Numéro d’article: 000133339
Sans objet
Les instructions de cet article de la base de connaissances supposent que vous avez déjà configuré Citrix NetScaler pour l’authentification multifacteur. Si vous ne l’avez pas fait, vous trouverez les instructions de configuration de Citrix NetScaler pour DUO sur https://duo.com/docs/citrix_netscaler.
Dans le cadre de la configuration ci-dessus, vous créez ou modifiez un fichier AuthProxy.cfg qui définit les paramètres du proxy DUO RADIUS. Vous trouverez ci-dessous un exemple fonctionnel de ce fichier. Il s’agit d’une configuration validée à partir d’un environnement de laboratoire. D’autres configurations peuvent ou non fonctionner.
************************************************ AuthProxy.cfg File Contents Below ************************************************ [ad_client] host=192.168.10.10 (Active Directory Server IP or Name) service_account_username=administrator service_account_password=Wyse#123 search_dn=dc=xen712,dc=citrix< [radius_server_auto] api_host=api-fb98f637.duosecurity.com (The API Host and Keys are account specific and retrieved through your DUO Portal (Figure 1).) iKey=XXXXXXXXXX skey=XXXXXXXXXXXXXXXXXXXX failmode=safe client=ad_client radius_ip_1=192.168.10.2 radius_secret_1=Wyse#123 port=1812 ************************************************ AuthProxy.cfg File Contents Above ************************************************
Figure 1 : (en anglais uniquement) Hôte et clés DE L’API DUO
Aucune configuration spéciale n’est requise côté ThinOS pour prendre en charge l’authentification push DUO MFA. Vous trouverez ci-dessous un exemple de configuration à partir d’un environnement d’exercices pratiques.
************************************************ WNOS.ini File Contents Below ************************************************ Timeserver=192.5.41.40 TimeFormat="12-hour format" DateFormat=mm/dd/yyyy TimeZone='GMT -06:00' ManualOverride=yes Daylight=yes Start=030307 End=110207 TimeZoneName="Central" DayLightName="Central" SignOn=Yes Securitypolicy=low Domainlist=xen712 AddCertificate="CA Root Cert Xen712_citrix.cer" PnliteServer=https://nsgatewat.xen712.citrix?Store Storefront=yes ************************************************ WNOS.ini File Contents Above ************************************************
L’authentification multifacteur DUO n’a été testée que sur et fonctionne avec la méthode push de l’application. Vous trouverez ci-dessous des exemples de notifications d’application reçues sur l’appareil mobile (Figure 2 > 3).
Figure 2 : (en anglais uniquement) Exemple de notification d’application
Figure 3 : (en anglais uniquement) Exemple d’application plein écran
Flux de connexion réussi:
Comportements de connexion en échec
Si vous ne recevez pas l’invite d’authentification par téléphone, vérifiez d’abord les éléments suivants. Si aucun de ces éléments n’est utile, consultez la documentation DUO et le support pour plus d’informations. http://www.duo.com
Assurez-vous que le fichier AuthProxy.cfg ne contient aucune erreur de syntaxe et toutes les informations nécessaires. Si le service ne démarre pas avec votre fichier, essayez de le démarrer avec l’exemple de contenu ci-dessus, puis modifiez-le pour répondre à votre environnement.
Vous trouverez ci-dessous une capture d’écran de l’emplacement des journaux dans NetScaler (Figures 4 et 5).
Figure 4 : (en anglais uniquement) logs dans NetScaler
Figure 5 : (en anglais uniquement) Consulter le log du proxy d’authentification DUO pour les problèmes
Citrix Software, Wyse ThinOS, Wyse ThinOS Lite (Xenith)
15 Aug 2023
6
Solution