哈喽大家好,欢迎来到虚拟化时代君(XNHCYL)。
“ 大家好,我是虚拟化时代君,一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…(每天更新不间断,福利不见不散)
第一章、背景
密码薄弱或被盗是企业网络漏洞的主要原因,黑客的攻击手法也是层出不穷,多因素身份验证 (MFA) 是防范身份漏洞的最佳安全措施之一。
笔者遇到很多公司Citrix云桌面遭受攻击,因为Citrix Netscaler没有配置多因素认证,爆破或者社工某些人的账号,导致数据泄露,公司后来禁止放在互联网外部使用,而选择了通过VPN方式访问。笔者之前有幸参与过几个大公司自研的单点登录平台配合Citrix Netscaler SAML和Citrix Netscaler oAuth等认证Citrix云桌面的项目。
目前笔者自己常用Azure AD MFA+PIV+EPA还有 SAML+PIV+EPA认证方式。
本篇文章中将介绍Citrix NetScaler常用6种认证的方法,让使用Citrix虚拟桌面的用户能得到更进一步的保护。
第一章、认证方式原理介绍
(一)Native OTP
Citrix NetScaler 支持一次性密码(One Time Password,OTP),无需使用第三方服务器,让用户在支持 OTP 的应用程序上注册并与其共享密钥,然后,它使用当前时间以及该密钥定期生成一串数字,只有用户的 OTP 应用程序(例如 Microsoft Authenticator 或 Citrix SSO 应用程序)才具有该数字。默认情况下,它使用有效期为 30 秒的六位数 OTP 代码。
下图展示了注册新设备以接收OTP的装置注册流程
当使用者完成注册后,可以通过Citrix Gateway页面,输入帐号、密码及设备上的一次性密码进行登入。
下图展示终端用户使用本机OTP 功能进行登入的流程。
通过Citrix Gateway页面,输入帐号、密码及设备上的一次性密码进行登入。
(二)Email OTP
Email OTP 的工作方式与原生 OTP 类似,但 OTP 代码是以电子邮件的形式发送的,而不是发送到应用程序。这种方法对于没有移动设备的用户群体非常有用。它的工作原理类似,生成的代码会定期过期,用户必须将其与凭据一起复制并粘贴到字段中。
(三) SAML Authentication
SAML (Security Assertion Markup Language) 是一种基于XML 的身份验证机制,提供单点登录功能,由OASIS 安全服务技术委员会定义。
下图展示当NetScaler作为SP(Service Provider),OKTA做为IdP(identity provider)时的验证流程:
具体验证流程如下:
1. World Wide 使用者访问Citrix 安全连线接口
2~3. Citrix 提供使用者导向至OKTA的多重验证网址
4~6.使用者输入帐号密码后,OTKA回传一个信任凭证
7.使用者带着信任凭据往后端访问到资源显示页面
通过Citrix FAS 系统,使用者登入虚拟桌面时不须再重复输入帐号密码。
(四) re-Captcha
reCAPTCHA (Completely Automated Public Turing test to tell Computers a
最低0.47元/天 解锁文章
扫一扫
936
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
