配置Citrix Gateway虚拟服务器的网络访问控制设备检查,用于单因素登录
本节介绍如何配置Citrix Gateway通过Microsoft Intune提供的NAC (network Access Compliance)安全的移动设备(iOS和Android)连接内部网络。当用户试图从iOS或Android VPN客户端连接到Citrix Gateway时,网关首先向Intune服务检查该设备是否是托管设备和兼容设备。
- 已管理:使用Intune公司门户客户端注册设备。
- 兼容:应用Intune MDM服务器推送的所需策略。
只有当设备被管理且兼容时,VPN会话才能建立,用户才能访问内部资源。
注意:
在此设置中,Citrix Gateway在后端与Intune Service进行交谈。SSL配置文件处理到Citrix Gateway的传入连接。Citrix网关后端通信处理后端云服务(Intune)的任何SNI要求。
SNI用于DTLS网关虚拟服务器的支持在Citrix gateway release 13.0 build 64中。x和。
只有当Intune管理门户(现在称为微软端点管理器)提供VPN配置文件时,才支持Intune NAC检查,用于每个应用程序的VPN,甚至设备范围的VPN。终端用户添加的VPN配置文件不支持这些特性。终端用户设备必须通过Intune管理员从Microsoft Endpoint Manager将VPN配置文件部署到其设备上,才能使用NAC检查。
许可
此功能需要Citrix企业版许可证。
系统需求
- Citrix Gateway release 11.1 build 51.21或更高版本
- ios vpn - 10.6或更高版本
- Android VPN - 2.0.13或更高版本
- 微软
- Azure AD访问(拥有租户和管理员权限)
- 打开租户
- 防火墙将防火墙规则从子网IP地址的所有DNS和SSL流量启用到
https://login.microsoftonline.com.和https://graph.windows.net.(端口53和端口443)
先决条件
- 必须将所有现有的身份验证策略从Classic转换为高级策略。有关如何从经典策略转换为高级策略的信息,请参阅https://support.citrix.com/article/ctx131024.
- 在Azure Portal上创建Citrix网关应用程序。有关详细信息,请参阅在Azure门户上配置Citrix Gateway应用程序.
- 使用以下应用程序特定信息在您创建的Citrix Gateway应用程序上配置OAuth策略。
- 客户端ID /应用程序ID
- 客户端密钥/应用程序密钥
- Azure承租者ID
参考文献
- 本文档捕获了Citrix Gateway设置配置。大多数Citrix SSO客户端(iOS/Android)配置都是在Intune端完成的。NAC的Intune VPN配置请参见https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
- 配置iOS应用的VPN配置文件请参见https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- 要在Azure Portal上设置Citrix Gateway应用程序,请参阅在Azure门户上配置Citrix Gateway应用程序.
添加具有nFactor的Citrix Gateway虚拟服务器,用于网关部署
导航到Citrix网关>虚拟服务器.
![虚拟服务器页面]()
点击添加.
提供所需的信息基本设置区域和点击好吧.
![设置基本设置]()
选择服务器证书.
![选择服务器证书]()
选择所需的服务器证书并单击捆绑.
![绑定服务器证书]()
点击继续.
点击继续.
点击继续.
点击加号图标[+]旁边政策并选择会话从选择政策列表并选择请求从选择类型列表并点击继续.
点击加号图标[+]旁边选择政策.
在创建Citrix网关会话策略页,为会话策略提供名称。
点击旁边的加号图标[+]轮廓在这方面创建Citrix网关会话配置文件页,为会话配置文件提供一个名称。
在客户体验选项卡,单击旁边的复选框无客户访问权限并选择离开从列表中。
单击旁边的复选框插件类型并从列表中选择“Windows/Mac OS X”。
点击高级设置并选择旁边的复选框客户的选择并将其值设置为在.
在安全选项卡,单击旁边的复选框默认授权操作并选择允许从列表中。
在已发布的应用程序选项卡,单击旁边的复选框ICA代理并选择离开从列表中。
点击创造。
在创建Citrix网关会话策略页面,在表达区域,配置资格表达式。
点击创建.
点击捆绑.
选择身份验证档案在高级设置.
![选择身份验证配置文件]()
点击加号图标[+]并为身份验证概要文件提供名称。
![身份验证配置文件名称]()
点击加号图标[+]创建身份验证虚拟服务器。
![添加认证虚拟服务器]()
下指定认证虚拟服务器的名称和IP地址类型基本设置区域和点击好吧.IP地址类型可以是非可寻址也
![设置基本设置]()
点击身份验证策略.
![身份验证政策]()
在策略绑定视图下,单击加号图标[+]创建认证策略。
![创建身份验证策略]()
选择OAUTH作为一个行动类型然后点击加号图标[+]为NAC创建OAuth操作。
![选择OAuth操作类型]()
创建OAuth动作使用客户ID那客户秘密,租户ID..
注意:
- 客户ID那客户秘密,和租户ID.是在Azure门户上配置Citrix Gateway应用程序后生成的。
- 记下客户端ID/应用程序ID、客户端秘密/应用程序秘密和Azure租户ID信息,因为这些信息在以后在Citrix Gateway上创建OAuth操作时是必需的。
确保在设备上配置了合适的DNS名称服务器来解析和访问;-
https://login.microsoftonline.com/,-https://graph.windows.net/, - * .manage.microsoft.com。![Azure门户的ID和秘密]()
为此创建身份验证策略OAuth诉讼.
规则:
http.req.header(“用户 - 代理”)。包含(“NAC / 1.0”)&&((http.req.header(“用户 - 代理”)。包含(“iOS”)&& http.req.header(“用户 - 代理”)。包含(“nsgiosplugin”))||(http.req.header(“用户 - 代理”)。包含(“android”)&& http.req.header(“用户 - 代理”)。包含(“citrixvpn”)))<! - 需要 - >![身份验证策略规则]()
点击加号图标[+]创建一个nettactor策略标签。
![创建下一个因素策略标签]()
点击加号图标[+]创建登录模式。
![创建登录模式]()
选择
noschema作为身份验证架构,然后单击创建.![选择身份验证模式]()
选择创建的登录模式后,单击继续.
![点击继续]()
在选择政策,选择已存在的用户登录认证策略或单击加号图标+创建认证策略。创建认证策略的详细信息请参见配置高级身份验证策略和配置LDAP身份验证.
![选择或创建认证策略]()
点击捆绑.
![点击绑定]()
点击完成.
![点击完成]()
点击捆绑.
![单击“绑定”]()
点击继续.
![单击继续]()
点击完成.
![点击完成]()
点击创建.
![单击Create]()
点击好吧.
![单击OK]()
点击完成.
![点击完成]()
要将身份验证登录模式绑定到身份验证虚拟服务器以指示VPN插件作为/ CGI /登录请求的一部分发送设备ID
导航到安全>AAA -应用流量>虚拟服务器.
![虚拟服务器页面]()
选择先前选择的虚拟服务器,然后单击编辑.
![编辑虚拟服务器]()
点击登录模式在下面高级设置.
![选择登录架构]()
点击登录模式绑定。
![绑定登录架构]()
点击[>]选择并绑定用于NAC设备检查的登录模式策略中的现有构建。
![绑定登录架构策略]()
选择适合您的身份验证部署的所需登录模式策略并单击选择.
在上一篇解释的部署中,使用单因素身份验证(LDAP)以及NAC OAuth操作策略,因此lschema_single_factor_deviceid已经被选择。
![选择单因素身份验证策略]()
点击捆绑.
![单击“绑定”]()
点击完成.
![点击完成]()
故障排除
一般问题
| 问题 | 决议 |
|---|---|
| 当你打开一个应用程序时,会出现“Add Policy Required”消息 | 在Microsoft Graph API中添加策略 |
| 有政策冲突 | 每个应用程序只允许一个单一的政策 |
| 您的应用程序无法连接到内部资源 | 确保正确的防火墙端口打开,您需要租户ID,等等 |
Citrix网关问题
| 问题 | 决议 |
|---|---|
| 在Azure上为网关应用程序配置所需的权限不可用。 | 检查是否有适当的Intune许可证。尝试使用manage.windowsazure.com门户,以查看是否可以添加权限。如果问题仍然存在,请联系微软支持。 |
Citrix Gateway无法达到login.microsoftonline.comandgraph.windows.net.. |
从NS Shell,检查你是否能够到达以下微软网站https://login.microsoftonline.com..检查“Citrix Gateway”上是否配置了DNS。还要检查防火墙设置是否正确(以防DNS请求被防火墙屏蔽)。 |
| 配置OAuthAction后,在ns.log中出现错误。 | 检查Intune许可是否启用,Azure Gateway应用程序是否设置了适当的权限。 |
| Sh OAuthAction命令没有显示OAuth状态为complete。 | 检查Azure Gateway App上的DNS设置和配置的权限。 |
| Android或iOS设备没有显示双认证提示。 | 检查双因素设备ID logonSchema是否绑定到认证虚拟服务器。 |
Citrix网关OAuth状态和错误条件
| 地位 | 错误条件 |
|---|---|
| AADFORGRAPH | 秘密无效,URL未解析,连接超时 |
| MDMINFO | * manage.microsoft.com.倒下或无法访问 |
| 图形 | 图形端点未到达无法访问 |
| CERTFETCH. | 无法与“令牌端点:https://login.microsoftonline.com.因为DNS错误。要验证此配置,请转到shell提示符并键入curlhttps://login.microsoftonline.com..此命令必须验证。 |
注意:当OAuth状态成功时,状态显示为COMPLETE。
Intune配置检查
确保选择我同意复选框在基础iOS VPN配置Citrix单点登录>开启NAC功能.否则,NAC支票不起作用。