jueves, 27 de diciembre de 2012

Configurando autenticacion con certificado digital de cliente en Citrix Netscaler (How to configure client certificate authentication in Citrix Netscaler)


Hola amigos de MDS,

El día de hoy vamos a configurar un doble factor de authenticación en Netscaler Access Gateway: Certificado Digital de Cliente + LDAP


Requisitos:
- Un certificado digital de cliente. 
- Netscaler / Una granja XenApp

Consideraciones:

- Estoy asumiento que ya tenemos configurado nuestro Virtual Server con la Autenticacion LDAP.

- Se asume que el certificado de cliente ya está instalado en la PC cliente.

----------------------------------------------------------------------------------------------------------------
Nota: Si tienen problemas o consultas sobre la creación del certificado digital de usuario/cliente y la instalación en la PC cliente. Pueden escribirme a mi blog.

Lo mismo para la configuracion de autenticacion LDAP en Netscaler. Escribanme a mi blog.
--------------------------------------------------------------------------------------------------------------------------------


Empecemos:

1) Configuramos el Virtal Server para la autenticacion con Certificado Cliente

Ingresamos a la consola del Netscaler. Y nos vamos a VPN / Virtual Servers y hacemos doble click en nuestro virtual server.

En el Virtual Server, vamos a "Certificates" (en versiones anteriores de NS esta opcion se llama "SSL Settings"). Luego hacemos click en "SSL Parameters".

Vamos a la parte de "Others" y marcamos la opcion "Client Authentication" y en "Client Certificate" le ponemos "Mandatory"

Luego en la solapa Certificate debemos agregar el Root Certificate de la entidad certificadora que estamos usando para crear los Clients Certificates. Este paso olvide mostrarlo en el video.

Damos OK.


2) Creamos Politica de Autenticaion para el Certificado Digital.

Estando en nuestro virtual Server, nos vamos a la solapa "Authentication"

Le damos en "Insert Policy" y seleccionamos "New Policy".

Creamos la Politica de Autenticacion con los siguientes datos:

En "Name" le ponemos un nombre.
En "Authentication Type" seleccionamos: "Cert"
En "Server", seleccionamos "New"
Se abrirá una nueva ventana.

Le ponemos un Nombre en "Name"
En "Two Factor" le damos "ON"

Nota: Si uds desean hacer extracion del parametro "User" o "Group" del certificado digital. Colocan lo parametros. Yo no lo voy a usar.

Le damos "Create"
Regresaremos a la ventana anterior.

Regresamos a la ventana de la Politica de Autenticacion.
Agregamos la expresión: ns_true
Le damos "Create"

Le damos OK.

Listo, ahora probemos.


Cuando ingreamos al portal del virtual server, este nos solicitará el certificado digital del cliente.

Le damos OK. Y el virtual server cargara. De no tener el certificado cliente, el portal no se mostrara.

Ingresamos nuestras credenciales de LDAP.

Lanzamos la aplicacion publicada en Citrix.

El cliente Citrix te solicitará el certificado cliente nuevamente debido a que es una nueva conexión.

Si no tenemos el certificado cliente instalado o si le entrgamos un certificado incorrecto, la applicacion no cargará.


Espero que les sirva este video tutorial.



Cualquier consulta escribanme a mi blog.

Hasta el proximo tutorial. Enjoy!





sábado, 22 de diciembre de 2012

Integrando Citrix NetScaler Access Gateway con XenApp/XenDesktop


Hola amigos de MDS,
El día de hoy veremos un tema que para muchos se les complica pero realmente es muy sencillo.

Vamos a integrar XenApp/XenDesktop con NetScaler Access Gateway. 


Requisitos:

- Una Farm de XenApp (yo estoy usando la versión 6.5)
- Web Interface (Yo estoy usando la versión 5.4)
- NetScaler Access Gateway (Yo estoy usando la versión 10.0 build 70.7)
- Un Dominio Microsoft (Active Directory) - Yo estoy usando un Dominio WS 2008; no tiene importancia en cuanto a la versión.



Para esta demo estoy asumiendo que:

- Se tiene correctamente instalado y configurado el NetScaler Access Gateway

- Se tiene creado el Virtual Server en el NetScaler (Con el certificado digital y con la autenticación LDAP configurada)

-------------

Si tienen dudas sobre como instalar/implementar correctamente el NetScaler Access Gateway, pueden hacer sus preguntas en mi blog. :)

Lo mismo para la configuración del Certificado Digital y la Autenticación LDAP.

--------------


OK, empecemos.

1) Paso crear un XenApp Web Site para Access Gateway

NOTA: La intgración entre NS y XA/XD es con Web Interface.

Cuando especifiquemos el Authentication Service URL, debemos especificar el Common Name de nuestro Virtual Server. 

NOTA: No olviden escribir la URL como dice en el ejemplo debajo del TexBox.

Especificamos la Server Farm. En mi caso:
Farm: Nombre de la Granja de XenApp
Server: Ip del servidor XenApp
Puerto XML: Por defecto 80

- Ahora Debemos configurar el Secure Access. Para esto nos vamos a "Secure Access" en el menu.

Especificamos el Metodo de Acceso: Gateway Direct

Especificamos el FQDN del virtual server (NO SE COLOCA HTTPS). En mi caso: 
FQDN: Nombre del certificado digital / Virtual Server en el netscaler
Puerto: 443
No estoy usando Session Releability (nunca lo uso) asi que lo deshabilitamos.

Especificamos el (los) famosos Secure Ticket Authority (STA). Recuerden que la sintaxis es: http::/scripts/ctxsta.dll

Y con esto el Sitio en Web Interface esta configurado. 

Vamos a la consola de Netscaler....


2) Configuramos el STA en el NetScaler

En la consola de NetScaler vamos a nuestro Virtual Server. En la solapa "Published Applications". Debajo de "Secure Ticked Authority" agregamos la ip de nuestro servidor XenApp. 

Tienen que salir de esa ventana y volver a ingresar para que verfiquen que el State muestre "UP" (en verde).

Listo
----



3) Creamos la Politica de Sesión y el perfil para redireccionar a Web Interface.

Estando en nuestra virtual Server vamos a la solapa "Policies". 

Hacemos click en "Insert Policy" y luego elegimos "New Policy". Usamos los siguientes datos:

Nombre:SesPol_NS (O el que uds quieran)
Expression: Match Any Expression ==>General==>True Value (Click en Add Expression)
Request Profile: Hacemos click en "New"

Ahora vamos a crear el Perfil. 
Hacemos click en la ventana "Create Access Gateway Session Policy",

Le ponemos un nombre al perfil.
Nos vamos a la solapa "Published Application" y ponemos los siguientes datos:

ICA Proxy: ON
Web Interface Address: (Debemos usar la URL de la Web Interface que creamos en los pasos anteriores) 

Nota: No olviden la sintaxis.

Single Sign-On Domain:(Aca deben colocar su Dominio de AD)

Nos vamos a la solapa "Security" y seteamos "Default Authorization Action" en "ALLOW"

Le damos "Create" 2 veces.

Y OK.

Guardamos la configuracion.

Y listo.

Ahora probemos.

Podemos ver la sesion en la consola del NetScaler.




Espero que les sirva este video.




Cualquier consulta escriban a mi blog:

http://blog.mdsolutions.pe

Hasta la proxima.

Enjoy!