Netscaler : Double authentification avec SMS2 et Google Authentication Service Print
User Rating: / 1
PoorBest 
News
Written by Cyril Pineiro   

Cela faisait un moment que je voulais mettre en place la double authentification sur Netscaler,
voilà c’est fait et tout ça avec un budget de 0€ en utilisant SMS2 disponible gratuitement sur
le site du développeur : http://www.wrightccs.com/ en le couplant avec le service gratuit de
Google https://developers.google.com/identity/ qui offre son application pour toutes les
plateformes de téléphone du moment (Android, iOS, Windows Phone).

Pour ceux qui ne savent pas ce qu’est la double authentification :
https://www.extrem-network.com/2014/10/12/securite-internet-double-authentification/

Dans ce POC nous allons ajouter une double authentification
avec le service de Google avec un mot de passe valable 30 Secondes.

Environnement :

OS du serveur : Windows Server 2012 R2 EN-US
Version Netscaler : 10.5 version d’essai
Version SMS2 : 15.11.0601.1 (selon le MSI) à télécharger sur le site http://www.wrightccs.com/
MSSQL 2012 Express : Configuration par login SA, installé en local

Commencer par ajouter le rôle « Network Policy and Access Services »

« Next »


« Next »


« Next »


« Next »


Cliquer « Install »


Une fois le rôle installé lancer la console de gestion avec la commande : « nps.msc »


Aller dans « Network Policies » puis double cliquer « Connections to other access servers »


Positionner les paramètres à l’identique de la capture ci-dessus, on sauvegarde et on continue


Depuis le menu, clique droit sur « RADIUS Clients » cliquer « New »


Renseigner l’ip du Netscaler (NSIP c’est-à-dire l’IP utilisée pour accéder à l’interface d’administration)
créer une clef partager « Shared Key » manuellement ou générée, sauvegarder la
et garder la
précieusement elle nous sera utile un peu plus tard, Cliquer « Ok »


Exécuter l’installeur de SMS2

 


« Next »


Cliquer « Single server – NPS »


Cliquer « Configure AuthEngine »


Saisir la licence envoyée par mail avec le lien de téléchargement de SMS2
Cliquer « Ok » et « Next »


Cliquer « Next »


Saisir les infos de l’AD, tester la connexion, cliquer « Next »


Rentrer les informations nécessaires pour se connecter au SQL, cliquer « Next »

Note : Il ne faudra pas oublier de configurer le « protocole » « Named Pipes »
du serveur SQL et le positionner sur « Enabled » et relancer le service SQL


Tester la connexion, « Ok » et « Next »


Configuration du mail, dans ce POC cela n’est pas nécessaire, cliquer « Next »


Cliquer « Configure CloudSMS »


Cliquer « Next »


Rien à configurer pour ce POC, Cliquer « Finish »


Cliquer « Configure OATHCalc »


Cliquer « Next »


Cliquer « Finish »


Cliquer « Configure AdminGUI/Clients »


Cliquer « Finish »


Cliquer « Next »


Cliquer « Install »


Cliquer « Finish »


Depuis le menu démarrer, dossier « WrithCCS – SMS2 »
Lancer « SMS2 Administration Console
»

En démarrant l’application seul le compte en cours d’utilisation est visible, c’est normal c’est simplement
que pour le moment il n’y a pas d’administrateur, lancer la commande suivante pour déclarer le compte
actuel comme administrateur de SMS2 (le compte doit bien évidemment avoir les droits admin locaux).

Ouvrir un Command Prompt, et lancer la commande :

« "C:\Program Files\WrightCCS2\Service\Wright.Util.exe" makeadmin %username% »

Cliquer «
Authentication Options »


Sélectionner « OATHCalc », choisir «TOTP time based »,
puis choisir « Google Authenticator », cliquer « Generate Shared Secret »


Cliquer « Save Configuration »


Apparait alors le QRCode à communiquer à l’utilisateur, ce QR Code sera scanné
dans l’application « Authenticator » de Google disponible sur Android et iOS
sur Windows Phone ça sera « Authenticator+ »
(https://www.microsoft.com/en-us/store/p/authenticator/9nblggh08h54)

Avant de passer à la configuration de NetsCaler, il est préférable de tester notre installation,
pour cela rendez-vous à : https://thwack.solarwinds.com/thread/14486

Télécharger NTRadPing Test Utility :


Extraire le fichier compressé, Exécuter « NTRadPing.exe »

Remplir les champs avec les informations demandées, le « password » sera votre mot de passe
de connexion à l’AD suivi du Token (concaténation des MDP + Token), pour tester cliquer « Send »,
si la réponse dans « RADIUS Server reply » contient la ligne « response Access-Accept »
c’est que tout est bien configuré, on peut passer à la suite.

Configuration de NetScaler

Se loguer sur l'interface de Netscaler dans le menu se rendre dans :

NetScaler > NetScaler Gateway > Policies > Authentication > RADIUS

Cliquer « Add »


Renseigner « Name », cliquer « + »


Le port par défaut est
« 1812 » donc si vous n’avez rien modifié tout va bien.
Cliquer « Details »


Positionner « Accounting » sur « OFF »
Cliquer « Ok »


Renseigner dans « Expression* » : « ns_true »
Cliquer « Create »

Maintenant que notre serveur est déclaré dans NetScaler on l’intègre
Depuis : NetScaler > NetScaler Gateway > NetScaler Gateway Virtual Servers

Choisir le Serveur Virtuel pour lequel ajouter la double authentification,
Cliquer « Edit »


Dans « Authentification » cliquer « + »


Choisir « RADIUS » type « Secondary », cliquer « Continue »


Cliquer « > »


Choisir le Serveur Radius créé, cliquer « Ok »


Cliquer « Bind »

Cliquer « Done »

Avant de tester si tout cela fonctionne, nous allons faire un peu de « tweak ».

Depuis le serveur RADIUS aller dans le répertoire : « C:\Program Files\WrightCCS2\Settings »
Editer le fichier « Configuration.xml »

Chercher la ligne <AuthEngineChallengeResponse>True</AuthEngineChallengeResponse>
Et remplacer « True » par « False », cela évitera le « Challenge response »

Chercher la ligne <OATHCalcTotpWindow>
Et remplacer la valeur existante par « 1 », cela réduira la période de validité de chaque Token.

Dans le nœud <Provider> paramétrez à « false » les Provider non désirés.


Il est temps de se rendre sur l’interface Netscaler et de s’authentifier :
Password 1 est le mot de passe AD
Pasword 2 est le digit à Six chiffre de Google Authenticator valable 30 secondes
ce digit se présente sur le SmartPhone de la manière suivante :

Saisir les informations, cliquer « Log On »

Si tout va bien la connexion se fait