[How to] Citrix Netscaler mit MS Azure MFA

  • 11. November 2023
  • 2 Minute to read
  • Citrix, MFA

Die Konfiguration eines Citrix NetScaler-Geräts zur Verwendung von Microsoft Azure Multi-Factor Authentication (MFA) erfordert mehrere Schritte, darunter die Integration von NetScaler mit Azure AD und die Konfiguration von MFA-Richtlinien. Hier ist eine allgemeine Anleitung für diese Konfiguration:

1. Azure AD Multi-Factor Authentication aktivieren:

  • Stellen Sie sicher, dass Sie über ein Azure-Abonnement verfügen.
  • Melden Sie sich im Azure-Portal an.
  • Navigieren Sie zu Azure Active Directory > Sicherheit > MFA.
  • Aktivieren Sie Multi-Factor Authentication und konfigurieren Sie die gewünschten Optionen.

2. NetScaler mit Azure AD verbinden:

  • Melden Sie sich am NetScaler-Gerät an.
  • Navigieren Sie zu „NetScaler Gateway“ > „Virtual Servers“.
  • Konfigurieren Sie einen neuen virtuellen Server oder bearbeiten Sie einen vorhandenen.
  • Stellen Sie sicher, dass „Authentication“ auf „Advanced Policies“ eingestellt ist.

3. Erstellen Sie eine RADIUS-Serververbindung für Azure MFA:

  • Navigieren Sie zu „NetScaler Gateway“ > „Policies“ > „Authentication“ > „Radius“.
  • Konfigurieren Sie einen neuen RADIUS-Server mit den Azure MFA-Serverdetails.

4. Erstellen Sie eine RADIUS-Richtlinie:

  • Gehen Sie zu „NetScaler Gateway“ > „Policies“ > „Authentication“ > „Radius Policies“.
  • Erstellen Sie eine neue Richtlinie, die auf den zuvor erstellten RADIUS-Server verweist.

5. Konfigurieren Sie NetScaler Gateway für die MFA-Authentifizierung:

  • Gehen Sie zu „NetScaler Gateway“ > „Virtual Servers“.
  • Bearbeiten Sie den vorhandenen virtuellen Server oder erstellen Sie einen neuen.
  • Weisen Sie der Sitzungspolitik die zuvor erstellte RADIUS-Richtlinie zu.

6. Konfigurieren Sie die Azure MFA-Richtlinien:

  • Gehen Sie zurück zu Azure AD im Azure-Portal.
  • Navigieren Sie zu „Azure Active Directory“ > „Sicherheit“ > „Bedingungsrichtlinien“.
  • Erstellen Sie eine neue Bedingungsrichtlinie, um zu steuern, wann MFA erforderlich ist.

7. Testen Sie die Konfiguration:

  • Melden Sie sich über den NetScaler Gateway an und überprüfen Sie, ob die MFA-Authentifizierung korrekt funktioniert.

Hier sind einige grundlegende Befehle, die für die Konfiguration nützlich sein könnten:

1. RADIUS-Server hinzufügen:

add authentication radiusAction Azure_MFA -serverIP <Azure_MFA_Server_IP> -serverPort 1812 -radKey <Shared_Radius_Key>

2. RADIUS-Server-Richtlinie hinzufügen:

add authentication radiusPolicy Azure_MFA_Policy -rule true -action Azure_MFA

3. NetScaler Gateway-Richtlinie für MFA erstellen:

add vpn sessionPolicy MFA_Policy "REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver" ns_true

4. Sitzungsaktion für MFA-Richtlinie erstellen:

add vpn sessionAction MFA_Action -AuthenticationRadiusName Azure_MFA

5. Binden der MFA-Richtlinie an den virtuellen Server:

bind vpn vserver <VServer_Name> -policy MFA_Policy -priority 100 -gotoPriorityExpression NEXT

Ersetzen Sie <Azure_MFA_Server_IP>, <Shared_Radius_Key>, <VServer_Name> und andere Werte durch die tatsächlichen Informationen Ihrer Umgebung.

Let's go and write a comment