无状态的RDP代理
无状态RDP代理访问RDP主机。当用户在单独的Citrix网关验证器上进行身份验证时,访问将通过Citrix网关上的RDPListener授予。Citrix Gateway的RDPListener所需要的信息被安全地存储在STA服务器上。
此处描述了为该功能创建的流程和新旋钮。
先决条件
在Citrix网关验证器上验证用户身份。
初始/rdpproxy URL和RDP客户端连接到不同的RDPListener Citrix网关。
身份验证器网关使用STA服务器安全地传递RDPListener网关信息。
配置
添加一个新的rdpServer概要文件。服务器配置文件在RDPListener Gateway上配置。
添加RDP服务器配置文件[profilename]-rdpIP[RDP侦听器的IPV4地址]-rdpPort[用于终止RDP客户端连接的端口]-psk[用于解密RDPTarget/RDPUser信息的密钥,在使用STA时需要]。<--需要复制-->对于无状态RDP代理,STA Server对RDP客户端发送的STA ticket进行验证,获取RDP Target/RDPUser信息。
在vpn虚拟服务器上配置rdpServer配置文件。
add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]警告一旦在VPN vserver上配置了rdpserverprofile,无法修改它。此外,相同的ServerProfile不能在另一个VPN vServer上重用。
这个rdp剖面图命令被重命名为rdpclient概况并且有了新的参数。新增multiMonitorSupport命令。另外,还添加了一个配置自定义参数的选项,RDP客户端配置文件不支持这些参数。删除了clientSSL参数,因为连接始终是安全的。在验证方网关上配置客户端配置文件。
add rdpClient profile -rdpHost [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook ] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )] [-rdpCookieValidity ][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams ] The –rdpHost configuration is used in a single Gateway deployment. - 关联RDP Profile和vpn虚拟服务器。
这可以通过配置Sounsaction + SessionPolicy或通过设置全局VPN参数来完成。
例子
添加VPN SessionAction -rdpclientprofile 添加vpn sessionpolicy ns_true 绑定VPN vserver -policy -priority 或设置vpn parameter -rdpclientprofile 连接计数器
添加了一个新的连接计数器ns_rdp_tot_curr_active_conn,用于记录正在使用的活动连接数。可以将其视为NetScaler shell上nsconmsg命令的一部分。稍后,我们将提供一个新的CLI命令来查看此计数器。
连接流
RDP代理流中涉及两个连接。第一个连接是用户与Citrix网关VIP的SSL VPN连接,以及RDP资源的枚举。
第二个连接是RDP客户端与Citrix Gateway上的RDP侦听器(使用rdpIP和rdpPort配置)的本地连接,以及后续RDP客户端安全地代理服务器报文。
用户连接到Authenticator Gateway VIP并提供他/她的凭证。
成功登录网关后,用户会被重定向到首页/外部portal,其中列出了用户可以访问的远程桌面资源。
一旦用户选择了RDP资源,一个请求就会被Authenticator Gateway VIP接收,其格式为
https://AGVIP/rdpproxy/ip:port/rdptargetproxy表示用户单击的已发布的资源。此请求具有有关用户已选择的RDP服务器的IP和端口的信息。/rdpproxy/请求由Authenticator Gateway处理。因为用户已经通过了身份验证,所以这个请求带有一个有效的Gateway cookie。
在STA服务器上存储RDPTarget和RDPUser信息,并生成STA Ticket。信息存储为XML blob,可以使用配置的预共享密钥对其进行加密。如果是加密的,blob将使用base64编码并存储。Authenticator Gateway将使用在Gateway Vserver上配置的STA服务器之一。
XML blob将采用以下格式
ipaddr \nPort \n<价值name = "用户名" >用户名< /值> \ n <价值name = "密码" > pwd < /值>
在/rdpproxy/request中获得的“rdptargetproxy”作为“fulladdress”放置,STA票证(与STA AuthID一起挂起)作为“loadbalanceinfo”放置在.rdp文件中。
.rdp文件被发送回客户端端点。
本地RDP客户端启动并连接到RDPListener网关。它在最初的x.224包中发送STA票据。
RDPlistener网关验证STA票证并获取RDPTarget和RDPuser信息。使用LoadBalanceInfo中的“authid”检索要使用的STA服务器。
创建Gateway会话用于存储授权/审计策略。如果用户的会话已经存在,则重用它。
RDPListener网关连接到RDPTarget,并使用CREDSSP进行单点登录。
单一网关兼容性
如果使用/rdpproxy/rdptarget/rdptargetproxy URL生成RDP文件,我们将生成STA票证,否则将使用直接引用会话的“loadbalanceinfo”的当前方法。
在单一网关部署的情况下,/rdpproxy URL会到达Authenticator gateway本身。不需要STA服务器。验证器网关安全地编码RDPTarget和AAA会话cookie,并将其作为。rdp文件中的' loadbalanceinfo '发送。当RDP客户端在x.224包中发送这个令牌时,验证者网关解码RDPTarget信息,查找会话并连接到RDPTarget。
升级说明
Earlier configuration doesn’t work with this new release, since the parameters rdpIP and rdpPort, which were earlier configured on vpn vserver has been updated to be part of the rdpServerProfile and ‘rdp Profile’ has been renamed as ‘rdp ClientProfile’ and the old parameter clientSSL has been removed.
创建RDP服务器配置文件
转到Citrix Gateway>政策> RDP。
![局部图像]()
转到服务器配置文件选项卡并单击添加.
![局部图像]()
输入以下信息以创建RDP服务器配置文件。
![局部图像]()
配置RDP客户端配置文件
转到Citrix网关>策略>RDP
![局部图像]()
转到“客户端配置文件”选项卡并单击添加.
![局部图像]()
输入以下信息以配置RDP服务器配置文件。
![局部图像]()
设置虚拟服务器
转到Citrix网关>虚拟服务器。
![局部图像]()
点击添加创建一个新的RDP服务器。
![局部图像]()
完成此基本设置页面上的数据,然后单击好啊.
![局部图像]()
单击铅笔编辑页面。
![局部图像]()
