1. 方案简介
领先的动态密码解决方案提供商上海宁盾信息科技有限公司发布《Citrix Xendesktop和XenAPP结合DKEY动态令牌双因子认证》解决方案,Citrix WebInterface(适合Xendesktop和XenAPP而未使用AG/Netscaler)结合DKEY动态令牌认证,通常Citrix帐号是托管在AD/LDAP中,用户在登录页面再输入DKEY动态令牌上显示的动态密码,在完成域帐号和动态密码认证之后,才能完成认证;
这是Citrix域账户和动态密码的双重认证,因而能够很有效的保证账户信息的安全性,该方案允许用户使用硬件令牌和手机令牌的任何一种动态密码形式。
1.1 认证流程
用户登录认证的流程如下:
1. 用户在网络接入设备Citrix Xendesktop提供的登录页面中输入域用户的帐号口令,在PASSCODE输入DKEY令牌上显示动态密码;
以Citrix XenDesktop为例,其截图如下:
2. Web Interface通过radius协议将帐号和加密后的口令提交给DKEY动态认证系统进行认证。
3. DKEY动态认证将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权通过,则DKEY动态认证对动态密码进行鉴权
4. 如果都通过发给Webinterface一个radius协议中的“accept”消息;如果鉴权失败,则返回给Webinterface 一个radius协议中的“reject”消息。
1.2 系统组成
名称 | 型号规格 | 数量 | 提供方 |
DKEY 动态认证服务器软件 | DKEY TMS-Express | 1/2个副本,可作主从备份方案。 | 宁盾 |
服务器 | 2G内存、双核、硬盘140G以上,支持跨平台部署。 | 2台(热备方案),支持虚拟机部署。 | 客户 |
动态令牌 | DKEY TPASS 硬件令牌 DKEY MobileID 手机令牌 | 依据用户数量 | 宁盾 |
2. 配置要点
2.1 Citrix WebInterface配置要点
上述章节配置完毕之后即可使用默认参数配置RADIUS设备。
在设备上配置RADIUS的默认参数如下:
服务器地址:DKEY TMS地址
l 认证端口:UDP 1812
l 共享密钥:****
l 组属性(可选):25(Class)
Step 1 – Select ‘XenApp Web Sites’, then right-click on the site that you want to add two factor authentication to.
Step2 – Click ‘Authentication methods’
Step 3 - Select ‘Explicit’ then click ‘Properties’
Step4 – Click on ‘Two-Factor Authentication’, then set the ‘Two-factor setting’ to ‘RADIUS’
Step 6 - Click ‘Add‘, then type in the IP address and port of the Ningdun Radius Server, then click ‘OK’.
更多参考《DKEY for Citrix WebInterface》配置文档。
2.2 DKEY TMS系统相关配置
手机令牌与硬件令牌配置相同。
2.2.1 令牌导入
用户需要将令牌列表文件导入认证服务器才能使用令牌。令牌列表中包含令牌型号、序列号、加密过的种子等信息。
2.2.2 绑定令牌
在“认证管理”->“用户列表”中点击用户数据源链接:
为Citrix Xendesktop和XenApp的AD 中的用户绑定令牌则点击AD 数据源。 点击“绑定”链接:
选择时间型令牌,输入令牌序列号后点击“绑定”: