[KB3483] Jak skonfigurować urządzenie Citrix® NetScaler do użytku z ESET Secure Authentication?

NOTATKA:

Ta strona została przetłumaczona przez komputer. Kliknij przycisk Angielski w sekcji Języki na tej stronie, aby wyświetlić oryginalny tekst. Jeśli coś jest niejasne, skontaktuj się z lokalnym działem pomocy technicznej.

Rozwiązanie

Wprowadzenie

W tym artykule opisano, jak skonfigurować urządzenie Citrix® NetScaler do uwierzytelniania użytkowników na serwerze ESA. Przed kontynuowaniem należy upewnić się, że zainstalowano komponent serwera RADIUS ESET Secure Authentication i można uzyskać dostęp do usługi RADIUS, która umożliwia zewnętrznym systemom uwierzytelnianie użytkowników.

Zanim urządzenie Citrix® NetScaler będzie mogło używać serwera ESA do uwierzytelniania użytkowników za pośrednictwem usługi RADIUS, musi zostać skonfigurowane jako klient usługi RADIUS na serwerze ESA. Następnie serwer z uruchomioną usługą ESA RADIUS musi zostać skonfigurowany jako serwer RADIUS na urządzeniu Citrix® NetScaler. Po określeniu tych konfiguracji można rozpocząć logowanie do urządzenia Citrix® NetScaler przy użyciu OTP ESA.

UWAGA:

Ten przewodnik integracji wykorzystuje klienta, który nie weryfikuje nazwy użytkownika i hasła typu klienta dla tego konkretnego urządzenia VPN. Jeśli chcesz użyć innego typu klienta, zapoznaj się z generic description of Client types i sprawdź u dostawcy, czy urządzenie VPN je obsługuje.

Krok I - Konfiguracja klienta RADIUS

Aby umożliwić urządzeniu Citrix® NetScaler komunikację z serwerem ESA, należy skonfigurować urządzenie Citrix® NetScaler jako klienta RADIUS na serwerze ESA:

  1. Zaloguj się do ESA Web Console.
  2. Przejdź do Komponenty > RADIUS i znajdź nazwę hosta serwera, na którym uruchomiona jest usługa ESA RADIUS.
  3. Kliknij nazwę hosta, a następnie kliknij przycisk Create New Radius Client.
  4. W sekcji Ustawienia podstawowe
    1. Nadaj klientowi RADIUS łatwą do zapamiętania nazwę.
    2. Skonfiguruj adres IP i wspólny klucz tajny dla klienta tak, aby odpowiadały konfiguracji urządzenia VPN. Adres IP to wewnętrzny adres IP urządzenia. Jeśli urządzenie komunikuje się za pośrednictwem protokołu IPv6, należy użyć tego adresu IP wraz z powiązanym identyfikatorem zakresu (identyfikatorem interfejsu).
    3. Współdzielony klucz tajny to współdzielony klucz tajny usługi RADIUS dla zewnętrznego uwierzytelniacza, który zostanie skonfigurowany na urządzeniu.
  5. W sekcji Uwierzytelnianie zastosuj ustawienia pokazane na rysunku 1-1 poniżej.

Konfiguracja klienta usługi RADIUS

  • Aby zapobiec zablokowaniu istniejących użytkowników AD nieobsługujących uwierzytelniania dwuskładnikowego w sieci VPN, zalecamy zezwolenie użytkownikom nieobsługującym uwierzytelniania dwuskładnikowego na fazę przejściową. Zaleca się również ograniczenie dostępu VPN do grupy zabezpieczeń w sekcji Użytkownicy.
  • Upewnij się, że pole wyboru obok OTP aplikacji mobilnej jest zaznaczone.

Rysunek 1-1

ESA została skonfigurowana do komunikacji z urządzeniem Citrix® NetScaler . Teraz należy skonfigurować urządzenie Citrix® NetScaler do komunikacji z serwerem ESA.

Krok II - Konfigurowanie urządzenia Citrix® NetScaler

Wykonaj poniższe czynności:

  1. Zaloguj się do interfejsu administracyjnego Citrix® NetScaler.
  2. Rozwiń Access GatewayVirtual Servers, wybierz istniejący Access Gateway Virtual Server i kliknij Open.
  3. W oknie Configure Access Gateway Virtual Server przejdź do zakładki Authentication.
  4. W sekcji Authentication Policies wybierz Primary i kliknij Insert Policy.
  5. W oknie Configure Authentication Policy wpisz nazwę swojej zasady (na przykład ESA Authentication)
  6. Wybierz General z pierwszego menu rozwijanego i true z drugiego menu rozwijanego w sekcji Named Expressions
  7. Kliknij Add ExpressionNew (obok Server) i ustaw następujące parametry na wartości pokazane poniżej
    1. Name: ESA RADIUS
    2. Adres IP: Adres IP serwera ESA RADIUS
    3. Secret Key: Jak wprowadzono na Rysunku 1-1
    4. Potwierdź tajny klucz: Jak wyżej
    5. Kodowanie hasła: PAP
  8. Kliknij OK
  9. Kliknij OK
  10. Kliknij OK
  11. Kliknij Zapisz

Krok III - Testowanie połączenia

Aby przetestować nowo skonfigurowane połączenie:

  1. Przejdź do adresu URL, który jest zwykle używany do logowania SSL VPN w urządzeniu Citrix® NetScaler.
  2. Wprowadź poświadczenia użytkownika testowego. Upewnij się, że używasz użytkownika z włączoną funkcją 2FA aplikacji mobilnej przy użyciu ESA. Po wyświetleniu monitu o hasło, dodaj OTP wygenerowany przez aplikację mobilną do hasła AD. Na przykład, jeśli użytkownik ma hasło AD Esa123 i OTP 999111, należy wpisać Esa123999111.

Rozwiązywanie problemów

Jeśli nie możesz uwierzytelnić się za pośrednictwem serwera ESA RADIUS, upewnij się, że wykonałeś następujące kroki:

  1. Uruchom test dymu na serwerze RADIUS, zgodnie z dokumentem "Weryfikacja funkcjonalności ESA RADIUS".
  2. Jeśli żadne błędy nie zostały naprawione i nadal nie można się połączyć, należy powrócić do istniejącej konfiguracji logowania (która nie używa 2FA) i sprawdzić, czy można się połączyć
  3. Jeśli nadal nie można nawiązać połączenia przy użyciu starych ustawień, przywróć nowe ustawienia i sprawdź, czy zapora sieciowa nie blokuje protokołu UDP 1812 między urządzeniem VPN a serwerem RADIUS
  4. Jeśli nadal nie możesz się połączyć, skontaktuj się z pomocą techniczną ESET.
Ostatnio zaktualizowany: 20 lut 2026

Dodatkowe materiały:

Dokumentacja

Forum ESET

Poradniki w formie filmów
ESET Status Portal ESET Technical Support

Obecny klient?