Résoudre les problèmes d’authentification adaptative

Les problèmes sont classés en fonction des différentes étapes de la configuration :

Vous pouvez également résoudre les problèmes à l’aide de l’interface de ligne de commande Adaptive Authentication. Pour vous connecter à l’interface de ligne de commande, procédez comme suit :

  • Téléchargez le client SSH comme putty/securecrt sur votre machine.
  • Accédez à l’instance Adaptive Authentication à l’aide de l’adresse IP de gestion (principale).
  • Connectez-vous avec vos informations d’identification.

Pour plus de détails, consultez la section Accès à une appliance NetScaler.

Activer la journalisation des journaux d’authentification adaptatifs

Assurez-vous d’activer les niveaux de journalisation pour capturer les journaux d’authentification adaptatifs.

Activer les journaux à l’aide de la ligne de commande :

  1. Connectez-vous à la CLI de l’instance Adaptive Authentication.
  2. À l’aide de PuTTY, entrez les informations de gestion.
  3. Exécutez la commande set audit syslogParams logLevel ALL

Activer les journaux via l’interface graphique :

  1. Connectez-vous à l’instance d’authentification adaptative à l’aide d’un navigateur.
  2. Accédez à Configuration > Système > Audit.
  3. Sur la page Audit, sous Paramètres, cliquez sur Modifier les paramètres du syslog d’audit.
  4. Dans Log Levels, sélectionnez TOUT.

Problèmes de provisionnement

  • Impossible d’accéder à l’interface utilisateur d’authentification adaptative

    Vérifiez si le droit est activé pour votre numéro de client/locataire.

  • Bloqué dans la page d’approvisionnement pendant plus de 45 minutes

    Collectez la capture d’écran de l’erreur, le cas échéant, puis contactez le support Citrix pour obtenir de l’aide.

  • Le pair de réseau virtuel est en panne

    • Vérifiez s’il existe des alertes dans le portail Azure correspondant à cet appairage et prenez les mesures recommandées.
    • Supprimez l’appairage, ajoutez-le à nouveau depuis l’interface utilisateur d’authentification adaptative.
  • Le deprovisioning n’est pas terminé

    Contactez l’assistance Citrix pour obtenir de l’aide.

Problème d’accessibilité des instances

  • L’adresse IP de gestion n’est pas accessible pour l’instance

    • Vérifiez si l’adresse IP publique du client utilisée pour l’accès fait partie des adresses IP sources autorisées.

    • Vérifiez s’il existe un proxy qui modifie l’adresse IP source du client.

  • Impossible de se connecter à l’instance

    Assurez-vous que l’accès administrateur fonctionne correctement avec les informations d’identification que vous avez saisies lors du provisionnement.

  • Les utilisateurs finaux ne disposent pas de tous les droits

    Lors de l’ajout de l’utilisateur, assurez-vous d’avoir lié la stratégie de commande appropriée pour l’accès. Pour plus d’informations, consultez la section Utilisateur, groupes d’utilisateurs et stratégies de commande.

Problème de connectivité AD ou RADIUS

Problème avec le type de connectivité d’appairage de réseau virtuel Azure :

  • Vérifiez si le réseau virtuel Azure géré par le client est accessible à partir des instances Adaptive Authentication.
  • Vérifiez si la connectivité/l’accessibilité entre le réseau virtuel Azure géré par le client et AD fonctionne.
  • Assurez-vous que des routes appropriées sont ajoutées pour diriger le trafic depuis les réseaux locaux vers les réseaux virtuels Azure.

Connecteur basé sur Windows :

  • Tous les journaux sont disponibles dans le répertoire /var/log/ns.log et chaque journal est préfixé par [NS_AAUTH_TUNNEL].
  • ConnectionId des journaux peut être utilisé pour corréler différentes transactions.
  • Assurez-vous que l’adresse IP privée de la machine virtuelle du connecteur est ajoutée en tant que client RADIUS dans le serveur RADIUS, car cette adresse IP est l’adresse IP source du connecteur.

    Pour chaque demande d’authentification, le tunnel est établi entre l’instance d’authentification adaptative (processus NS - AAAD) et le serveur d’authentification. Une fois le tunnel établi avec succès, l’authentification a lieu.

    Assurez-vous que la machine virtuelle du connecteur peut résoudre le nom de domaine complet de l’authentification adaptative.

  • Le connecteur est installé mais la connectivité sur site échoue.

    Validez si NSAUTH-TUNNEL est en cours d’établissement

    cat ns.log | grep -I “tunnel”

    Si l’exemple de journal suivant n’est pas imprimé dans le fichier ns.log pour la demande d’authentification, il peut y avoir un problème lors de l’établissement d’un tunnel ou un problème du côté du connecteur.

     LDAP:
     [NS_AAUTH_TUNNEL] Entering bitpump for
     Connection1 => Src : 192.168.0.7:28098, Dst : 10.106.103.60:636 , Connection2 => Src : 10.106.103.70:2271, Dst : 10.106.103.80:443"
     RADIUS:
     [NS_AAUTH_UDP_TUNNEL] MUX channel established"
     <!--NeedCopy-->
    

    Vérifiez les détails du journal et prenez les mesures appropriées.

    Détails du journal Action corrective
    Aucun journal avec préfixe [NS_AAUTH_TUNNEL] n’est inclus dans le fichier journal Exécutez la commande show cloudtunnel vserver. Cette commande doit répertorier à la fois le serveur virtuel de tunnel cloud (TCP et UDP) avec l’état « UP ».
    [NS_AAUTH_TUNNEL] Waiting for outbound from connector Pour ce journal, si la réponse suivante n’est pas reçue : [NS-AAUTH-TUNNEL] Received connect command from connector and client connection lookupsucceeded" Vérifiez si la machine du connecteur est en mesure d’accéder au nom de domaine complet de l’authentification adaptative OU vérifiez le pare-feu côté connecteur pour les connexions sortantes au nom de domaine complet de l’authentification adaptative.
    [NS_AAUTH_TUNNEL] Server is down or couldn't create connection to ip 0.0.0.0 et[NS_AAUTH_TUNNEL] Connect response code 401 is not 200 OK, bailing out" Contactez le support Citrix.

Aucune réponse du connecteur :

  • Assurez-vous que le nom de domaine complet de l’authentification adaptative est accessible depuis la machine virtuelle du connecteur.
  • Assurez-vous que vous disposez d’un certificat intermédiaire lié et lié au certificat du serveur sur l’instance Adaptive Authentication.

Paramètres LDAP/RADIUS incorrects :

Si l’adresse IP de votre serveur AD/RADIUS est une adresse IP publique, vous devez ajouter le sous-réseau ou l’adresse IP qui adresse les expressions dans NetScaler. Ne modifiez pas les plages existantes.

  • Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface de ligne de commande :

     set policy expression aauth_allow_rfc1918_subnets "(CLIENT.IP.DST.BETWEEN(10.0.0.0,10.255.255.255) || CLIENT.IP.DST.BETWEEN(172.16.0.0,172.31.255.255) || CLIENT.IP.DST.BETWEEN(192.168.0.0, 192.168.255.255) || CLIENT.IP.DST.BETWEEN(13.14.0.0, 13.14.255.255)||CLIENT.IP.DST.EQ(1.2.5.4))"
     <!--NeedCopy-->
    
  • Pour ajouter un sous-réseau ou une adresse IP à l’aide de l’interface graphique :

    1. Accédez à AppExpert > Expressions.
    2. Ajoutez l’expression aauth_allow_rfc1918_subnets.

Si le tunnel est établi mais que l’authentification échoue toujours, suivez les étapes suivantes pour résoudre le problème.

LDAP :

  • Validez les détails du DN de liaison.
  • Utilisez le test de connectivité pour confirmer l’erreur.
  • Validez les erreurs à l’aide du débogage aaad.
  • Connectez-vous à l’instance Adaptive Authentication à l’aide de la CLI.

     shell
     cd /tmp
     cat aaad.debug
     <!--NeedCopy-->
    

Erreurs LDAP courantes :

Rayon :

  • L’adresse IP du connecteur doit être ajoutée en tant qu’adresse IP source du client RADIUS dans la configuration du serveur RADIUS.

Problèmes d’authentification

  • Erreurs de post-assertion pour OAuth

    • Assurez-vous que toutes les réclamations sont fournies par AD. Vous avez besoin de 7 demandes pour que cela aboutisse.

    • Validez les journaux dans le fichier /var/log/ns.log pour localiser l’erreur liée aux échecs OAuth.

     cat /var/log/ns.log
     <!--NeedCopy-->
    
    • Validez les paramètres du profil OAuth.
  • Authentification Azure AD bloquée lors de la post-assertion

    Ajoutez l’authentification AD comme facteur suivant avec l’authentification désactivée. Cela permet d’obtenir toutes les revendications requises pour une authentification réussie.

Questions liées à l’EPA

  • Le plug-in est déjà présent mais l’utilisateur est invité à le télécharger.

    Causes possibles : discordance de version ou fichiers corrompus

    • Exécutez les outils de développement et vérifiez si le fichier de liste des plug-ins contient la même version que celle de NetScaler et de votre machine cliente.

    • Assurez-vous que la version du client sur NetScaler est la même que sur l’ordinateur client.

      Mettez à jour le client sur NetScaler.

      Sur l’instance Adaptive Authentication, accédez à NetScaler Gateway > Paramètres généraux > Mettre à jour les bibliothèques clientes.

      La page des bibliothèques de plug-ins EPA sur les téléchargements Citrix vous fournit des informations détaillées.

    • Parfois, la demande peut être mise en cache sur NetScaler même si la version est mise à jour.

      show cache object affiche les détails du plug-in mis en cache. Vous pouvez le supprimer à l’aide de la commande ;

      flush cache object -locator 0x00000023345600000007

    Pour plus de détails sur la collecte des journaux EPA, reportez-vous à https://support.citrix.com/article/CTX209148.

  • Existe-t-il un moyen de rétablir les paramètres EPA (Toujours, Oui, Non) une fois que l’utilisateur a sélectionné une option.

    Actuellement, la restauration des paramètres EPA est effectuée manuellement.

    • Sur la machine cliente, accédez à C:\Users <user_name>\ AppData \ Local \ Citrix \ AGEE.
    • Ouvrez le fichier config.js et définissez TrustAlways sur null - "trustAlways":null

Problèmes liés aux balises d’accès intelligentes

  • Après avoir configuré Smart Access, les applications ne sont pas disponibles

    Assurez-vous que les balises sont définies à la fois sur l’instance Adaptive Authentication et sur les groupes de mise à disposition Citrix VDA.

    Vérifiez que les balises sont ajoutées au groupe de mise à disposition Workspace en majuscules.

    Vous pouvez récupérer le fichier ns.log et contacter le support Citrix si cela ne fonctionne pas.

Collecte de journaux générale pour l’instance d’authentification adaptative

Contactez le support Citrix pour obtenir des conseils.