Вход в личный кабинет Перед началом работы
Убедитесь, что на сервере с Zabbix открыты порт 389 TCP (LDAP) и 636 TCP (LDAPS) для отправки запросов на сервер MultiFactor LDAP Adapter.
Перед началом настройки
Перед настройкой Мультифактора у вас должна быть работоспособная схема аутентификации пользователей в вашем Citrix Gateway.
Для интеграции Мультифактора с вашим Citrix Gateway необходимо установить внутри вашего сетевого периметра адаптер, выступающий в качестве RADIUS сервера, поэтому у вас не будет необходимости устанавливать отдельный RADIUS сервер, для работы с Мультифактором.
Выпуск сертификата для IIS
На сервере, где установлено ПО XenDesktop 7, запустите оснастку управления сервисом Internet Information Services (IIS) (рис. 22).
Рис. 22 — Путь к оснастке управления сервисом IIS
Откройте вкладку Server Certificates (рис. 23).
Рис. 23 — Оснастка управления сервисом IIS
Выберите Create Domain Certificate (рис. 24).
Рис. 24 — Вкладка «Create Certificate»
Заполните информацию об организации для выпускаемого сертификата (рис. 25).
В поле Common name укажите полное доменное имя сервера с установленным ПО XenDesktop. В настоящем примере: xd7.aladdin.local.
Рис. 25 — Данные об организации в выпускаемом сертификате
Выберите центр сертификации организации и в поле Friendly name укажите полное доменное имя сервера с установленным ПО XenDesktop. В настоящем примере: xd7.aladdin.local (рис. 26).
Рис. 26 — Выпуск сертификата для сервиса IIS
Нажмите Finish.
Убедитесь в том, что сертификат выпущен успешно (рис. 27).
Рис. 27 — Результат выпуска сертификата
Создание каталога виртуальных машин
Перед созданием каталога для виртуальных машин необходимо подготовить эталонную машину. В данном тестовом окружении – это виртуальная машина с операционной системой (ОС) Windows 7 (32-bit).
Для подготовки эталонной машины на неё необходимо установить ПО Virtual Delivery Agent (дистрибутив которого расположен на диске с ПО XenDesktop 7.0), JC Client 6.24.16 (установка и настройка ПО JC Client 6.24.16 описаны в документе «JC-Client — Руководство администратора»), а также другое ПО, которое необходимо для работы пользователей данной группы. После установки виртуальную машину необходимо выключить.
Cоздание каталога для виртуальных машин
Настройка SSL доступа к IIS
Перейдите на вкладку
Default Web Site
и нажмите
Bindings…
В открывшемся окне нажмите Add (рис. 28).
Рис. 28 — Окно настройки «Site Bindings»
Создание группы пользователей виртуальных машин — Delivery Group
Для связи созданных виртуальных машин с пользователями, необходимо настроить группу пользователей виртуальных машин (
Delivery Group
Откройте консоль управления Citrix Studio и перейдите во вкладку Delivery Group -> Create Delivery Group (рис. 10).
Рис. 10 — Окно «Delivery Group»
Выберите ранее созданный каталог виртуальных машин и укажите, сколько виртуальных машин будет доступно для пользователей этой группы (рис. 11).
Рис. 11 — Окно «Machines»
Нажмите Next.
Выберите тип доставляемых ресурсов: приложения или виртуальные машины (рис. 12).
Рис. 12 — Выбор «Delivery Type»
Нажмите Next.
Назначьте пользователей, с которыми будут связаны виртуальные машины (рис. 13).
Рис. 13 — Окно выбора пользователей
Нажмите Next.
ПО Citrix Receiver настраивается позднее (см. раздел 2.5).
В следующем окне выберите пункт Manually, using a StoreFront server address that I will provide later (рис. 14).
Рис. 14 — Окно настройки «Citrix StoreFront»
Нажмите Next.
Проверьте итоговые настройки и определите название группы (рис. 15).
Рис. 15 — Окно «Summary»
Нажмите Finish.
Группа пользователей виртуальных машин создана (рис. 16).
Рис. 16 — Созданная «Delivery Group»
Внимание: Убедитесь в том, что все виртуальные машины в пуле зарегистрированы (имеют статус Registered (рис. 17)).
Рис. 17 — Окно статуса виртуальных машин
Установка и настройка ПО Citrix Receiver 4.0 для включения SSO при аутентификации по смарт-картам.
Для настройки сквозной аутентификации по смарт-картам на Citrix Receiver 4.0 необходимо выполнить установку Citrix Receiver 4.0 с дополнительными параметрами. Установка Citrix Receiver 4.0 выполняется из командной строки:
Подробную информацию для настройки аутентификации по смарт-картам можно найти на сайте электронной документации:
Настройка Citrix StoreFront
Внимание!
При работе с StoreFront в многосерверных установках используйте только один сервер при внесении изменений в настройки. Убедитесь в том, что консоль управления Citrix StoreFront не выполняется на другом сервере или серверах данной серверной группы. После завершения конфигурирования убедитесь в том, что изменения применились на все серверы группы (
Запустите Citrix Studio. Во вкладке Citrix StoreFront откройте вкладку Authentication (рис. 31).
Рис. 31 — Вкладка «StoreFront Authentication»
Выберите пункт Add/Remove Authentication Methods.
Откроется окно Add/Remove Methods (рис. 32).
Выберите метод аутентификации Smart card.
Рис. 32 — Окно «Add/Remove Authentication Methods»
Нажмите OK.
Убедитесь в том, что на вкладке Authentication добавился метод аутентификации Smart card (рис. 33).
Рис. 33 — Результат изменения методов аутентификации
Откройте Default Web Site -> Citrix -> Authentication -> Certificate (рис. 34).
Рис. 34 — Вкладка Certificate Home
Выберите пункт SSL Settings -> Require SSL. Отметьте параметр Require (рис. 35).
Рис. 35 — Настройки SSL Settings
Для проверки правильности SSL-настроек необходимо выполнить следующую последовательность действий:
Вместо xd7.aladdin.local необходимо указать полное доменное имя сервера с ПО Citrix XenDesktop.
Отобразится следующее окно, в котором необходимо выбрать сертификат пользователя (рис. 36).
Рис. 36 — Окно запроса сертификата пользователя
Выберите сертификат пользователя и нажмите OK.
Отобразится следующее окно (рис. 37).
Рис. 37 — Окно запроса PIN-кода для смарт-карты пользователя
Введите PIN-код смарт-карты пользователя и нажмите OK.
Если SSL соединение установлено успешно, то Вы увидите на открывшейся странице информацию о сертификате пользователя (рис. 38).
Рис. 38 — Окно проверки сертификата пользователя
Подключитесь к серверу с установленным ПО Citrix XenDesktop и выполните настройку протоколов связи для SSL.
Проверка доступности виртуальных машин
Перейдите на рабочую станцию (ПК) пользователя. Это Windows 7 x64 с предустановленным JC Client 6.24.16.
Настройка XML-запросов
Необходимо разрешить XML-запросы к серверу с установленным ПО Citrix XenDesktop. Для этого выполните следующие действия.
На сервере с установленным ПО Citrix XenDesktop откройте командную строку Windows PowerShell (рис. 45).
Рис. 45 — Путь к командной строке «Windows PowerShell»
В открывшейся командной строке выполните команду:
Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true (рис. 46)
Рис. 46 — Командная строка «Windows PowerShell»
Настройка ПО Citrix StoreFront 2.1 для включения сквозной аутентификации по смарт-картам
Внимание
: При работе с ПО Citrix StoreFront в многосерверных установках используйте только один сервер при внесении изменений в настройки. Убедитесь в том, что консоль управления Citrix StoreFront не выполняется на другом(их) серверах данной серверной группы. После завершения конфигурирования убедитесь в том, что изменения применились на все серверы группы (
Для настройки ПО Citrix StoreFront для работы SSO при аутентификации по смарт-картам необходимо выполнить следующие действия на сервере с установленным ПО Citrix StoreFront:
В качестве итога хочется ещё раз отметить преимущества применения строгой двухфакторной
аутентификации в VDI с использованием решений «Аладдин Р.Д.»:
Настройка ПК пользователя
Подключитесь к ПК пользователя. Откройте ПО Citrix Receiver и добавьте строку подключения к серверу, с опубликованными рабочими столами и/или приложениями (рис. 47).
Рис. 47 — Добавление адерса сервера в ПО Citrix Receiver
Active directory
Для проверки первого фактора в Active Directory/LDAP необходимо установить опции first-factor-authentication-source значение ActiveDirectory.
Настройте параметры подключения к AD.
Следующие настройки являются опциональными:
Восстановление доступа
В случае необходимости можно изменить тип аутентификации на Internal непосредственно в базе данных Zabbix (MySQL или PostgreSQL).
Запуск адаптера
Компонент может работать в консольном режиме или в качестве службы Windows. Для запуска в консольном режиме достаточно запустить приложение MultiFactor.Radius.Adapter.exe
Для установки, как Windows Service, запустите с ключом /i от имени Администратора
MultiFactor.Radius.Adapter.exe /i
Компонент устанавливается в режиме автоматического запуска от имени Network Service.
Настройка citix gateway
- Зайдите в административный интерфейс Citrix Gateway.
- Перейдите в Citrix Gateway → Virtual Servers в левой панели административного интерфейса.
- Выберите необходимый Citrix Gateway Virtual Server и нажмите Edit.
- На странице “VPN Virtual Server” нажмите значок плюса ( ) рядом с Basic Authentication чтобы добавить новую политику аутентификации.
- На странице “Choose Type”, выберите политику RADIUS и тип Primary из выпадающих меню и нажмите Continue.
- На следующем экране “Choose Type” нажмите на значок плюса ( ) рядом с “Policy Binding” → “Select Policy” чекбокс.
- На странице “Create Authentication RADIUS Policy” введите имя для политики(например, CitrixWebPortal) и потом нажмите на значок плюса рядом с полем “Server” чтобы создать новый RADIUS сервер для клиентов, подключающихся через браузер.
- На странице “Create Authentication RADIUS Server” введите информацию о вашем инстансе Radius Адаптера:
| Параметр | Значение |
|---|---|
| Name | CitrixWebPortal (или любое удобное название) |
| Server Name or IP Address | Хостнейм или IP адрес сервера, на котором размещен Адаптер |
| Port | Порт из значения adapter-server-endpoint настроек адаптера (1812, например) |
| Time-out (seconds) | 60 |
| Secret Key | Radius secret из настройки radius-shared-secret адаптера |
| Confirm Secret Key | Radius secret из настройки radius-shared-secret адаптера |
Нажмите Create чтобы добавить CitrixWebPortal RADIUS сервер и вернитесь на страницу “Create Authentication RADIUS Policy”.
Нажмите на ссылку Expression Editor на странице “Create Authentication RADIUS Policy” чтобы добавить новое expression со значением “true”. Это включит использование второго фактора для всех пользователей портала.
- Когда вы корректно заполнили информацию о Сервере и Expression, нажмите Create, чтобы сохранить новую политику CitrixWebPortal и вернитесь на страницу “Choose Type”.
- Удостоверьтесь, что на странице “Choose Type” новая политика аутентификации через RADIUS, которую вы только что создали, выбрана. Установите приоритет в разделе “Binding Details” на 100 и нажмите Bind.
- Убедитесь, что все новые политики для пользователей Citrix Receiver, Workspace или портала показываются и привязаны в верном порядке. Нажмите Close, чтобы сохранить политики аутентификации.
Убедитесь, что у вас есть две политики RADIUS в качестве Primary Authentication. Удалите остальные или увеличьте приоритет политик Мультифактора, чтобы они применялись в первую очередь, и нажмите Done.
Сохраните все сделанные в конфигурации изменения.
Настройка huawei cloud
- Зайдите в раздел “Management & Deployment” -> “Identity and Access Management”.
- В меню “Identity Providers” создайте нового провайдера:
- название: Мультифактор
- протокол: SAML
- сохраните
- В меню “Identity Providers” нажмите Modify напротив Мультифактора
- сохраните Login Link — это адрес для входа с мультифакторной аутентификацией
- загрузите в раздел “Metadata Configuration” файл с метаданными Мультифактора
- Сохраните изменения
Настройка network policy server
- В разделе Radius Clients создайте нового клиента:
- Friendly Name: Wifi_MFA
- Address: 192.168.0.1
- Shared secret: из конфигурации адаптера
- Нажмите на NPS (Local), выберите конфигурацию Radius Server for 802.1X Wireless or Wired Connections и нажмите Configure 802.1X:
- Выберите Secure Wireless Connection, Next
- Next
- Выберите Microsoft: Protected EAP (PEAP), Next
- Добавьте группы, если необходимо, Next
- Next
- Finish
Настройка radus adapter
- Загрузите и установите MultiFactor Radius Adapter на сервер с NPS.
- Настройте конфигурацию следующим образом:
Настройка zabbix
Зайдите в панель управления Zabbix.
Настройка адаптера для работы с citrix receiver or workspace client
Укажите NAS Identifier и Shared Secret от ресурса, который вы создавали в Личном кабинете Мультифактора
Настройка мультифактора
- Зайдите в систему управления Мультифактором, далее в раздел “Ресурсы” и создайте новое LDAP приложение;
- После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов;
- Загрузите и установите MultiFactor LDAP Adapter.
Настройка первого фактора аутентификации в адаптере
На этом шаге вы настроите первый фактор аутентификации: систему, в которой адаптер будет проверять пароль пользователя. В большинстве случаев это означает проверку в Active Directory или на RADIUS сервере.
Настройка точки доступа
Укажите в настройках Wi-Fi сети:
- Защита: WPA2 Enterprise
- RADIUS-сервер: 192.168.0.1:1814
- Секретный ключ: shared secret из конфигурации адаптера
Настройка яндекс.облако
- Выберите облако, далее зайдите в меню “Федерации” и создайте новую Федерацию:
- Зайдите в созданную федерацию, нажмите “Добавить сертификат” и загрузите сертификат Мультифактора.
- Скопируйте Идентификатор федерации, вернитесь в личный кабинет Мультифактора, и укажите идентификатор в настройках ресурса.
Общие сведения
В статье описывается настройка Citrix Gateway для подключения к удаленным рабочем столам и приложениям c двухфакторной аутентификацией.
Citrix Gateway поддерживает множество методов авторизации и аутентификации пользователей, как локальных, так и с использованием различных провайдеров учётных записей.
Мультифактор интегрируется с размещенным в вашей инфраструктуре Citrix Gateway для защиты удалённого доступа многофакторной аутентификацией. Пользователям будет доступна самостоятельная регистрация второго фактора при входе через браузер. При использовании Citrix Receiver или Workspace пользователю предоставляется возможность использования одноразовых кодов, пуш-уведомлений или входа по звонку.
Citrix Gateway ранее назывался NetScaler Gateway. Эта инструкция подходит для обоих продуктов.
Возможные способы аутентификации:
Мобильное приложениеTelegramБиометрия (web)U2F токены (web)СМСАппаратные OTP токеныПриложения OTP: Google Authenticator или Яндекс.Ключ
Доступна настройка второго фактора в режиме диалога с пользователем.
Сопоставление ролей и пользователей
По умолчанию пользователи, подключенные через федеративный доступ имеют права только на чтение. Для настройки ролей воспользуйтесь разделом “Identity Conversion Rules” по инструкции Huawei Cloud.
Схема работы
- Huawei Cloud и Мультифактор устанавливают взаимное доверие путем обмена публичными сертификатами и настройкой единого адреса входа (Sigle Sign On) и единого адреса выхода (Signle LogOut).
- При запросе на аутентификацию, Huawei Cloud переадресует пользователя на страницу Мультифактора.
- Мультифактор отправляет пользователя на страницу поставщика учетных записей (Google, Яндекс или Active Directory)
- После подтверждения первого фактора, Мультифактор запрашивает двухфакторную аутентификацию и возвращает подписанный запрос в Huawei Cloud.
Схема сети
В примере показан адрес сервера NPS 192.168.0.1, который нужно поменять на актуальный для вашей конфигурации.
Компонент Radius Adapter может быть установлен как на сервере с NPS, так и на отдельном.
В текущем примере показан вариант развертывания на одном сервере с использованием порта 1814 для компонента. Этот порт — 1814 UDP должен быть открыт на сервере для подключения точки доступа.
Установка radius adapter
Радиус адаптер может быть установлен как на физический, так и на виртуальный хост. Мы рекомендуем систему хотя бы с 1 CPU и 4 GB оперативной памяти (хотя даже 1 GB для работы достаточно).
Настройка политик аутентификации для ПО Citrix XenDesktop
Настройку политик рекомендуется выполнять через групповые политики службы каталога Active Directory. Также настройку можно осуществить из оснастки управления локальными политиками.
Для настройки групповых политик необходимо выполнить следующую последовательность действий:
Подробная информация доступна на сайте —