在Windows登录之前配置始终在VPN上
Windows登录前始终在VPN上提供以下功能。
- 管理员为首次使用的用户提供一次性密码,远程使用哪个用户连接到域控制器以更改密码。
- 管理员甚至在用户登录之前就对设备进行远程管理/强制执行AD策略。
- 管理员在用户登录后根据用户组为用户提供了细粒度的控制级别。例如,使用用户级隧道,可以限制或向特定用户组提供对资源的访问。
- 根据用户要求,可以为MFA配置用户隧道。
- 多个用户可以使用同一台机器。根据用户配置文件提供对选择性资源的访问。例如,多个用户可以毫不费力地使用kiosk中的一台机器。
- 远程工作的用户连接到域控制器以更改其密码。
了解Windows登录前始终在VPN上
以下是Windows登录功能之前总是在VPN上的事件流程。
- 用户打开笔记本电脑,使用设备证书作为标识,为Citrix Gateway建立机器级隧道。
- 用户使用广告凭据登录笔记本电脑。
- 登录后,用户受到MFA的挑战。
- 身份验证成功后,机器级隧道将被用户级隧道替换。
- 一旦用户注销,用户级隧道将替换为机器级隧道。
通过高级策略配置Windows登录前始终在线VPN
先决条件
- Citrix Gateway和VPN插件必须是版本13.0.41.20及更高版本。
- 该解决方案需要Citrix ADC高级版及更高版本。
- 只能通过高级策略配置功能。
该配置涉及以下高级步骤:
- 创建身份验证配置文件
- 创建身份验证虚拟服务器
- 创建身份验证策略
- 将策略绑定到身份验证配置文件
重要:
如果Citrix Gateway设备上的VPN虚拟服务器配置在非标准端口(非443)上,则机器级隧道不能正常工作。
使用GUI配置功能
基于客户端证书的身份验证
- 在这一点配置选项卡,导航到Citrix网关>虚拟服务器.
- 在Citrix网关虚拟服务器页面上,选择现有虚拟服务器并单击编辑.
- 在VPN虚拟服务器页面上,单击编辑图标。
点击添加旁边的设备证书CA部分并单击好啊.
![为设备证书添加ca]()
笔记:不要选择使设备证书复选框。
当需要将CA证书绑定到虚拟服务器时,单击CA证书在下面证书部分。点击添加绑定在SSL虚拟服务器CA证书绑定页面。
笔记:
- 设备证书的主题通用名称(CN)字段不得为空。如果设备尝试使用空CN设备证书登录,则将其VPN会话使用用户名作为“匿名”创建。在IIP中,如果多个会话具有相同的用户名,则会断开先前的会话。因此,当启用IIP时,您会注意到由于空名称为空名称。
- 所有可能对颁发给客户端的设备证书进行签名的CA证书(根证书和中间证书)都必须绑定在设备证书CA以及CA证书绑定有关将CA证书与中级/下属链接的更多信息,请参阅第4步和5。安装,链接和更新证书.
点击单击以选中选择所需的证书。
![为设备证书添加ca]()
选择所需的CA证书。
![为设备证书添加ca]()
点击捆绑.
- 在“VPN虚拟服务器”页面的“身份验证配置文件”部分下,单击添加.
- 在“创建身份验证配置文件”页面上,提供身份验证配置文件的名称,然后单击添加.
![创建身份验证配置文件]()
- 在“身份验证虚拟服务器”页面上,提供身份验证虚拟服务器的名称,选择IP地址类型为无法寻址,并点击好啊.
![选择不可寻址的IP类型]()
- 在“高级认证策略”中,单击“认证策略”中的。
- 在“策略绑定”页面单击添加旁边选择策略.
- 在“创建认证策略”页面;
- 输入提前身份验证策略的名称。
- 选择环境保护署从动作类型列表
- 点击添加旁边行动.
![选择EPA操作类型]()
- 在创建认证EPA操作页面上;
- 输入要创建的EPA操作的名称。
- 输入sys.client_expr(“device-cert_0_0”)在表示场地。
- 点击创造.
![创建表达式]()
- 在“创建认证策略”页面;
- 输入身份验证策略的名称。
- 输入is_aoservice在表示场地。
- 点击创造.
![创建expression2]()
在策略绑定页面上,输入100在优先事项并点击捆绑.
![结合政策]()
笔记:
机器级通道配置现已完成。如果不希望在Windows登录后使用用户级隧道,可以跳过步骤18–25,继续进行客户端配置。
要在Windows登录后将计算机级隧道替换为用户级隧道,请继续执行以下配置。
改变后藤表达式到下一个而不是结束步骤17中的策略绑定。
![结合政策]()
- 在“身份验证虚拟服务器”页面上,在身份验证策略内单击。
- 在“身份验证策略”页面上,单击“添加绑定选项卡。
- 在“策略绑定”页面上,单击添加旁边选择策略.
![绑定policy2.]()
- 在“创建认证策略”页面;
- 输入要创建的“无身份验证”策略的名称。
- 选择操作类型作为没有.
- 输入is_aoservice.not.在表示场地。
- 点击创造.
笔记:
表达式is_aoservice.not.来自Citrix Gateway版本13.0 Build 41.20及更高版本。
- 在策略绑定页面上,输入110.在优先事项.点击添加旁边选择下一个因素.
- 在“身份验证策略标签”页面上,输入策略标签的描述性名称,选择登录架构,然后单击继续.
- 在选择策略,点击添加并创建LDAP身份验证策略。
- 点击创建,然后点击绑定。
- 点击完成了,然后点击捆绑.
在“身份验证策略”页面中下一个因素列显示配置的下一个因子策略。
笔记:
有关创建LDAP身份验证策略的详细信息,请参阅使用配置实用程序配置LDAP身份验证.
客户端配置
AlwaysOn, locationDetection和suffixList注册表是可选的,只有需要位置检测功能时才需要。
要访问注册表项,请导航到以下路径:计算机> HKEY_LOCAL_MACHINE>软件> Citrix>安全访问客户端
| 注册表项 | 注册表类型 | 价值观和描述 |
|---|---|---|
| 随时服务 | REG_DWORD | 1=>建立机器级隧道,但不建立用户级隧道;2=>建立机器级隧道和用户级隧道 |
| AlwaysOnURL | reg sz. | 用户想要连接的Citrix Gateway虚拟服务器的URL。例子:https://xyz.companydomain.com.重要:只有一个URL负责机器级隧道和用户级隧道。AluStOnURL注册表可帮助服务和用户级组件工作和连接一个单独的隧道,即基于设计的机器级隧道和用户级隧道 |
阿尔韦森 |
REG_DWORD | 1 =>允许VPN访问失败;2=>阻断VPN网络访问失败 |
| 白名单 | 瑞格施 | 半冒号分隔的IP地址或FQDN列表,在机器在严格模式下运行时必须仔细选择。例子:8.8.8.8;linkedin.com |
| UserCertCAList | 瑞格施 | 以逗号或分号分隔的根CA名称列表,即证书的颁发者名称。在“始终在线”服务的上下文中使用,其中客户可以指定要从中选择客户端证书的CA列表。例子:cgwsanity.net; xyz.gov.in |
| locationDetection | REG_DWORD | 1=>启用位置检测;0=>禁用位置检测 |
| suffixlist. | reg sz. | 以逗号分隔的域列表,并负责在启用位置检测的任何给定时间检查机器是否在intranet中。例子:citrite.net, cgwsanity.net |
有关这些注册表项的更多信息,请参阅永远在.
在Windows登录之前配置始终在VPN上
收到了!
失败了!