处理Citrix常见单点登录问题

DNS解析问题

• 如果设备进入休眠状态或长时间处于不活动状态，那么VPN恢复可能需要30-60秒左右。在此期间，用户可能会看到一些DNS请求失败。DNS请求在短时间后自动解析。如果DNS查询没有解析，则有可能是高级授权策略在阻断DNS流量。看到https://support.citrix.com/article/CTX232237来解决这个问题。
• 始终从浏览器检查DNS解析。使用网路资讯查询来自终端的命令可能不准确。如果你必须使用网路资讯查询命令，则必须在命令中包含客户端IP地址。例如,网路资讯查询website_name 172.16.255.1。

环境问题

• Gatekeeper被认为是一种杀毒软件。如果有一个扫描检查“任何病毒”(MAC-ANTIVIR_0_0)，即使用户没有安装任何来自其他供应商的病毒，扫描总是通过。

注意:

• 启用客户机安全日志以获取EPA的调试日志。通过配置VPN参数，可以开启客户端安全日志功能clientsecurityLog上。
• 苹果内置的补丁管理软件是“software Update”。它对应于设备上的“App Store”应用。“软件更新”的版本必须是“MAC-PATCH_100011_100076_VERSION_ = = _3.0(备注:软件更新)”
• 始终保持环境保护署图书馆Citrix ADC的最新。最新的图书馆可在//m.giftsix.com/downloads/citrix-gateway/epa-libraries/epa-libraries-for-netscaler-gateway.html

nFactor问题

• Citrix SSO应用程序打开Citrix SSO身份验证窗口用于nFactor身份验证。它类似于浏览器。如果页面上有错误，可以通过在web浏览器上尝试身份验证来交叉验证。
• 如果在启用nFactor时传输登录失败，那么将门户主题更改为“RFWebUI”。
• 如果出现“由于证书链不包含任何必需的证书，无法建立到Citrix Gateway的安全连接”的错误。请与管理员联系"，或"网关不可达"，则要么网关服务器证书已过期，要么服务器证书绑定了SNI。Citrix SSO还不支持SNI。绑定服务器证书而不启用SNI。也可能是MDM VPN配置文件中配置的证书钉住，Citrix Gateway提供的证书与钉住的证书不匹配。
• 当试图连接到网关时，如果Citrix SSO认证窗口打开，但为空，则检查ECC曲线(ALL)是否绑定到默认密码组。ECC曲线(ALL)必须与默认密码组绑定。

网络访问控制(NAC)检查

NAC认证策略仅支持经典认证。它不支持作为nFactor身份验证的一部分。