Citrix 5.4 Manuel utilisateur

Documento

VXPERT SYSTEMES
CITRIX NETSCALER 10.1
FREERADIUS
Google Authenticator
Guide de configuration Google Authenticator
pour Netscaler.
Pour
VXPERT.fr et FGAGNE.COM
Fran&ccedil;ois Gagn&eacute;
[email protected]
1
1. PRESENTATION
3
2. SCHEMA D’ARCHITECTURE
4
3. CONFIGURATION DE GOOGLE AUTHENTICATOR AVEC FREERADIUS
5
4. AJOUT DE L’AUTHENTIFICATION RADIUS SUR LE NETSCALER
11
5. CUSTOMISATION DE LA PAGE DE LOGIN NETSCALER GATEWAY
15
2
1.
Pr&eacute;sentation
Cette documentation vous permettra d’installer et de configurer une Appliance Citrix NetScaler VPX en mode ICAproxy (Netscaler Gateway) s&eacute;curis&eacute;e avec l’authentification Active Directory et Radius Google Authenticator.
Google Authenticator ( http://code.google.com/p/google-authenticator/ ) est un excellent syst&egrave;me d'authentification
double facteur. De plus, il est libre. Il peut &ecirc;tre utilis&eacute; avec FreeRADIUS pour fournir une authentification &agrave; 2 facteurs.
Tout cela fonctionne gr&acirc;ce &agrave; une biblioth&egrave;que appel&eacute;e PAM, PAM pour &laquo; Pluggable Authentication Modules &raquo;. Pour
plus d'informations sur PAM, voir http://www.linux-pam.org/. Google Authenticator a un module PAM qui est inclus
dans le cadre du projet. PAM est le lien qui permet au service FreeRADIUS de communiquer avec Google
Authenticator.
FreeRADIUS est un serveur populaire open source. Radius est un syst&egrave;me d'authentification standard qui peut &ecirc;tre
utilis&eacute; pour authentifier de nombreux appareils diff&eacute;rents, y compris les VPN, routeurs, commutateurs, ordinateurs, et
bien plus encore. Pour plus d'informations sur FreeRADIUS, voir http://freeradius.org/.
Certains &eacute;l&eacute;ments de l’infrastructure ne seront pas abord&eacute;s dans cette documentation, notamment :
L’installation d’un Active Directory Microsoft,
L’installation de Xenapp ou Xendesktop,
L’installation et la configuration de la Web interface Citrix 5.4 ou du StoreFront 2.x,
L’installation de base d’ubuntu-12.04.4-server-amd64,
L’installation et la configuration de base du NetScaler.
Seront trait&eacute;s :
L’installation et la configuration de FreeRadius avec Google Authenticator,
La configuration de l’authentification double sur le NetScaler,
La customisation de la page de login Netscaler Gateway.
3
2.
Sch&eacute;ma d’architecture
Ce sch&eacute;ma pr&eacute;sente les &eacute;l&eacute;ments de l’installation.
4
3. Configuration de Google Authenticator avec Freeradius
Pour cette documentation, nous allons utiliser la distribution ubuntu 12.4 serveur. Nous n’aborderons pas l’installation
de base. Il faut donc au pr&eacute;alable avoir d&eacute;ploy&eacute; la VM ubuntu sur votre hyperviseur et avoir configur&eacute; la couche
r&eacute;seau.
Activer le Compte Root
Par d&eacute;faut, le compte root est d&eacute;sactiv&eacute; sur cette distrib
Sudo passwd –u root
Sudo passwd root
Installer SSH
Ceci pour continuer la config en Putty.
sudo aptitude install ssh
NTP Install
Google Authenticator utilise un syst&egrave;me de token bas&eacute; sur le temps. C’est pourquoi, il est tr&egrave;s important que tous les
composants discutent avec la m&ecirc;me heure.
sudo bash
apt-get update
apt-get install ntp
Install FreeRADIUS et autres
sudo bash
apt-get update
apt-get install build-essential libpam0g-dev freeradius git libqrencode3
5
Download Module Google Authenticator Pam
cd ~
git clone https://code.google.com/p/google-authenticator/
cd google-authenticator/libpam/
make
make install
Configuration d’un groupe Local Unix
Ce groupe vous permettra de bloquer l’acc&egrave;s au service. Ajoutez ensuite tous les utilisateurs dans ce groupe pour les
bloquer.
addgroup radius-reject
Configurer FreeRADIUS
FreeRADIUS doit s'ex&eacute;cuter en tant que root. FreeRADIUS doit acc&eacute;der aux jetons google_authenticator dans chaque
r&eacute;pertoire homedir de chaque utilisateur.
Editer avec vim le fichier /etc/freeradius/radiusd.conf pour changer le compte de service Radius.
Chercher les lignes
user = freerad
group = freerad
Remplacer par
user = root
group = root
6
Editer avec vim le fichier /etc/freeradius/users pour ajouter le group radius-reject.
Chercher les lignes suivantes
# Deny access for a group of users.
#
# Note that there is NO 'Fall-Through' attribute, so the
user will not
# be given any additional resources.
Modifier la ligne comme ceci
DEFAULT Group == &quot;radius-reject&quot;, Auth-Type := Reject
Reply-Message = &quot;Votre acc&egrave;s n’est pas autoris&eacute; &quot;
Ajouter la ligne suivante
DEFAULT Auth-Type := PAM
Editer le fichier /etc/freeradius/sites-enabled/default
Chercher la ligne
# Pluggable Authentication Modules.
#pam
D&eacute;commenter la ligne
pam
Editer /etc/pam.d/radiusd pour ajouter google authenticator comme source de mot de passe unique
Commenter tous les lignes suivantes
#@include common-auth
#@include common-account
#@include common-password
#@include common-session
Et ajouter en dessous
auth required pam_google_authenticator.so
Le fichier doit ressembler &agrave; cela
#
# /etc/pam.d/radiusd - PAM configuration for
FreeRADIUS
#
# We fall back to the system default in
/etc/pam.d/common-*
7
#
#@include common-auth
#@include common-account
#@include common-password
#@include common-session
auth required pam_google_authenticator.so
Editer le fichier /etc/freeradius/clients.conf pour autoriser le Netscaler &agrave; venir interroger le service FreeRadius
Ajouter les lignes suivantes
client 10.20.30.40 {
Ici est ajout&eacute;e l’IP du netscaler, une clef secr&egrave;te est
configur&eacute;e et un petit nom est donn&eacute;e pour le netscaler
secret = @@@@SECRET@@@@
shortname = netscaler
}
Ajouter vos comptes utilisateurs (ici obama)
Adduser obama
Activer google authenticator pour le compte obama en entrant les commandes suivantes :
Cd /home/obama
Su obama
Google-authenticator
8
Flashez le codeQR avec l’application mobile google authenticator
9
Red&eacute;marrage du service freeradius
service freeradius restart
Pour tester en local, utiliser la commande radtest
radtest &lt;username&gt; &lt;google_auth&gt; localhost 18120 &lt;share_secret&gt;
10
4.
Ajout de l’authentification RADIUS sur le Netscaler
Retour sur la page de configuration web de l’Appliance Netscaler Gateway.
Dans la partie System,
puis Authentification,
puis Radius :
cliquer sur Add.
Entrer un nom et cliquer sur
le bouton New.
Entrer les informations
comme sur la capture
d’&eacute;cran.
Choisir un mot de passe
comme Secret Key.
Ce mot de passe devra &ecirc;tre
entr&eacute; lors de la configuration
du fichier client.conf du
serveur FreeRadius.
Cliquer sur le bouton Create.
11
Ajouter l’expression ns_true.
Cliquer sur Create.
Ensuite le Virtual Server
NetScaler Gateway va &ecirc;tre
&quot;link&eacute;&quot;.
Aller dans la section
NetScaler Gateway,
puis Virtual Servers.
Cliquer sur la VIP Gateway
puis sur Open.
12
Cliquer sur l’onglet
Authentification
En primary vous devez avoir
votre Policy LDAP
Cliquer sur Second…
13
Ajouter la policy OTP
(radius)
Voici le r&eacute;sultat sur le portail
Netscaler
Vous devez donc cr&eacute;er vos comptes utlisateurs avec le m&ecirc;me login sur l’active directory et sur le freeradius. Le mot
de passe sur le serveur radius ne sera pas utilis&eacute;.
14
5. Customisation de la page de login Netscaler Gateway
Pour modifier les champs &laquo; Password1 et Password2 &raquo; voir les articles Citrix suivants :
How to Use Rewrite to Customize the Access Gateway Enterprise Edition Logon Page
http://support.citrix.com/article/CTX123121
How to Customize the Logon Page of a Access Gateway Enterprise Edition Release 9.2 Appliance
http://support.citrix.com/article/CTX126206
15
Version des produits :
PRODUIT
Version
NETSCALER
10.1
Ubuntu server
12.4
Historique des versions du document :
Version
Changement
Auteur
Date
DRAFT
Initial document
Fran&ccedil;ois GAGN&Eacute;
Mai 2014
1
Distribution
Fran&ccedil;ois GAGN&Eacute;
Mai 2014
Sources :
https://thomas.glanzmann.de/smsotp.pdf
https://www.mail-archive.com/[email protected]/msg04951.html
http://www.liberiangeek.net/2012/07/question-what-is-the-root-default-password-in-ubuntu-12-04/
http://www.cyberciti.biz/faq/howto-start-stop-ssh-server/
http://www.supertechguy.com/help/security/freeradius-google-auth
http://code.google.com/p/google-authenticator/
Vxpert SYSTEMES, entreprise ind&eacute;pendante sp&eacute;cialis&eacute;e dans l'int&eacute;gration de solutions de virtualisation de serveurs, d'applications, de
stockage et de postes de travail. Forte de dix ans d'exp&eacute;rience dans l'int&eacute;gration de service sur les produits Citrix, Vmware et Microsoft,
Vxpert SYSTEMES propose une offre compl&egrave;te de solutions et de services pour vous garantir la r&eacute;alisation de tous vos projets de
virtualisation.
[email protected]
16
">

Olá! Eu sou um chatbot de IA especificamente treinado para ajudá-lo com o Citrix 5.4 Manuel utilisateur. Já revisei cuidadosamente o documento e posso ajudá-lo a localizar as informações exatas de que precisa ou explicar o conteúdo de maneira clara e simples. Quer você esteja procurando orientação sobre recursos específicos, etapas de solução de problemas ou uso geral, fique à vontade para fazer suas perguntas. Quanto mais detalhes você fornecer sobre suas preocupações ou necessidades, mais precisamente e eficazmente poderei ajudá-lo!

Assistente a escrever

O assistente não está disponível. Por favor, tente novamente mais tarde.

Parece que chegou a um documento escrito em vários idiomas, incluindo um que não é o seu idioma nativo. Pode usar os links abaixo para ocultar temporariamente páginas que não estão no idioma da sua preferência.