Numéro d’article: 000133339
Non applicabile
Le istruzioni contenute in questo articolo della Knowledge Base presuppongono che Citrix NetScaler per l'MFA sia già stato configurato. Se non è stato fatto, è possibile trovare le istruzioni di configurazione di Citrix NetScaler per DUO all'indirizzo https://duo.com/docs/citrix_netscaler.
Come parte della configurazione di cui sopra, si crea o si modifica un file AuthProxy.cfg che definisce le impostazioni per il proxy DUO RADIUS. Di seguito è riportato un esempio funzionante di tale file. Si tratta di una configurazione convalidata da un ambiente di laboratorio. Altre configurazioni potrebbero funzionare o meno.
************************************************ AuthProxy.cfg File Contents Below ************************************************ [ad_client] host=192.168.10.10 (Active Directory Server IP or Name) service_account_username=administrator service_account_password=Wyse#123 search_dn=dc=xen712,dc=citrix< [radius_server_auto] api_host=api-fb98f637.duosecurity.com (The API Host and Keys are account specific and retrieved through your DUO Portal (Figure 1).) iKey=XXXXXXXXXX skey=XXXXXXXXXXXXXXXXXXXX failmode=safe client=ad_client radius_ip_1=192.168.10.2 radius_secret_1=Wyse#123 port=1812 ************************************************ AuthProxy.cfg File Contents Above ************************************************
Figura 1. (solo in inglese) Host e chiavi API DUO
Non è necessaria alcuna configurazione speciale sul lato ThinOS per supportare l'autenticazione push MFA DUO. Di seguito è riportato un esempio di configurazione di un ambiente di laboratorio.
************************************************ WNOS.ini File Contents Below ************************************************ Timeserver=192.5.41.40 TimeFormat="12-hour format" DateFormat=mm/dd/yyyy TimeZone='GMT -06:00' ManualOverride=yes Daylight=yes Start=030307 End=110207 TimeZoneName="Central" DayLightName="Central" SignOn=Yes Securitypolicy=low Domainlist=xen712 AddCertificate="CA Root Cert Xen712_citrix.cer" PnliteServer=https://nsgatewat.xen712.citrix?Store Storefront=yes ************************************************ WNOS.ini File Contents Above ************************************************
DUO MFA è stata testata solo e funziona con il metodo push dell'applicazione. Di seguito sono riportati gli esempi di notifica delle applicazioni ricevuti sul dispositivo mobile (Figura 2 e 3).
Figura 2. (solo in inglese) Esempio di notifica dell'applicazione
Figura 3. (solo in inglese) Esempio di applicazione a schermo intero
Flusso di accesso riuscito:
Comportamenti di accesso non riusciti
Se non si riceve il prompt di autenticazione al telefono, verificare innanzitutto quanto segue. Se nessuno di questi elementi è utile, consultare la documentazione DUO e il supporto per ulteriori informazioni. http://www.duo.com
Assicurarsi che il file AuthProxy.cfg non contenga errori di sintassi e tutte le informazioni necessarie. Se il servizio non si avvia con il file, provare ad avviarlo con il contenuto di esempio riportato sopra, quindi modificarlo in modo che soddisfi il proprio ambiente.
Di seguito è riportata una schermata di dove trovare i registri in NetScaler (Figura 4 e 5).
Figura 4. Registri (solo in inglese) in NetScaler
Figura 5. (solo in inglese) Esaminare il registro del proxy di autenticazione DUO per la ricerca di problemi
Citrix Software, Wyse ThinOS, Wyse ThinOS Lite (Xenith)
15 Aug 2023
6
Solution