Numéro d’article: 000133339
Não aplicável
As instruções neste artigo da base de conhecimento pressupõe que você já tenha configurado o Citrix NetScaler para MFA. Se você não tiver feito isso, poderá encontrar as instruções de configuração do Citrix NetScaler para DUO em https://duo.com/docs/citrix_netscaler.
Como parte da configuração acima, você cria ou modifica um arquivo AuthProxy.cfg que define as configurações do proxy RADIUS DUO. Um exemplo de trabalho desse arquivo é mencionado abaixo. Essa é uma configuração validada de um ambiente de laboratório. Outras configurações podem ou não funcionar.
************************************************ AuthProxy.cfg File Contents Below ************************************************ [ad_client] host=192.168.10.10 (Active Directory Server IP or Name) service_account_username=administrator service_account_password=Wyse#123 search_dn=dc=xen712,dc=citrix< [radius_server_auto] api_host=api-fb98f637.duosecurity.com (The API Host and Keys are account specific and retrieved through your DUO Portal (Figure 1).) iKey=XXXXXXXXXX skey=XXXXXXXXXXXXXXXXXXXX failmode=safe client=ad_client radius_ip_1=192.168.10.2 radius_secret_1=Wyse#123 port=1812 ************************************************ AuthProxy.cfg File Contents Above ************************************************
Figura 1: (Somente em inglês) Host e chaves da API DUO
Não há nenhuma configuração especial necessária no lado do ThinOS para dar suporte à autenticação push de MFA DUO. Veja abaixo um exemplo de uma configuração de um ambiente de laboratório.
************************************************ WNOS.ini File Contents Below ************************************************ Timeserver=192.5.41.40 TimeFormat="12-hour format" DateFormat=mm/dd/yyyy TimeZone='GMT -06:00' ManualOverride=yes Daylight=yes Start=030307 End=110207 TimeZoneName="Central" DayLightName="Central" SignOn=Yes Securitypolicy=low Domainlist=xen712 AddCertificate="CA Root Cert Xen712_citrix.cer" PnliteServer=https://nsgatewat.xen712.citrix?Store Storefront=yes ************************************************ WNOS.ini File Contents Above ************************************************
A MFA DUO foi testada apenas e é conhecida por estar trabalhando com o método de envio de aplicativos. Abaixo estão exemplos de notificação de aplicativos recebidos no dispositivo móvel (Figuras 2 e 3).
Figura 2: (Somente em inglês) Exemplo de notificação de aplicativo
Figura 3: (Somente em inglês) Exemplo de aplicativo em tela cheia
Fluxo de log-in bem-sucedido:
Comportamentos de log-in com falha
Se você não receber o prompt de autenticação no telefone, primeiro verifique as seguintes coisas. Se nenhuma dessas opções for útil, consulte a documentação e o suporte do DUO para obter mais informações. http://www.duo.com
Certifique-se de que o arquivo AuthProxy.cfg não contenha erros de sintaxe e todas as informações necessárias. Se o serviço não iniciar com seu arquivo, tente ininicá-lo com o conteúdo de exemplo acima e, em seguida, modifique-o para atender ao seu ambiente.
Veja abaixo uma captura de tela de onde encontrar os registros no NetScaler (Figuras 4 e 5).
Figura 4: Registros (somente em inglês) no NetScaler
Figura 5: (Somente em inglês) Analise o log de problemas do proxy de autenticação DUO
Citrix Software, Wyse ThinOS, Wyse ThinOS Lite (Xenith)
15 Aug 2023
6
Solution