Netscaler Zweifachauthentifizierung mit OpenOTP
Hallo zusammen
Ich habe soeben den OpenOTP-Server in Betrieb genommen.
- VM-Appliance heruntergeladen von der Herstellerseite https://www.rcdevs.com/products/openotp/
- Nach folgender Anleitung konfiguriert: https://www.markbrilman.nl/2015/04/tutorial-google-authenticator-as-2-fa ...
Wenn ich über das Webinterface von OpenOTP die Useranmeldung mit Domainpasswort + OTP von Google-Authenticator teste funktioniert es.
Leider funktioniert die Anmeldung über den Netscaler Gateway nicht.
Von der Firewall wird nichts geblockt, das habe ich überprüft. Nun weiss ich nicht wie ich am Besten vorgehe um den Fehler zu finden.
Sofern die Kommunikation über Netscaler-Management-IP > OpenOTP-Server stattfindet.
Kennt sich jemand damit aus?
Besten Dank
Del Piero
Ich habe soeben den OpenOTP-Server in Betrieb genommen.
- VM-Appliance heruntergeladen von der Herstellerseite https://www.rcdevs.com/products/openotp/
- Nach folgender Anleitung konfiguriert: https://www.markbrilman.nl/2015/04/tutorial-google-authenticator-as-2-fa ...
Wenn ich über das Webinterface von OpenOTP die Useranmeldung mit Domainpasswort + OTP von Google-Authenticator teste funktioniert es.
Leider funktioniert die Anmeldung über den Netscaler Gateway nicht.
Von der Firewall wird nichts geblockt, das habe ich überprüft. Nun weiss ich nicht wie ich am Besten vorgehe um den Fehler zu finden.
Sofern die Kommunikation über Netscaler-Management-IP > OpenOTP-Server stattfindet.
Kennt sich jemand damit aus?
Besten Dank
Del Piero
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 288794
Url: https://administrator.de/forum/netscaler-zweifachauthentifizierung-mit-openotp-288794.html
Ausgedruckt am: 26.12.2024 um 11:12 Uhr
16 Kommentare
Neuester Kommentar
Moin...
Wieder zu wenig Fakten für eine qualifizierte Antwort, also frage ich erstmal zurück ;)
Du hast auf dem NetScaler die / den Radius Server eingerichtet?
Du hast Policys für die Aughentifizierung erstellt?
Du hast am NetScaler Gateway (vServer) die Policies und Radius Server eingebunden?
Der NetScaler fragt die Radius-Server entweder mit seiner Subnet-IP (SNIP) oder mit der NetScaler IP (NSNIP). Das hängt davon ab, wie du das Backend an den NetScaler angebunden hast.
Und wo wir mal dabei sind, bedenke, das je nachdem wie die Anfrage gestellt wird ( nativ über Receiver oder über Web) sich die Reihenfolge der Passwortfelder vertauscht!
Citrix bietet zum Thema NetScaler und Two Factor Auth zahlreiche Anleitungen an:
http://support.citrix.com/article/CTX125364
Gruss Keksdieb
Wieder zu wenig Fakten für eine qualifizierte Antwort, also frage ich erstmal zurück ;)
Du hast auf dem NetScaler die / den Radius Server eingerichtet?
Du hast Policys für die Aughentifizierung erstellt?
Du hast am NetScaler Gateway (vServer) die Policies und Radius Server eingebunden?
Der NetScaler fragt die Radius-Server entweder mit seiner Subnet-IP (SNIP) oder mit der NetScaler IP (NSNIP). Das hängt davon ab, wie du das Backend an den NetScaler angebunden hast.
Und wo wir mal dabei sind, bedenke, das je nachdem wie die Anfrage gestellt wird ( nativ über Receiver oder über Web) sich die Reihenfolge der Passwortfelder vertauscht!
Citrix bietet zum Thema NetScaler und Two Factor Auth zahlreiche Anleitungen an:
http://support.citrix.com/article/CTX125364
Gruss Keksdieb
Hmm...
Sieht erst einmal gut aus...
Setz bitte die primäre Authentifizierung mal auf deinen Radius Server (keine sekundäre Auth-Methode angeben) und versuch dich dann mit OTP anzumelden... Wenn es geht, dann stimmt deine Radius Config.
Eventuell hast du die Priorisierung der Authentifizierungsmethoden gleich... Die Primäre sollte irgendwas bei 100 haben und die sekundäre entsprechend tiefer (90 oder noch tiefer). Wenn beide gleich sind, kommt es auch zu Fehlern.
Gruß
Keks
Sieht erst einmal gut aus...
Setz bitte die primäre Authentifizierung mal auf deinen Radius Server (keine sekundäre Auth-Methode angeben) und versuch dich dann mit OTP anzumelden... Wenn es geht, dann stimmt deine Radius Config.
Eventuell hast du die Priorisierung der Authentifizierungsmethoden gleich... Die Primäre sollte irgendwas bei 100 haben und die sekundäre entsprechend tiefer (90 oder noch tiefer). Wenn beide gleich sind, kommt es auch zu Fehlern.
Gruß
Keks
Na ja,
Könnte ein DNS Problem sein und ohne Suffix kann der Name nicht mehr korrekt aufgelöst werden...
Da ich dein AD Konstrukt mit DNS nicht kenne, ist das aber reiner Spekulatius (apropo, ist nicht bald Weihnachtszeit?)...
Also check deine DNS Einträge für den Radius nochmal und mach mal enen nslookup auf rcvm, wenn da alles in Ordnung ist, liegt das Problem eher an deinem Active-Directory und den Sicherheitsoptionen...
Gruß Keks
Könnte ein DNS Problem sein und ohne Suffix kann der Name nicht mehr korrekt aufgelöst werden...
Da ich dein AD Konstrukt mit DNS nicht kenne, ist das aber reiner Spekulatius (apropo, ist nicht bald Weihnachtszeit?)...
Also check deine DNS Einträge für den Radius nochmal und mach mal enen nslookup auf rcvm, wenn da alles in Ordnung ist, liegt das Problem eher an deinem Active-Directory und den Sicherheitsoptionen...
Gruß Keks
Hallo...
Wir haben bei uns das gleiche Problem wie von dir beschrieben.
User mit 2 Faktor alles korrekt
User ohne 2 Faktor muss PW unter Passcode eintragen.
Funktioniert das nun bei dir korrekt ?
hab ich die Lösung richtig verstanden:
Nur via Radius authentifizieren
Server kommunikation via IP
Server Hostname (OTP Server) muss Full Qualified eingetragen sein und aufgelöst werden können ?
Gruss Martin
Wir haben bei uns das gleiche Problem wie von dir beschrieben.
User mit 2 Faktor alles korrekt
User ohne 2 Faktor muss PW unter Passcode eintragen.
Funktioniert das nun bei dir korrekt ?
hab ich die Lösung richtig verstanden:
Nur via Radius authentifizieren
Server kommunikation via IP
Server Hostname (OTP Server) muss Full Qualified eingetragen sein und aufgelöst werden können ?
Gruss Martin
Wir setzen Safeword und nicht OTP ein aber das Problem ist das gleiche...
Das komische ist mit dem Webinterface funktioniert alles Prima.
Gibst du die "Netscaler URL" aber im Receiver ein haben wir oben beschriebenes Problem:
Gruss Martin
Das komische ist mit dem Webinterface funktioniert alles Prima.
Gibst du die "Netscaler URL" aber im Receiver ein haben wir oben beschriebenes Problem:
- User mit 2 Fakt: Eingabe Username, Password, Passcode--> Login OK
- User ohne 2 Fakt: Eingabe Username, Password --> Fehler
- User ohne 2 Fakt: Eingabe Username und das Passwort im Passcode Feld --> Login OK Crazy !
Gruss Martin