安装前检查表
该清单包含了在安装Citrix Gateway之前应该完成的任务和规划信息。
这里提供了足够的空间,让你可以在完成每项任务后检查并做笔记。Citrix建议您注意在安装过程中和配置Citrix Gateway时需要输入的配置值。
安装和配置Citrix Gateway的步骤请参见安装Citrix网关.
用户设备
- 请确保用户设备满足安装前提条件Citrix网关插件系统要求
- 识别用户连接的移动设备。请注意:当用户连接iOS设备时,需要在会话配置文件中启用“安全浏览”功能。
Citrix网关基本网络连接
Citrix建议您在开始配置设备之前获得许可和签名的服务器证书。
- 识别并写下Citrix网关主机名。请注意:这不是完全限定域名。FQDN包含在绑定到虚拟服务器的签名服务器证书中。
- 获取Universal licenseCitrix网站
- 生成证书签名请求(CSR)并发送给证书颁发机构(CA)。输入将CSR发送给CA的日期。
- 请填写系统IP地址和子网掩码。
- 请填写子网IP地址和子网掩码。
- 请写下管理员密码。Citrix Gateway的默认密码是nsroot。
- 请写下端口号。这是Citrix Gateway监听安全用户连接的端口。默认是TCP端口443。该端口必须在非安全网络(Internet)和DMZ之间的防火墙上开放。
- 请填写默认网关IP地址。
- 请填写DNS服务器的IP地址和端口号。默认端口号为53。此外,如果直接添加DNS服务器,还必须在设备上配置ICMP (ping)。
- 写下第一个虚拟服务器的IP地址和主机名。
- 写下第二个虚拟服务器IP地址和主机名(如果适用)。
- 请填写WINS服务器IP地址(如果适用)。
通过Citrix网关可访问的内部网络
- 记录用户可以通过Citrix Gateway访问的内部网络。例如:10.10.0.0/24
- 输入用户使用Citrix Gateway插件连接时需要访问的所有内部网络和网段。
高可用性
如果您有两个Citrix Gateway设备,您可以将它们部署在高可用性配置中,其中一个Citrix Gateway接受和管理连接,而另一个Citrix Gateway监视第一个设备。如果第一个Citrix Gateway因任何原因停止接受连接,第二个Citrix Gateway将接管并开始主动接受连接。
- 请填写Citrix Gateway软件版本号。
- 两个Citrix Gateway设备上的版本号必须相同。
- 请写下管理员密码(nsroot)。两个设备上的密码必须相同。
- 请填写Citrix主网关IP地址和ID。最大ID号为64。
- 请填写备用Citrix网关IP地址和ID。
- 获取并在两个设备上安装Universal许可证。
- 您必须在两个设备上安装相同的Universal许可证。
- 请写下RPC节点密码。
身份验证和授权
Citrix Gateway支持几种不同的身份验证和授权类型,可以以各种组合方式使用它们。关于认证和授权的详细信息请参见身份验证和授权.
LDAP身份验证
如果您的环境包含LDAP服务器,则可以使用LDAP进行身份验证。
请填写LDAP服务器的IP地址和端口。
如果允许不安全的连接到LDAP服务器,默认端口为389。如果使用SSL加密到LDAP服务器的连接,则默认端口为636。
写下安全类型。
您可以配置加密或不加密的安全性。
记下管理员绑定DN。
如果LDAP服务器需要身份验证,请输入Citrix Gateway在查询LDAP目录时应该使用的身份验证的管理员DN。例如cn=administrator,cn=Users,dc=ace, dc=com。
请写下管理员密码。
与管理员绑定DN关联的密码。
请填写Base DN。
用户所在的DN(或目录级别);例如,ou =用户,dc =王牌,dc = com。
记下服务器登录名属性。
输入指定用户登录名的LDAP目录人员对象属性。默认是sAMAccountName。如果您没有使用Active Directory,此设置的常用值是cn或uid。有关LDAP目录设置的详细信息,请参见配置LDAP身份验证
- 写下组属性。输入LDAP目录人员对象属性,该属性指定用户所属的组。默认值是memberOf。此属性使Citrix Gateway能够标识用户所属的目录组。
- 写下子属性名。
RADIUS认证授权
如果您的环境包含RADIUS服务器,则可以使用RADIUS进行身份验证。RADIUS认证包括RSA SecurID、SafeWord、金雅拓Protiva等产品。
- 请填写主用RADIUS服务器的IP地址和端口。默认端口为1812。
- 写主RADIUS服务器秘密(共享秘密)。
- 请填写备用RADIUS服务器的IP地址和端口。默认端口为1812。
- 写备用RADIUS服务器秘密(共享秘密)。
- 请填写密码编码类型(PAP、CHAP、MS-CHAP v1、MSCHAP v2)。
SAML验证
安全断言标记语言(SAML)是一种基于xml的标准,用于在身份提供者(IdP)和服务提供者之间交换身份验证和授权。
- 获取并在Citrix Gateway上安装安全的IdP证书。
- 写下重定向URL。
- 写下用户字段。
- 写下签名证书名称。
- 写下SAML发行者的名称。
- 请写下默认认证组。
通过防火墙开放端口(单跳DMZ)
如果您的组织使用单个DMZ来保护内部网络,并且您在DMZ中部署了Citrix Gateway,请通过防火墙打开以下端口。如果在双跳DMZ部署中安装两个Citrix Gateway设备,请参阅在防火墙上打开适当的端口.
在非安全网络与DMZ之间的防火墙中
- 在Internet和Citrix Gateway之间的防火墙上打开TCP/SSL端口(默认为443)。用户设备通过该端口连接到Citrix Gateway。
在安全网络之间的防火墙中
- 在DMZ和受保护网络之间的防火墙上打开一个或多个适当的端口。Citrix Gateway连接到一个或多个认证服务器,或连接到这些端口上安全网络中运行Citrix虚拟应用程序和桌面的计算机。
写下认证端口。
只打开适合您的Citrix Gateway配置的端口。
- 对于LDAP连接,默认为TCP端口号389。
- 对于RADIUS连接,默认是UDP端口1812。写下Citrix虚拟应用和桌面端口。
- 如果您使用Citrix网关与Citrix虚拟应用程序和桌面,开放TCP端口1494。如果启用会话可靠性,请打开TCP端口2598,而不是1494。思杰建议保持这两个端口的开放。
Citrix虚拟桌面、Citrix虚拟应用、Web界面或StoreFront
如果您正在部署Citrix Gateway以通过Web界面或StoreFront提供访问Citrix虚拟应用程序和桌面的访问,请完成以下任务。该部署不需要使用Citrix Gateway插件。用户仅使用web浏览器和Citrix Receiver就可以通过Citrix Gateway访问发布的应用程序和桌面。
- 请写下运行Web Interface或StoreFront的服务器的FQDN或IP地址。
- 请填写运行STA (Secure Ticket Authority)的服务器的FQDN或IP地址(仅用于Web接口)。
Citrix端点管理
如果在内部网络中部署Citrix Endpoint Management,请完成以下任务。如果用户在外部网络(如Internet)连接Endpoint Management,则在访问移动、web和SaaS应用之前,必须先连接Citrix Gateway。
- 请填写Endpoint Management的FQDN或IP地址。
- 识别用户可以访问的web、SaaS和移动iOS或Android应用程序。
双跳DMZ部署与Citrix虚拟应用程序
如果要在双跳DMZ配置中部署两个Citrix Gateway设备以支持访问运行Citrix Virtual Apps的服务器,请完成以下任务。
第一DMZ中的Citrix网关
第一个DMZ是内部网络最外层的DMZ(最接近Internet或不安全网络)。客户端通过隔离Internet和DMZ的防火墙连接到第一个DMZ中的Citrix网关。在第一个DMZ中安装Citrix Gateway之前收集这些信息。
完成本Citrix网关清单中“Citrix网关基本网络连接”部分的项目。
在完成这些项目时,请注意接口0将这个Citrix网关连接到Internet,而接口1将这个Citrix网关连接到第二个DMZ中的Citrix网关。
在主设备上配置第二个DMZ设备信息。
要将Citrix Gateway配置为双跳DMZ中的第一个跳,必须在第一个DMZ中的设备上的第二个DMZ中指定Citrix Gateway的主机名或IP地址。在指定在第一个跳中在设备上配置Citrix Gateway代理之后,将其全局绑定到Citrix Gateway或虚拟服务器。
记下设备之间的连接协议和端口。
要将Citrix Gateway配置为双DMZ中的第一个跳,必须指定第二个DMZ中的Citrix Gateway在其上侦听连接的连接协议和端口。连接协议和端口是SOCKS和SSL(默认端口443)。协议和端口必须通过分隔第一个DMZ和第二个DMZ的防火墙开放。
第二个DMZ中的Citrix网关
第二个DMZ是最接近您的内部安全网络的DMZ。部署在第二个DMZ区域的Citrix Gateway作为ICA流量的代理,在外部用户设备和内部网络服务器之间穿过第二个DMZ区域。
完成本Citrix网关清单中“Citrix网关基本网络连接”部分的任务。
在完成这些项目时,请注意接口0将这个Citrix网关连接到第一个DMZ中的Citrix网关。接口1连接该Citrix网关到安全网络。