[KB3483] Как настроить устройство Citrix® NetScaler для использования ESET Secure Authentication?

примечание:

Этот документ переведен для вашего удобства с помощью машинного перевода. Пожалуйста, будьте уверены, что мы приложили все усилия, чтобы обеспечить максимально точный перевод. Однако ни один автоматизированный перевод не призван заменить переводчика-человека. Официальным текстом является английская версия, которую можно найти, нажав на English справа от этого текста (или внизу, если вы читаете с мобильного). Если у вас возникли вопросы или замечания относительно точности переведенного текста, пожалуйста, обратитесь к официальной версии на английском языке или свяжитесь с местной службой поддержки. Спасибо за ваше терпение.

Решение

Введение

В этой статье описывается настройка устройства Citrix® NetScaler для аутентификации пользователей на сервере ESA. Прежде чем продолжить, убедитесь, что вы установили компонент RADIUS Server в ESET Secure Authentication и можете получить доступ к службе RADIUS, которая позволяет внешним системам аутентифицировать пользователей.

Прежде чем устройство Citrix® NetScaler сможет использовать ESA Server для аутентификации пользователей через RADIUS, оно должно быть настроено как клиент RADIUS на ESA Server. Затем ваш сервер, на котором запущена служба ESA RADIUS, должен быть настроен как сервер RADIUS на устройстве Citrix® NetScaler. После выполнения этих настроек можно приступать к входу в устройство Citrix® NetScaler с помощью ESA OTP.

ПРИМЕЧАНИЕ:

В данном руководстве по интеграции используется клиент без подтверждения имени пользователя и пароля типа Client для данного конкретного VPN-устройства. Если вы хотите использовать другой тип клиента, обратитесь к общее описание типов клиентов и уточните у производителя, поддерживает ли его VPN-устройство.

Шаг I - Настройка клиента RADIUS

Чтобы устройство Citrix® NetScaler могло взаимодействовать с сервером ESA Server, необходимо настроить устройство Citrix® NetScaler в качестве клиента RADIUS на сервере ESA Server:

  1. Войдите в веб-консоль ESA.
  2. Перейдите в раздел Компоненты > RADIUS и найдите имя хоста сервера, на котором запущена служба ESA RADIUS.
  3. Щелкните имя хоста, а затем нажмите кнопку Создать новый клиент Radius.
  4. В разделе Основные параметры
    1. Дайте клиенту RADIUS запоминающееся имя для удобства использования.
    2. Настройте IP-адрес и общий секрет клиента так, чтобы они соответствовали конфигурации вашего VPN-устройства. IP-адрес - это внутренний IP-адрес вашего устройства. Если устройство работает по протоколу IPv6, используйте этот IP-адрес вместе с соответствующим идентификатором диапазона (идентификатором интерфейса).
    3. Общий секрет - это общий секрет RADIUS для внешнего аутентификатора, который вы настроите на своем устройстве.
  5. В разделе Аутентификация примените настройки, показанные на рисунке 1-1 ниже.

Настройка клиента RADIUS

  • Чтобы не допустить блокировки существующих пользователей AD, не имеющих доступа к VPN по протоколу 2FA, мы рекомендуем разрешить пользователям не использовать 2FA на этапе перехода. Также рекомендуется ограничить доступ к VPN группой безопасности в разделе Пользователи.
  • Убедитесь, что флажок рядом с Mobile Application OTPs установлен.

Рисунок 1-1

Теперь ESA настроена на взаимодействие с устройством Citrix® NetScaler . Теперь необходимо настроить устройство Citrix® NetScaler на взаимодействие с сервером ESA.

Шаг II - Настройка устройства Citrix® NetScaler

Выполните следующие действия:

  1. Войдите в административный интерфейс Citrix® NetScaler.
  2. Разверните Access GatewayVirtual Servers, выберите существующий Access Gateway Virtual Server и нажмите Open.
  3. В окне Настройка виртуального сервера Access Gateway перейдите на вкладку Аутентификация.
  4. В разделе Политики аутентификации выберите Первичная и нажмите Вставить политику.
  5. В окне Настройка политики аутентификации введите имя политики (например, ESA Authentication)
  6. В первом раскрывающемся меню выберите General (Общие), а во втором раскрывающемся меню True ( Именованные выражения)
  7. Нажмите Add ExpressionNew (рядом с Server) и установите следующие параметры в значения, показанные ниже
    1. Имя: ESA RADIUS
    2. IP-адрес: IP-адрес вашего сервера ESA RADIUS
    3. Секретный ключ: Как указано на рисунке 1-1
    4. Подтвердите секретный ключ: Как указано выше
    5. Кодировка пароля: PAP
  8. Нажмите OK
  9. Нажмите OK
  10. Нажмите OK
  11. Нажмите Сохранить

Шаг III - Тестирование соединения

Чтобы протестировать только что настроенное соединение:

  1. Перейдите на URL-адрес, который вы обычно используете для входа в систему SSL VPN на устройстве Citrix® NetScaler.
  2. Введите учетные данные тестового пользователя. Убедитесь, что вы используете пользователя с включенной функцией Mobile Application 2FA using ESA. Когда появится запрос на ввод пароля, добавьте OTP, сгенерированный мобильным приложением, к паролю AD. Например, если у пользователя пароль AD - Esa123, а OTP - 999111, введите Esa123999111.

Устранение неполадок

Если вам не удается пройти аутентификацию через сервер ESA RADIUS, убедитесь, что вы выполнили следующие действия:

  1. Проведите дымовой тест вашего сервера RADIUS в соответствии с документом "Проверка работоспособности ESA RADIUS".
  2. Если неисправности не были устранены и вы по-прежнему не можете подключиться, вернитесь к существующей конфигурации входа (которая не использует 2FA) и убедитесь, что вы можете подключиться
  3. Если вы все еще не можете подключиться, используя старые настройки, восстановите новые настройки и убедитесь, что брандмауэр не блокирует UDP 1812 между вашим VPN-устройством и сервером RADIUS
  4. Если вы по-прежнему не можете подключиться, обратитесь в службу технической поддержки ESET.
Last Updated: 9 мар. 2026 г.

Дополнительные ресурсы

Документация

Форум пользователей

Видео
ESET Status Portal ESET Technical Support

Существующий клиент?