[KB3482] Hogyan konfigurálhatom a Citrix® Access Gateway eszközt az ESET Secure Authentication használatához?

Bevezetés

A Citrix® Access Gateway egy SSL VPN átjáró, amely biztonságos hozzáférést biztosít a hálózatokhoz. Ez a cikk azt írja le, hogyan kell konfigurálni egy Citrix® Access Gateway eszközt a felhasználók hitelesítésére egy ESA-kiszolgálóval szemben. A folytatás előtt ellenőrizze, hogy telepítette-e az ESET Secure Authentication RADIUS Server komponensét, és hozzáfér-e a RADIUS szolgáltatáshoz, amely lehetővé teszi a külső rendszerek számára a felhasználók hitelesítését.

Mielőtt a Citrix® Access Gateway eszköz használhatná az ESA-kiszolgálót a felhasználók RADIUS-on keresztüli hitelesítésére, RADIUS-ügyfélként kell beállítani az ESA-kiszolgálón. Ezután az ESA RADIUS szolgáltatást futtató kiszolgálót RADIUS-kiszolgálóként kell beállítani a Citrix® Access Gateway eszközön. Miután ezeket a konfigurációkat megadtuk, elkezdhetünk bejelentkezni a Citrix® Access Gateway eszközre az ESA OTP-k segítségével.

I. lépés - RADIUS-ügyfél konfigurálása

Ahhoz, hogy a Citrix® Access Gateway eszköz kommunikálhasson az ESA-kiszolgálóval, a Citrix® Access Gateway eszközt RADIUS-ügyfélként kell konfigurálnia az ESA-kiszolgálón:

1. Jelentkezzen be a ESA webkonzolra.
2. Navigáljon a Components > RADIUS webhelyre, és keresse meg az ESA RADIUS szolgáltatást futtató kiszolgáló állomásnevét.
3. Kattintson az állomásnévre, majd kattintson a Új sugárzási ügyfél létrehozása gombra.
4. A Alapbeállítások szakaszban:
   1. Adjon a RADIUS-ügyfélnek egy megjegyezhető nevet a könnyű hivatkozás érdekében.
   2. Állítsa be a IP-címet és a megosztott titkot az ügyfél számára úgy, hogy azok megfeleljenek a VPN-berendezés konfigurációjának. Az IP-cím a készülék belső IP-címe. Ha a készülék IPv6-on keresztül kommunikál, használja ezt az IP-címet és a hozzá tartozó hatókör-azonosítót (interfész-azonosító).
   3. A megosztott titok a RADIUS megosztott titka a külső hitelesítőhöz, amelyet a készüléken konfigurál.
5. A Hitelesítés szakaszban alkalmazza az alábbi 1-1. ábrán látható beállításokat.

1-1. ábra

Az ESA-t most úgy konfigurálták, hogy kommunikálni tudjon a Citrix® Access Gateway eszközzel. Most a Citrix® Access Gateway-t kell konfigurálnia eszközt az ESA-kiszolgálóval való kommunikációra.

II. lépés - A Citrix® Access Gateway eszköz konfigurálása

A Citrix Gateway 13 konfigurálásához olvassa el a Radius hitelesítés konfigurálása című dokumentációt, és használja az alábbi értékeket:

• Server: Az ESA RADIUS-kiszolgáló IP-címe
• Titkos kulcs: A RADIUS megosztott titka (lásd az 1-1. ábrát)
• Titkos kulcs megerősítése: Ismételje meg a megosztott titkos kulcsot

A Citrix® Access Gateway (2016-ban véget ért az értékesítés) konfigurálásához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Citrix® Access Gateway admin felületére.
2. Navigáljon a Management → Authentication Profiles (Hitelesítési profilok) menüpontra.
3. Kattintson a Hozzáadás gombra, és válassza a RADIUS lehetőséget.
4. A RADIUS tulajdonságai ablakban adjon meg egy profilnevet (például ESA RADIUS).
5. Kattintson az Új gombra (a Kiszolgálók lista alatt), és állítsa be a következő paramétereket az alábbi értékekre:
   1. Szerver: Az ESA RADIUS-kiszolgáló IP-címe
   2. Megosztott titok: A RADIUS megosztott titka (lásd az 1-1. ábrát)
   3. Titok megerősítése: Ismételje meg a megosztott titkát
   4. Kattintson az OK gombra.
   5. Kattintson a Mentés gombra.
6. Navigáljon a Management (Kezelés ) → Logon Points (Bejelentkezési pontok) menüpontra.
7. Kattintson a Hozzáadás gombra (vagy egy meglévő bejelentkezési pont szerkesztésére ).
8. A Hitelesítési profilok között válassza az ESA RADIUS lehetőséget.
9. Kattintson a Mentés gombra

III. lépés - A kapcsolat tesztelése

Az újonnan konfigurált kapcsolat tesztelése:

1. Navigáljon arra az URL-címre, amelyet rendszerint a Citrix® Access Gateway eszközzel történő SSL VPN bejelentkezésekhez használ.
2. Adja meg a tesztfelhasználó hitelesítő adatait. Győződjön meg róla, hogy olyan fiókot használ, amelyben az ESA-t használó mobilalkalmazás 2FA engedélyezve van. Amikor jelszó megadására kérik, a mobilalkalmazás által generált OTP-t csatolja az AD-jelszóhoz. Ha például a felhasználó AD-jelszava Esa123, OTP-je pedig 999111, akkor írja be az Esa123999111 jelszót.

Hibaelhárítás

Ha nem tud az ESA RADIUS-kiszolgálón keresztül hitelesíteni, győződjön meg arról, hogy elvégezte a következő lépéseket:

1. Futtasson füstpróbát a RADIUS-kiszolgálóval az ESA RADIUS funkcionalitásának ellenőrzése című fejezetben leírtak szerint.
2. Ha nem javítottuk ki a hibákat, és még mindig nem tud csatlakozni, térjen vissza egy meglévő bejelentkezési konfigurációhoz (amely nem használja a 2FA-t), és ellenőrizze, hogy képes-e csatlakozni
3. Ha a régi beállításokkal még mindig tud csatlakozni, állítsa vissza az új beállításokat, és ellenőrizze, hogy nincs-e tűzfal, amely blokkolja az UDP 1812-t a VPN-eszköz és a RADIUS-kiszolgáló között
4. Ha továbbra sem tud csatlakozni, forduljon az ESET technikai támogatásához.