配置网络访问控制设备检查Citrix Gateway虚拟服务器,用于单因素登录
本节介绍如何配置Citrix Gateway通过Microsoft Intune提供的NAC (network Access Compliance)安全的移动设备(iOS和Android)连接内部网络。当用户试图从iOS或Android VPN客户端连接到Citrix Gateway时,网关首先向Intune服务检查该设备是否是托管设备和兼容设备。
- 已管理:使用Intune公司门户客户端注册设备。
- 兼容:应用Intune MDM服务器推送的所需策略。
只有当设备被管理且兼容时,VPN会话才能建立,用户才能访问内部资源。
注意:
在这种设置中,Citrix Gateway在后端与Intune服务对话。SSL配置文件处理到Citrix Gateway的传入连接。Citrix Gateway后端通信处理后端云服务(Intune)的任何SNI需求。
SNI用于DTLS网关虚拟服务器的支持在Citrix gateway release 13.0 build 64中。x和。
只有当Intune管理门户(现在称为微软端点管理器)提供VPN配置文件时,才支持Intune NAC检查,用于每个应用程序的VPN,甚至设备范围的VPN。终端用户添加的VPN配置文件不支持这些特性。终端用户设备必须通过Intune管理员从Microsoft Endpoint Manager将VPN配置文件部署到其设备上,才能使用NAC检查。
许可
此功能需要Citrix企业版许可证。
系统要求
- Citrix Gateway release 11.1 build 51.21或更高版本
- iOS VPN - 10.6及以上版本
- Android VPN - 2.0.13或更高版本
- 微软
- Azure AD访问(拥有租户和管理员权限)
- Intune租户启用
- 防火墙对子网IP地址到的所有DNS和SSL流量开启防火墙规则
https://login.microsoftonline.com和https://graph.windows.net(端口53和端口443)
先决条件
- 必须将所有现有的身份验证策略从经典策略转换为高级策略。有关如何从经典策略转换为高级策略的信息,请参见https://support.citrix.com/article/CTX131024.
- 在Azure门户上创建一个Citrix Gateway应用程序。有关详细信息,请参见在Azure门户上配置Citrix Gateway应用程序.
- 使用以下应用程序特定信息在您创建的Citrix Gateway应用程序上配置OAuth策略。
- 客户端ID /应用程序ID
- 客户端密钥/应用程序密钥
- Azure承租者ID
参考文献
- 本文档捕获Citrix Gateway安装配置。大多数Citrix SSO客户端(IOS / Android)配置都在Intune Aide上完成。有关NAC的Intune VPN配置的详细信息,请参阅https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control- integrate..
- 配置iOS应用的VPN配置文件请参见https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- 要在Azure门户上设置Citrix Gateway应用程序,请参见在Azure门户上配置Citrix Gateway应用程序.
添加具有nFactor的Citrix Gateway虚拟服务器,用于网关部署
导航Citrix网关>虚拟服务器.
![虚拟服务器页面]()
点击添加.
提供所需的信息基本设置区域并点击好吧.
![设置基本设置]()
选择服务器证书.
![选择服务器证书]()
选择需要的服务器证书,单击绑定.
![绑定服务器证书]()
点击继续.
点击继续.
点击继续.
单击加号图标[+]旁边政策并选择会话从选择政策列表和选择要求从选择类型列表并点击继续.
单击加号图标[+]旁边选择政策.
在这方面创建Citrix Gateway会话策略页,为会话策略提供名称。
点击旁边的加号图标[+]配置文件和创建Citrix Gateway会话配置文件页,为会话配置文件提供一个名称。
在这方面客户体验选项卡,单击旁边的复选框Clientless访问并选择从从列表中。
单击旁边的复选框插件类型并从列表中选择“Windows/Mac OS X”。
点击高级设置并选中旁边的复选框客户选择并将其值设置为在.
在这方面安全选项卡,单击旁边的复选框默认授权行动并选择允许从列表中。
在这方面发布应用程序选项卡,单击旁边的复选框ICA代理并选择从从列表中。
点击创造。
在这方面创建Citrix Gateway会话策略页面,在表达式区域,配置限定表达式。
点击创建.
点击绑定.
选择身份验证配置文件在高级设置.
![选择身份验证配置文件]()
单击加号图标[+]并为身份验证配置文件提供名称。
![身份验证配置文件名称]()
单击加号图标[+]创建认证虚拟服务器。
![添加认证虚拟服务器]()
下指定认证虚拟服务器的名称和IP地址类型基本设置区域并点击好吧.IP地址类型可以为非可寻址也是。
![设置基本设置]()
点击身份验证策略.
![身份验证策略]()
在策略绑定视图下,单击加号[+]创建认证策略。
![创建身份验证策略]()
选择OAUTH作为一个动作类型并单击加号图标[+]为NAC创建OAuth操作。
![选择OAuth动作类型]()
创建OAuth动作使用客户机ID,客户的秘密,承租者ID.
注意:
- 客户机ID,客户秘密,和承租者ID是在Azure门户上配置Citrix Gateway应用程序后生成的。
- 记下客户端ID/应用程序ID、客户端秘密/应用程序秘密和Azure租户ID信息,因为这些信息在以后在Citrix Gateway上创建OAuth操作时是必需的。
确保在设备上配置了合适的DNS名称服务器来解析和访问;-
https://login.microsoftonline.com/,-https://graph.windows.net/, - * .manage.microsoft.com。![Azure门户的ID和秘密]()
创建认证策略OAuth行动.
规则:
http.req.header(“用户代理”).contains(“南汽/ 1.0”)& & ((http.req.header(“用户代理”).contains (iOS) & & http.req.header .contains(“用户代理”)(“NSGiOSplugin”))| | (http.req.header .contains(“用户代理”)(“Android”)& & http.req.header .contains(“用户代理”)(“CitrixVPN”)))< !——NeedCopy >![身份验证策略规则]()
单击加号图标[+]创建nextFactor策略标签。
![创建下一个因素策略标签]()
单击加号图标[+]创建登录架构。
![创建登录模式]()
选择
骗子作为身份验证模式,然后单击创建.![选择身份验证模式]()
选择创建的登录模式后,单击继续.
![单击继续]()
在选择政策,选择用户登录的现有身份验证策略或单击加号图标+创建认证策略。创建认证策略的详细信息请参见配置高级认证策略和配置LDAP身份验证.
![选择或创建认证策略]()
点击绑定.
![点击绑定]()
点击完成.
![点击完成]()
点击绑定.
![点击绑定]()
点击继续.
![点击继续]()
点击完成.
![点击完成]()
点击创建.
![单击Create]()
点击好吧.
![单击“确定”]()
点击完成.
![点击完成]()
绑定身份验证登录模式到身份验证虚拟服务器,以指示VPN插件发送设备ID作为/cgi/登录请求的一部分
导航安全>AAA -应用流量>虚拟服务器.
![虚拟服务器页面]()
选择前面选择的虚拟服务器,单击编辑.
![编辑虚拟服务器]()
点击登录模式下高级设置.
![选择登录模式]()
点击登录模式绑定。
![绑定登录模式]()
点击[>]选择并绑定用于NAC设备检查的登录模式策略中的现有构建。
![绑定登录模式策略]()
选择适合您的身份验证部署的所需登录模式策略并单击选择.
在前面解释的部署中,使用了单因素身份验证(LDAP)和NAC OAuth Action策略lschema_single_factor_deviceid已经被选择。
![选择单因素认证策略]()
点击绑定.
![点击绑定]()
点击完成.
![点击完成]()
故障排除
一般问题
| 问题 | 决议 |
|---|---|
| 当你打开一个应用程序时,会出现“Add Policy Required”消息 | 在Microsoft Graph API中添加策略 |
| 有政策冲突 | 仅允许每个应用单个策略 |
| 您的应用无法连接到内部资源 | 确保打开了正确的防火墙端口、正确的租户ID,等等 |
Citrix网关问题
| 问题 | 决议 |
|---|---|
| 在Azure上配置网关应用所需的权限不可用。 | 检查是否有适当的Intune许可可用。试着使用manage.windowsazure.com门户,以查看是否可以添加权限。如果问题仍然存在,请联系微软支持。 |
Citrix Gateway无法连接login.microsoftonline.comandgraph.windows.net. |
从NS Shell,检查你是否能够到达以下微软网站https://login.microsoftonline.com.然后,检查Citrix网关上是否配置了DNS。另请检查防火墙设置是否正确(如果防火墙请求)。 |
| 配置OAUThaction后,在NS.Log中出现错误。 | 检查Intune许可是否启用,Azure Gateway应用程序是否设置了适当的权限。 |
| SH OAUTHACTION命令不会显示OAUTH状态为完整。 | 检查Azure Gateway App上的DNS设置和配置的权限。 |
| Android或IOS设备未显示双重身份验证提示。 | 检查双因素设备ID logonSchema是否绑定到认证虚拟服务器。 |
Citrix网关OAuth状态和错误条件
| 状态 | 错误条件 |
|---|---|
| AADFORGRAPH | 秘密无效,URL未解析,连接超时 |
| mdminfo. | * manage.microsoft.com是停机还是无法到达 |
| 图 | 图端点无法访问 |
| CERTFETCH | 无法与“令牌端点:https://login.microsoftonline.com因为DNS错误。要验证此配置,请转到Shell提示符并输入cURLhttps://login.microsoftonline.com.此命令必须验证。 |
注意:当OAuth状态成功时,状态显示为COMPLETE。
Intune配置检查
确保选择我同意复选框Citrix SSO>启用网络访问控制(NAC)的基础IOS VPN配置.否则,NAC检查不工作。