radius_secret.txt qui contient la même clé secrète que celle utilisée à l'étape 4 de la section précédente (voir figure 1-1).
  2. Déplacez ce fichier à l'emplacement spécifié dans le fichier de configuration correspondant. Par exemple, web.config pour les sites hébergés sur IIS.
  3. Modifiez les autorisations de ce fichier de manière à ce qu'il ne soit accessible qu'aux utilisateurs ou processus appropriés.

Étape III - Spécifier l'adresse IP d'un client d'accès au réseau pour RADIUS

Le protocole RADIUS exige que les demandes d'accès aux serveurs RADIUS incluent l'adresse IP du client RADIUS (par exemple, l'interface Web). Pour activer l'authentification RADIUS, vous devez fournir l'adresse IP du serveur Web.

Pour fournir l'adresse IP du client RADIUS, procédez comme suit :

  1. Ouvrez le fichier web.config pour les sites hébergés dans IIS.
  2. Saisissez l'adresse IP du serveur Web (par exemple, le serveur hébergeant le site IIS) comme valeur du paramètre de configuration RADIUS_NAS_IP_ADDRESS.
  3. Enregistrez le fichier.

Étape IV - Activation de l'authentification à deux facteurs à l'aide de la console de gestion de l'interface Web Citrix

Vous devez maintenant activer l'authentification à deux facteurs dans l'interface Web pour que les utilisateurs puissent accéder à leur ensemble de ressources et l'afficher. Cela doit être fait via la tâche Méthodes d'authentification dans la console de gestion de l'interface Web de Citrix. En plus d'activer l'authentification à deux facteurs, vous pouvez spécifier une ou plusieurs adresses de serveurs RADIUS (et, optionnellement, des ports), le comportement d'équilibrage de charge ou de basculement des serveurs, et le délai de réponse.

  1. Connectez-vous à la console de gestion de l'interface Web Citrix.

Figure 4-1

  1. Cliquez avec le bouton droit de la souris sur le nom du site et choisissez Méthodes d'authentification, la fenêtre suivante s'affiche :

Figure 4-2

  1. Sélectionnez l'option Explicite et cliquez sur Propriétés.... La fenêtre Propriétés s'affiche :

Figure 4-3

  1. Sélectionnez Authentification à deux facteurs, choisissez RADIUS dans la liste déroulante Paramètres à deux facteurs et cliquez sur le bouton Ajouter.... La fenêtre contextuelle suivante s'affiche :

Figure 4-4

  1. Entrez l'adresse IP du serveur RADIUS ESA dans le champ Adresse du serveur, entrez 1812 comme Port du serveur et cliquez sur OK.
  2. Vous revenez à la fenêtre Propriétés. Cliquez sur OK pour enregistrer vos modifications.
  3. Vous revenez à la fenêtre Configure Authentication Methods (Configurer les méthodes d'authentification). Cliquez sur OK pour enregistrer vos modifications.
  4. Testez la configuration en accédant à l'interface Web Citrix® XenApp™ à partir d'un navigateur client. L'écran de connexion devrait maintenant afficher un champ PASSCODE , dans lequel l'OTP ESA peut être saisi pendant le processus de connexion.Vous êtes maintenant prêt à authentifier vos utilisateurs Citrix® XenApp™ contre ESET Secure Authentication.

Figure 4-5

Dernière mise à jour: 20 avr. 2026

Ressources supplémentaires:

Aide en ligne

Forum ESET

Vidéos de la base de connaissances
ESET Status Portal ESET Technical Support

Client existant?