Двухфакторная авторизация на Citrix NetScaler

2х факторная аутентификация на NetScaler

Для обеспечения безопасного доступа с корпоративную инфраструктуру я использую решение на базе NetScaler с использованием 2х факторной аутентификации. П построить данное решение достаточно просто, нужно только иметь развернутый, настроенный NS, развернутый центр сертификации и PKI устройства например eToken.
Зачем это? Предположим WEB морда AG сервера имеет неограниченный доступ из интернета, следовательно потенциально зная логин доступа можно инициировать HTTP запросы, и в зависимости от политики безопасности (количество попыток до блокировки) заблокировать пользователя и т.д. При использовании ДФА (2х факторной авторизации) мы не только гарантированно идентифицируем пользователя, но и предоставляем защищенный сервис доступа.

Считаем, что уже есть:

-У нас есть настроенный netscaler
-Поднятый центр сертификации (хотя можно использовать и ЦС на аутсорсинге)
-Настроенный Access Gateway сервер

Я рекомендую разграничивать доступ к одному внутреннему ресурсу 2 AG серверами (для локальных и удаленных пользователей). На приведенном примере ssl_ag_xd – доступ для XD из локальной сети (с ограничениями по IP), ssl_ag_smart_ica – опубликованный наружу сервис с проверкой по сертификатам.

Приступим к настройке:

В AG севере переходим на закладку SSL Parameter

Устанавливаем принудительное использование сертификатов

Далее создаем сервер авторизации CERT с указанием идентифицируемого поля.
NetScaler Access Gateway Policies Authentication Authentication Servers

Теперь создаем политику авторизации на основе созданного сервера
NetScaler Access Gateway Policies Authentication Authentication Policies

Осталось подключить созданную политику к правилу авторизации AG сервера

Осталось проверить:

Открываем браузер по адресу указанному в AG server. Браузер сразу предлагает выбрать сертификат с подключенного etoken (на етокене у меня 2 сертификата)

После выбора нужного сертификата и его проверки NS пускает на web сервер citrix xendektop / app где вводим учетные данные пользователя

Доступ с использование etoken получен

P.S. Спасибо за внимание, если у Вас есть какие-либо вопросы, комментарии пожалуйста задавайте. NetScaler штука мало у нас распространенная, но настоящая.
В статья я краем упомянул про ограничение по IP (это не свойственная функция NS), если кому интересно, пишите, расскажу как реализовано, возможно кому-то поможет.