[KB3482] Comment puis-je configurer mon périphérique Citrix® Access Gateway pour l'utiliser avec ESET Secure Authentication ?

Introduction

Citrix® Access Gateway est une passerelle VPN SSL qui fournit un accès sécurisé aux réseaux. Cet article décrit comment configurer un périphérique Citrix® Access Gateway pour authentifier les utilisateurs par rapport à un serveur ESA. Avant de poursuivre, vérifiez que vous avez installé le composant Serveur RADIUS d'ESET Secure Authentication et que vous pouvez accéder au service RADIUS qui permet aux systèmes externes d'authentifier les utilisateurs.

Avant que votre périphérique Citrix® Access Gateway puisse utiliser le serveur ESA pour authentifier les utilisateurs via RADIUS, il doit être configuré en tant que client RADIUS sur le serveur ESA. Ensuite, votre serveur exécutant le service RADIUS ESA doit être configuré en tant que serveur RADIUS sur le périphérique Citrix® Access Gateway. Une fois ces configurations spécifiées, vous pouvez commencer à vous connecter à votre périphérique Citrix® Access Gateway à l'aide des OTP ESA.

Étape I - Configuration du client RADIUS

Pour permettre au dispositif Citrix® Access Gateway de communiquer avec votre serveur ESA, vous devez configurer le dispositif Citrix® Access Gateway en tant que client RADIUS sur votre serveur ESA :

1. Connectez-vous à la console Web ESA.
2. Naviguez vers Composants > RADIUS et localisez le nom d'hôte du serveur exécutant le service RADIUS ESA.
3. Cliquez sur le nom d'hôte, puis sur Create New Radius Client (Créer un nouveau client Radius).
4. Dans la section Basic Settings (Paramètres de base)
   1. Donnez au client RADIUS un nom mémorable pour faciliter les références.
   2. Configurez l'adresse IP et le secret partagé pour le client afin qu'ils correspondent à la configuration de votre appareil VPN. L'adresse IP est l'adresse IP interne de votre appareil. Si votre appareil communique via IPv6, utilisez cette adresse IP ainsi que l'ID de portée (ID d'interface) correspondant.
   3. Le secret partagé est le secret partagé RADIUS pour l'authentificateur externe que vous configurerez sur votre appliance.
5. Dans la section Authentification, appliquez les paramètres indiqués dans la figure 1-1 ci-dessous.

Figure 1-1

L'ESA a maintenant été configuré pour communiquer avec le périphérique Citrix® Access Gateway. Vous devez maintenant configurer le périphérique Citrix® Access Gateway pour qu'il communique avec le serveur ESA .

Étape II - Configuration du périphérique Citrix® Access Gateway

Pour configurer Citrix Gateway 13, reportez-vous à sa documentation sur la configuration de l'authentification Radius et utilisez les valeurs ci-dessous :

• Serveur : l'adresse IP de votre serveur RADIUS ESA
• Clé secrète: votre secret partagé RADIUS (voir Figure 1-1)
• Confirm Secret Key (Confirmer la clé secrète ): Répétez votre secret partagé

Pour configurer Citrix® Access Gateway (vente terminée en 2016), suivez les étapes ci-dessous :

1. Connectez-vous à votre interface d'administration Citrix® Access Gateway.
2. Naviguez vers Gestion → Profils d'authentification.
3. Cliquez sur Ajouter et sélectionnez RADIUS.
4. Dans la fenêtre Propriétés RADIUS, entrez un nom de profil (par exemple, ESA RADIUS).
5. Cliquez sur Nouveau (sous la liste Serveurs) et définissez les paramètres suivants aux valeurs indiquées ci-dessous
   1. Serveur : L'adresse IP de votre serveur ESA RADIUS
   2. Secret partagé: votre secret partagé RADIUS (voir Figure 1-1)
   3. Confirm Secret : Répétez votre secret partagé
   4. Cliquez sur OK.
   5. Cliquez sur Enregistrer.
6. Naviguez vers Gestion → Points de connexion.
7. Cliquez sur Ajouter (ou Modifier un point de connexion existant).
8. Sélectionnez ESA RADIUS sous Profils d'authentification.
9. Cliquez sur Enregistrer

Étape III - Test de la connexion

Pour tester la connexion nouvellement configurée :

1. Naviguez jusqu'à l'URL que vous utilisez normalement pour les connexions VPN SSL avec votre appliance Citrix® Access Gateway.
2. Saisissez les informations d'identification de votre utilisateur de test. Assurez-vous que vous utilisez un compte dont l'application mobile 2FA utilisant ESA est activée. Lorsque vous êtes invité à saisir un mot de passe, ajoutez l'OTP généré par l'application mobile à votre mot de passe AD. Par exemple, si le mot de passe AD de l'utilisateur est Esa123 et l'OTP 999111, vous devez taper Esa123999111.

Résolution des problèmes

Si vous ne parvenez pas à vous authentifier via le serveur RADIUS de l'ESA, assurez-vous d'avoir effectué les étapes suivantes :

1. Exécutez un test de fumée sur votre serveur RADIUS, comme indiqué dans la section Vérification de la fonctionnalité du serveur RADIUS de l'ESA.
2. Si aucune erreur n'a été corrigée et que vous ne parvenez toujours pas à vous connecter, revenez à une configuration de connexion existante (qui n'utilise pas 2FA) et vérifiez que vous pouvez vous connecter
3. Si vous pouvez toujours vous connecter en utilisant les anciens paramètres, restaurez les nouveaux paramètres et vérifiez qu'aucun pare-feu ne bloque le protocole UDP 1812 entre votre appareil VPN et votre serveur RADIUS
4. Si vous ne parvenez toujours pas à vous connecter, contactez le support technique d'ESET.