Citrix网关和端点管理

当与端点管理集成时，Citrix Gateway提供对内部网络和资源的远程设备访问。端点管理从设备上的应用程序到Citrix网关创建一个微型VPN。

您可以使用Citrix Gateway服务(预览)或本地Citrix Gateway，也称为NetScaler Gateway。有关两个Citrix Gateway解决方案的概述，请参见配置Citrix网关使用端点管理．

配置远端设备接入内网时的认证

1. 在Endpoint Management控制台中，单击控制台中右上角的齿轮图标。的设置页面出现。

2. 下服务器,点击Citrix网关．的Citrix网关页面出现。在下面的示例中，存在一个Citrix Gateway实例。

   

3. 配置这些设置:

   • 身份验证:选择是否启用认证。默认为在．
   • 下发用户证书进行认证:选择是否希望端点管理与安全集线器共享身份验证证书。共享证书使Citrix Gateway能够处理客户端证书身份验证。默认为从．
   • 凭据提供程序:在列表中，单击要使用的凭据提供程序。有关更多信息，请参见证书提供商．

4. 点击保存．

添加Citrix Gateway服务实例(预览)

保存身份验证设置后，向Endpoint Management添加一个Citrix Gateway实例。

1. 在端点管理控制台中，单击右上角的齿轮图标。的设置页面打开。

2. 在设置页面，滚动到Citrix Gateway瓷砖，然后单击开始安装．的Citrix网关页面出现。

3. 选择Citrix Gateway服务(云)并为Gateway服务指定资源位置。

   

   • Gateway服务的资源位置:，如果你使用安全邮件。指定STA服务的资源位置。资源位置必须包括已配置的Citrix Gateway。如果稍后要删除为Gateway服务配置的资源位置，请更新此设置。

   设置完成后，单击连接建立连接。新增Citrix Gateway。的Citrix Gateway服务(云)瓷砖显示在设置页面。单击，编辑实例查看更多．如果所选资源位置中没有网关连接器，请单击添加网关连接器．按照屏幕上的指导安装网关连接器。您还可以稍后添加网关连接器。

4. 点击保存并导出脚本．

   • 保存并导出脚本．单击按钮保存设置并导出配置包。您可以将脚本从包上传到Citrix Gateway，以使用端点管理设置对其进行配置。有关信息，在这些步骤之后，请参见“配置本地Citrix网关以与端点管理一起使用”。

   您已经添加了新的Citrix Gateway。的Citrix网关瓷砖显示在设置页面。单击，编辑实例查看更多．

配置本地Citrix网关以与端点管理一起使用

要配置本地Citrix Gateway以与端点管理一起使用，请执行以下通用步骤，具体步骤见以下部分。

1. 验证您的环境是否满足先决条件。

2. 从Endpoint Management控制台导出脚本包。

3. 从包中提取文件。如果您只在Citrix Gateway上使用经典策略，并且正在运行Citrix ADC 13.0或更早版本，请使用文件名中带有“classic”的脚本。如果您正在使用任何高级策略，或者正在运行Citrix ADC 13.1或更高版本，请使用文件名中带有“advanced”的脚本。

4. 在Citrix Gateway上运行适当的脚本。有关最新的详细说明，请参阅随脚本提供的自述文件。

5. 测试配置。

这些脚本配置端点管理所需的这些Citrix网关设置:

• MDM和MAM所需的Citrix Gateway虚拟服务器
• Citrix Gateway虚拟服务器的会话策略
• 端点管理服务器详细信息
• 用于证书验证的代理负载平衡器
• Citrix Gateway虚拟服务器的认证策略和操作。这些脚本描述LDAP配置设置。
• 代理服务器的流量动作和策略
• 无客户端访问配置文件
• Citrix Gateway上的静态本地DNS记录
• 其他绑定:服务策略、CA证书

脚本不处理以下配置:

• 交换负载均衡
• Citrix文件负载均衡
• ICA代理配置
• SSL卸载

使用Citrix Gateway配置脚本的前提条件

终端管理要求:

• 在导出脚本包之前，请在Endpoint Management中完成LDAP和Citrix Gateway的配置。如果修改了设置，请重新导出脚本包。

Citrix Gateway要求:

• 在Citrix Gateway上使用基于证书的身份验证时，必须在Citrix ADC Appliance上创建SSL证书。看到在Citrix ADC设备上创建和使用SSL证书．
• Citrix Gateway(最低版本11.0,Build 70.12)。
• 已配置Citrix Gateway IP地址，并与LDAP服务器有连接(除非LDAP是负载均衡)。
• Citrix网关子网(SNIP)配置IP地址，可以连接到必要的后端服务器，并可以通过端口8443/TCP访问公共网络。
• DNS可以解析公共域。
• Citrix Gateway使用平台/通用或试用许可证进行授权。有关信息，请参见https://support.citrix.com/article/CTX126049．

从Endpoint Management中导出脚本包

保存身份验证设置后，向Endpoint Management添加一个Citrix Gateway实例。

1. 在端点管理控制台中，单击右上角的齿轮图标。的设置页面打开。

2. 在设置页面，滚动到Citrix Gateway瓷砖，然后单击开始安装．的Citrix网关页面出现。

3. 选择Citrix Gateway(本地)并配置这些设置:

   

   • 名称:为Citrix Gateway实例键入一个名称。
   • 外部URL:为Citrix Gateway键入可公开访问的URL。例如,https://receiver.com．
   • 登录类型:选择登录类型。类型包括:域，仅安全令牌，域和安全令牌，证书，证书和域,证书和安全令牌．默认为域．

   如果你有多个域名，请使用证书和域．有关更多信息，请参见配置多域认证．

   Citrix Gateway上基于证书的身份验证需要额外的配置。例如，必须将根CA证书上传到Citrix ADC Appliance。看到在Citrix ADC设备上创建和使用SSL证书．

   有关更多信息，请参见身份验证在部署手册中。

4. 点击保存并导出脚本．

   • 保存并导出脚本．单击按钮保存设置并导出配置包。您可以将脚本从包上传到Citrix Gateway，以使用端点管理设置对其进行配置。有关信息，在这些步骤之后，请参见“配置本地Citrix网关以与端点管理一起使用”。

   您已经添加了新的Citrix Gateway。的Citrix网关瓷砖显示在设置页面。单击，编辑实例查看更多．

在您的环境中安装脚本

脚本包包括以下内容。

• 带有详细说明的自述文件
• 包含NetScaler CLI命令的脚本，用于配置NetScaler中所需的组件
• Public Root CA证书和Intermediate CA证书
• 包含NetScaler CLI命令的脚本，用于删除NetScaler配置

1. 在Citrix ADC设备的/nsconfig/ssl/目录中上传并安装证书文件(在脚本包中提供)。看到在Citrix ADC设备上创建和使用SSL证书．

   

   下面以安装根证书为例进行说明。

   

   

   

   

   确保同时安装了根证书和中间证书。

2. 编辑脚本(ConfigureCitrixGatewayScript_Classic.txt或ConfigureCitrixGatewayScript_Advanced.txt)，用环境中的详细信息替换所有占位符。

   

3. 在NetScaler bash shell中运行已编辑的脚本，如脚本包中包含的自述文件所述。例如:

   /netscaler/nscli -U:< netscaler Management Username>:< netscaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

   

   脚本完成后，将出现以下几行代码。

   

测试配置

验证配置。

1. 验证Citrix网关虚拟服务器显示状态为向上．

   

2. 验证代理负载均衡虚拟服务器显示状态为向上．

   

3. 打开web浏览器，连接到Citrix Gateway URL，并尝试进行身份验证。如果验证成功，您将被重定向到“HTTP状态404 -未找到”消息。

4. 注册一个设备并确保它同时获得MDM和MAM注册。

配置多域认证

如果您有多个端点管理实例(例如用于测试、开发和生产环境)，则需要为其他环境手动配置Citrix Gateway。(NetScaler for XenMobile向导只能使用一次。)

Citrix Gateway配置

配置多域环境下的Citrix Gateway认证策略和会话策略。

1. 在Citrix Gateway配置实用程序中，在配置选项卡,扩大Citrix Gateway >策略>认证．
2. 2 .在导航区单击LDAP．

3. 单击，编辑LDAP配置文件。改变服务器登录名属性来userPrincipalName或要用于搜索的属性。记下您指定的属性。在Endpoint Management控制台中配置LDAP设置时提供它。

   

4. 为每个LDAP策略重复这些步骤。每个域都需要一个单独的LDAP策略。
5. 在与Citrix Gateway虚拟服务器绑定的会话策略中，导航到编辑会话配置文件>已发布应用．确保单点登录域是空白。

终端管理配置

在多域环境中配置Endpoint Management LDAP。

1. 在端点管理控制台中，转到> LDAP并添加或编辑目录。

   

2. 提供信息。

   • 在域名别名，指定用于用户认证的每个域。用逗号分隔域，域之间不要使用空格。例如:domain1.com、domain2.com、domain3.com

   • 确保用户按字段匹配服务器登录名属性在Citrix Gateway LDAP策略中指定。

   

将入站连接请求删除到特定url

如果环境中的Citrix Gateway配置为SSL卸载，则可能希望网关丢弃针对特定url的入站连接请求。如果您更喜欢这种额外的安全性，请与思杰云运营联系，并请求他们允许您的IP访问本地数据中心。