统一网关
Citrix ADC与统一网关:一个URL
配备统一网关的Citrix ADC可简化桌面和移动用户通过单一URL访问任何应用程序的安全。在这个URL后面,管理员有一个用于远程访问应用程序的配置、安全性和控制的单点。远程用户可以通过无缝的单点登录到他们需要的所有应用程序,同时登录/注销一次就可以轻松使用,从而获得更好的体验。
为了实现这一点,Citrix ADC与网关,以及Citrix ADC的内容交换能力和广泛的认证基础设施,提供了通过这个单一URL访问组织网站和应用程序。此外,远程用户可以使用iOS或Android移动设备和Linux、PC或Mac系统,在任何地方都可以使用Citrix Gateway客户端插件来统一访问统一网关的URL。
统一网关部署支持单URL访问以下应用:
- 内部网应用程序。
- Clientless应用程序
- 软件即服务应用程序
- 由Citrix ADC提供的预配置应用程序
- Citrix虚拟应用和桌面发布应用
内部网应用程序可能是驻留在安全企业网络中的任何基于web的应用程序。这些是内部资源,如组织的内部网站点、bug跟踪应用程序或wiki。
通常也驻留在安全的企业网络中clientless应用程序统一网关提供单一URL访问Outlook Web access和SharePoint。这些应用程序提供了对Exchange电子邮件和团队资源的访问,而不需要专门的客户机软件(需要对远程用户可用)。
SaaS应用程序,通常也被称为云应用程序,是外部的、基于云的应用程序,组织依赖于ShareFile、Salesforce或NetSuite。提供SAML的SaaS应用程序支持基于SAML的单点登录。
有些组织可能有预先配置的Citrix ADC服务于应用程序部署在Citrix ADC负载均衡配置。通常这也被称为“反向代理”应用程序。当用于部署的虚拟服务器位于同一个Citrix ADC统一网关实例或设备上时,统一网关支持这些应用。这些应用程序可能有独立于统一网关配置的自己的认证配置。
任何发表Citrix虚拟应用和桌面发布应用可以通过统一网关URL访问。SmartAccess和SmartControl策略可以选择性地应用于这些资源的粒度策略和访问控制。
统一网关配置向导
统一网关部署时,建议使用统一网关向导配置Citrix ADC。向导引导您完成配置,创建所有必要的虚拟服务器、策略和表达式,并根据提供的详细信息应用设置。在初始设置之后,可以使用向导来管理部署并监视其操作。
注意:
统一网关配置向导不进行系统初始化配置。在配置统一网关之前,您的Citrix网关设备或VPX实例必须完成基本安装。请参阅安装说明使用首次安装向导配置Citrix网关完成基本配置。
通过向导配置的统一网关要素包括:
- 统一网关主虚拟服务器
- 统一网关虚拟服务器的SSL服务器证书
- 主认证和任何可选的从认证配置
- 门户主题选择和可选定制
- 需要通过统一网关访问的用户应用
对于每一个元素,您都需要提供配置信息。在统一网关基础部署场景下,需要准备以下信息。
- 对于统一网关主用虚拟服务器,需要填写部署时使用的公网IP地址和IP端口号。这是在DNS中解析为统一网关URL主机名的IP地址。例如,统一网关部署的URL为
https://mycompany.com/, IP地址必须解析为mycompany.com。
- 用于部署的签名SSL服务器证书。Citrix Gateway支持PEM和PFX格式的证书。
- 主认证服务器信息。支持的认证系统包括LDAP/Active Directory、RADIUS和基于证书的认证系统。还可能创建辅助LDAP或RADIUS身份验证配置。必须提供身份验证服务器的IP地址以及任何相关的管理员凭据或目录属性。证书认证需要提供设备证书属性和CA证书。
- 可以选择门户主题。如果需要定制的或品牌的门户设计,则可以使用向导将定制图形上传到系统中。
- 对于基于web的用户应用程序,必须指定各个应用程序的url。对于使用SAML单点登录身份验证的web应用程序,该实用程序将收集断言消费者服务URL以及其他可选SAML参数。提前为使用SAML身份验证系统的应用程序收集配置细节。
- 对于通过统一网关部署的Citrix Virtual Apps和desktop发布资源,必须指定集成点(StoreFront、Web Interface或Citrix ADC上的Web Interface)。该实用程序需要集成点的完全限定域名、站点路径、单点登录域、安全票证机构(STA)服务器URL以及其他取决于集成点类型的URL。
额外的配置管理
对于统一网关配置实用工具中没有的具体配置,如SSL替代配置或会话策略,您可以在Citrix Gateway配置实用工具中管理所需的配置。您可以在统一网关配置实用程序创建的内容交换或VPN虚拟服务器上修改这些设置。
内容交换虚拟服务器
这是部署的主IP地址和URL后面的Citrix ADC配置实体。SSL服务器证书和参数在这个虚拟服务器上管理。因为这个虚拟服务器是部署的响应网络主机,所以如果需要,可以在这个虚拟服务器上修改ICMP服务器的响应和RHI状态。目录下可以找到内容交换虚拟服务器配置选项卡,交通管理>内容切换>虚拟服务器.
重要的是:
当您将统一网关环境升级到发布13.0 build 58时。在网关或VPN虚拟服务器之前配置的内容交换虚拟服务器中,DTLS旋钮将被禁用。升级完成后,在内容切换虚拟服务器上手动启用DTLS旋钮。如果使用向导进行配置,请不要启用DTLS旋钮。
虚拟服务器
统一网关配置的所有其他VPN参数、配置文件和策略绑定都在这个虚拟服务器上进行管理,包括主认证配置。该实体在配置选项卡,Citrix网关>虚拟服务器.对应的VPN虚拟服务器名称包括统一网关初始配置时“Content Switching”虚拟服务器的名称。
注意:
为统一网关部署创建的VPN虚拟服务器是不可寻址的,IP地址为0.0.0.0。