[KB3458] Як налаштувати сервер Citrix® XenApp™ для використання з ESET Secure Authentication

Citrix® XenApp™ Server версії 6.5 забезпечує безпечний віддалений доступ до внутрішніх корпоративних мереж завдяки вбудованій інтеграції, а з ESET Secure Authentication (ESA) - через RADIUS (без необхідності використання окремого RADIUS-сервера в якості посередника).

Вступ

У цій статті описано, як налаштувати Citrix® XenApp™ Server версії 6.5 для автентифікації користувачів на сервері ESA. Перш ніж продовжити, переконайтеся, що ви інсталювали компонент RADIUS Server в ESET Secure Authentication і маєте доступ до служби RADIUS, яка дозволяє зовнішнім системам автентифікувати користувачів.

Перш ніж ваш сервер Citrix® XenApp™ зможе використовувати сервер ESA для автентифікації користувачів за допомогою RADIUS, його потрібно налаштувати як клієнта RADIUS на сервері ESA. Потім ваш сервер, на якому запущено службу ESA RADIUS, потрібно налаштувати як сервер RADIUS на сервері Citrix® XenApp™. Після того, як ці конфігурації будуть вказані, ви можете почати вхід на сервер Citrix® XenApp™ Server за допомогою OTP-серверів ESA.

Крок I - Налаштування клієнта RADIUS

Щоб дозволити серверу Citrix® XenApp™ взаємодіяти з сервером ESA Server, необхідно налаштувати сервер Citrix® XenApp™ як клієнт RADIUS на сервері ESA Server:

1. Увійдіть у веб-консоль ESA.
2. Перейдіть до Компоненти > RADIUS і знайдіть ім'я хоста сервера, на якому запущено службу ESA RADIUS.
3. Клацніть ім'я хоста, а потім натисніть Створити нового клієнта радіуса.
4. У розділі Основні параметри
   1. Дайте клієнту RADIUS ім'я, яке легко запам'ятовується.
   2. Налаштуйте IP-адресу і спільний секрет для клієнта так, щоб вони відповідали конфігурації вашого VPN-пристрою. IP-адреса - це внутрішня IP-адреса вашого пристрою. Якщо ваш пристрій взаємодіє через IPv6, використовуйте цю IP-адресу разом із відповідним ідентифікатором діапазону (ідентифікатором інтерфейсу).
   3. Спільний секрет - це спільний секрет RADIUS для зовнішнього автентифікатора, який ви налаштуєте на своєму пристрої.
5. У розділі Автентифікація застосуйте налаштування, показані на Рисунку 1-1 нижче.

Малюнок 1-1

Зверніть увагу, що прапорець навпроти пункту Мобільний додаток встановлено. Попередження можна безпечно проігнорувати, оскільки Citrix® XenApp™ автентифікує паролі AD користувачів.

ESA налаштовано на зв'язок із сервером Citrix® XenApp™. Тепер потрібно налаштувати сервер Citrix® XenApp™ на зв'язок із сервером ESA. Спочатку створіть спільний секрет для протоколу RADIUS, а потім вкажіть IP-адресу клієнта мережевого доступу для RADIUS. Нарешті, увімкніть двофакторну автентифікацію за допомогою консолі управління Citrix® XenApp™.

Крок II - Створіть спільний секрет для RADIUS

Веб-інтерфейс Citrix зберігає ваш спільний секрет у текстовому файлі в локальній файловій системі. Розташування цього файлу визначається значенням конфігурації RADIUS_SECRET_PATH у файлі web.config (зазвичай в inetpubwwwrootCitrixXenApp для сайтів, розміщених на IIS) або файлі web.xml (для сайтів, розміщених на серверах додатків Java). Вказане розташування відносно папки conf для сайтів, розміщених на IIS, і відносно каталогу /WEB_INF для сайтів, розміщених на серверах додатків Java.

Щоб створити спільний секрет, виконайте наведені нижче дії:

1. Створіть текстовий (.txt) файл з назвою radius_secret.txt, який містить той самий секретний ключ, який ви використовували на кроці 4 попереднього розділу (див. Рисунок 1-1).
   
2. Перемістіть цей файл у місце, вказане у відповідному файлі конфігурації. Наприклад, web.config для сайтів, розміщених на IIS.
   
3. Змініть права доступу до цього файлу таким чином, щоб він був доступний лише відповідним користувачам або процесам.

Крок III - Вказівка IP-адреси клієнта мережевого доступу для RADIUS

Протокол RADIUS вимагає, щоб запити на доступ до серверів RADIUS включали IP-адресу клієнта RADIUS (наприклад, веб-інтерфейсу). Щоб увімкнути автентифікацію RADIUS, необхідно вказати IP-адресу веб-сервера.

Щоб вказати IP-адресу RADIUS-клієнта, виконайте наведені нижче дії:

1. Відкрийте файл web.config для сайтів, розміщених в IIS.
   
2. Введіть IP-адресу веб-сервера (наприклад, сервера, на якому розміщено сайт IIS) як значення параметра конфігурації RADIUS_NAS_IP_ADDRESS.
   
3. Збережіть файл.
   

Крок IV - Увімкнення двофакторної автентифікації за допомогою консолі керування веб-інтерфейсом Citrix

Тепер ви повинні увімкнути двофакторну автентифікацію у веб-інтерфейсі, щоб користувачі могли отримати доступ до свого набору ресурсів і відображати їх. Це слід зробити за допомогою завдання Методи автентифікації в консолі керування веб-інтерфейсом Citrix. Окрім увімкнення двофакторної автентифікації, ви можете вказати одну або кілька адрес серверів RADIUS (і, за бажанням, портів), розподіл навантаження або поведінку серверів при відмові, а також час очікування відповіді.

1. Увійдіть в консоль керування веб-інтерфейсом Citrix.

Малюнок 4-1

2. Клацніть правою кнопкою миші на назві сайту і виберіть Методи автентифікації, відкриється наступне вікно:

Рисунок 4-2

3. Виберіть опцію Явна і натисніть Властивості.... З'явиться вікно Властивості:

Рисунок 4-3

4. Виберіть Двофакторна автентифікація, виберіть RADIUS у випадаючому списку Двофакторний параметр і натисніть кнопку Додати.... З'явиться наступне спливаюче вікно:

Рисунок 4-4

5. Введіть IP-адресу сервера ESA RADIUS у полі Адреса сервера, введіть 1812 як Порт сервера і натисніть кнопку ОК.
   
6. Вас буде повернуто до вікна Властивості. Натисніть OK, щоб зберегти зміни.
   
7. Вас буде повернуто до вікна Налаштування методів автентифікації. Натисніть OK , щоб зберегти зміни.
   
8. Перевірте налаштування, перейшовши до веб-інтерфейсу Citrix® XenApp™ з клієнтського браузера. На екрані входу має з'явитися поле PASSCODE , в яке можна ввести ESA OTP під час процесу входу. Тепер ви готові до автентифікації користувачів Citrix® XenApp™ за допомогою ESET Secure Authentication.

Малюнок 4-5