Numéro d’article: 000133339
Nie dotyczy
Instrukcje zawarte w tym artykule bazy wiedzy zakładają, że program Citrix NetScaler dla MFA został już skonfigurowany. Jeśli nie zostało to zrobione, instrukcje konfiguracji oprogramowania Citrix NetScaler dla duo można znaleźć pod adresem https://duo.com/docs/citrix_netscaler.
W ramach powyższej konfiguracji tworzysz lub modyfikujesz plik AuthProxy.cfg, który definiuje ustawienia serwera proxy DUO RADIUS. Działający przykład tego pliku jest wymieniony poniżej. Jest to zweryfikowana konfiguracja ze środowiska laboratoryjnego. Inne konfiguracje mogą, ale nie, działać.
************************************************ AuthProxy.cfg File Contents Below ************************************************ [ad_client] host=192.168.10.10 (Active Directory Server IP or Name) service_account_username=administrator service_account_password=Wyse#123 search_dn=dc=xen712,dc=citrix< [radius_server_auto] api_host=api-fb98f637.duosecurity.com (The API Host and Keys are account specific and retrieved through your DUO Portal (Figure 1).) iKey=XXXXXXXXXX skey=XXXXXXXXXXXXXXXXXXXX failmode=safe client=ad_client radius_ip_1=192.168.10.2 radius_secret_1=Wyse#123 port=1812 ************************************************ AuthProxy.cfg File Contents Above ************************************************
Rysunek 1. (tylko w języku angielskim) Host i klucze INTERFEJSU API DUO
Po stronie ThinOS nie jest wymagana specjalna konfiguracja do obsługi uwierzytelniania push DUO MFA. Poniżej przedstawiono przykład konfiguracji ze środowiska laboratoryjnego.
************************************************ WNOS.ini File Contents Below ************************************************ Timeserver=192.5.41.40 TimeFormat="12-hour format" DateFormat=mm/dd/yyyy TimeZone='GMT -06:00' ManualOverride=yes Daylight=yes Start=030307 End=110207 TimeZoneName="Central" DayLightName="Central" SignOn=Yes Securitypolicy=low Domainlist=xen712 AddCertificate="CA Root Cert Xen712_citrix.cer" PnliteServer=https://nsgatewat.xen712.citrix?Store Storefront=yes ************************************************ WNOS.ini File Contents Above ************************************************
Duo MFA został przetestowany tylko pod kątem metody push aplikacji. Poniżej przedstawiono przykłady powiadomień o aplikacjach odbierane na urządzeniu mobilnym (Rysunek 2 i 3).
Rysunek 2. (tylko w języku angielskim) Przykład powiadomienia o aplikacji
Rysunek 3. (tylko w języku angielskim) Przykład pełnoekranowego obrazu aplikacji
Pomyślny przepływ logowania:
Nieudane logowanie
Jeśli nie otrzymasz monitu o uwierzytelnienie w telefonie, najpierw sprawdź następujące elementy. Jeśli żadne z tych informacji nie są przydatne, zapoznaj się z dokumentacją DUO i pomocą techniczną w celu uzyskania dodatkowych informacji. http://www.duo.com
Upewnij się, że plik AuthProxy.cfg nie zawiera błędów składni i wszystkie niezbędne informacje. Jeśli usługa nie rozpoczyna się od pliku, spróbuj rozpocząć ją od powyższej przykładowej zawartości, a następnie zmodyfikuj ją w celu spełnienia wymagań środowiska.
Poniżej znajduje się zrzut ekranu z lokalizacją dzienników w narzędziu NetScaler (Rysunek 4 i 5).
Rysunek 4. (tylko w języku angielskim) loguje się do NetScaler
Rysunek 5. (tylko w języku angielskim) Przegląd dziennika serwera proxy uwierzytelniania DUO pod kątem problemów
Citrix Software, Wyse ThinOS, Wyse ThinOS Lite (Xenith)
15 Aug 2023
6
Solution