使用Citrix网关配置无客户端VPN访问
无客户端访问允许用户在不需要安装用户软件(如Citrix Gateway插件或Receiver)的情况下进行访问。用户可以使用web浏览器连接到web应用程序,如Outlook web Access。
您可以使用以下步骤配置无客户端访问:
- 启用全局或使用绑定到用户、组或虚拟服务器的会话策略的无客户端访问。
- 选择地址编码方式。
要仅为特定虚拟服务器启用无客户端访问,请全局禁用无客户端访问,然后创建会话策略以启用它。
如果使用Citrix网关向导配置设备,则可以选择在向导中配置无客户端访问。向导中的设置将全局应用。在Citrix网关向导中,您可以配置以下客户端连接方法:
- Citrix网关插件。用户只允许使用Citrix网关插件登录。
- 使用Citrix网关插件并允许访问方案回退。用户使用Citrix网关插件登录到Citrix网关。如果用户设备未通过端点分析扫描,则允许用户使用无客户端访问登录。发生这种情况时,用户对网络资源的访问受到限制。
- 允许用户使用Web浏览器和无客户端访问登录。用户只能通过无客户端访问方式登录,并接受有限的网络资源访问。
无客户端VPN访问策略是如何工作的
您可以通过创建策略来配置对web应用的无客户端访问。您可以在配置实用程序中配置无客户端访问策略的设置。无客户端访问策略由规则和配置文件组成。您可以使用Citrix Gateway附带的预配置的无客户端访问策略。您还可以创建自己的自定义无客户端访问策略。
Citrix Gateway提供以下预配置策略:
- Outlook Web Access和Outlook Web App
- SharePoint 2007
- 所有其他Web应用程序
注意:
仅使用高级无客户端访问支持OWA 2016和SharePoint 2016。
请记住预配置的无客户端访问策略的以下特征:
- 它们是自动配置的,不能更改。
- 每项政策都在全球一级受到约束。
- 除非全局或通过创建会话策略启用无客户端访问,否则不会强制执行每个策略。
- 即使未启用无客户端访问,也无法删除或修改全局绑定。
对其他web应用程序的支持取决于您在Citrix网关上配置的重写策略。Citrix建议测试您创建的任何自定义策略,以确保成功重写应用程序的所有组件。
如果您允许从Receiver for Android, Receiver for iOS或Citrix Secure Hub连接,您必须启用无客户端访问。对于运行在iOS设备上的Citrix Secure Hub,还必须在会话配置文件中启用Secure Browse。安全浏览和无客户端访问一起工作,允许从iOS设备连接。如果用户没有连接iOS设备,则不需要启用“安全浏览”功能。
快速配置向导为移动设备配置正确的无客户端访问策略和设置。Citrix建议运行快速配置向导,为与StoreFront和Citrix Endpoint Management的连接配置正确的策略。
您可以将自定义无客户端访问策略全局绑定或绑定到虚拟服务器。如果要将无客户端访问策略绑定到虚拟服务器,则需要创建自定义策略,然后进行绑定。要为全局或虚拟服务器的无客户端访问强制实施不同的策略,请更改自定义策略的优先级,使其具有比预配置策略更低的优先级,从而使自定义策略具有更高的优先级。如果没有其他无客户端访问策略绑定到虚拟服务器,则以预配置的全局策略为准。
注意:
您不能更改预配置的无客户端访问策略的优先级。
启用无客户端VPN访问
在全局级别启用无客户端访问时,所有用户都会收到无客户端访问的设置。您可以使用Citrix网关向导、全局策略或会话策略来启用无客户端访问。
在全局设置或会话配置文件中,无客户端访问具有以下设置:
- 在…上. 启用无客户端访问。如果禁用客户端选择,并且未配置或禁用StoreFront,则用户将使用无客户端访问登录。
- 从.默认情况下不启用无客户端访问。使用“Citrix Gateway”插件登录即可实现无客户端访问。如果禁用客户端选择,并且没有配置或禁用StoreFront,则用户使用Citrix Gateway插件登录。如果终端分析在用户登录时失败,用户就会收到具有无客户端访问可用的选择页面。
- 禁用.禁用无客户端访问。当您选择禁用,用户无法使用无客户端访问登录,并且“选择”页面上未显示无客户端访问的图标。
如果不能通过使用Citrix Gateway向导启用无客户端访问,则可以通过使用配置实用程序在全局或会话策略中启用它。
启用全局无客户端访问
- 在配置实用程序中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击全局设置.
- 在详细信息窗格中,在设置,点击更改全局设置.
- 在客户体验选项卡,无客户端访问中,选择,然后单击好啊.
使用会话策略启用无客户端访问
如果您只希望一组选定的用户、组或虚拟服务器使用无客户端访问,请全局禁用或清除无客户端访问。然后通过会话策略启用无客户端访问,并将其与用户、组或虚拟服务器绑定。
- 在配置实用程序的“配置”选项卡上的导航窗格中,展开Citrix Gateway > Policies > Session.
- 在“详细信息”窗格中的“策略”选项卡上,单击添加.
- 在的名字,键入策略的名称。
- 旁边请求配置文件,点击新.
- 在的名字,键入配置文件的名称。
- 在客户体验选项卡,在“无客户访问”旁边单击覆盖全球中,选择,然后单击创造.
- 在创建会话策略对话框,位于命名表达式,选择“常规”,选择“真值”,单击“添加表达式”,单击创建、然后单击关闭.
- 点击创建、然后单击关闭.
创建无客户端访问会话策略后,将其绑定到用户、组或虚拟服务器。
对网址进行编码
启用无客户端访问时,可以选择对内部web应用程序的地址进行编码,或将地址保留为明文。设置如下:
- 模糊的这使用标准编码机制来隐藏资源的域和协议部分。
- 明确的。该网址没有编码,对用户可见。
- 加密。域和协议通过使用会话密钥进行加密。加密web地址时,相同web资源的每个用户会话的URL都不同。如果用户将编码的网址作为书签保存在web浏览器中,然后注销,当用户登录并尝试使用书签再次连接到该网址时,他们将无法连接到该网址。注意:如果用户在会话期间将加密书签保存在Access界面中,则该书签在用户每次登录时都有效。
您可以全局配置此设置,也可以将其作为会话策略的一部分。如果将编码配置为会话策略的一部分,则可以将其绑定到用户、组或虚拟服务器。
全局配置web地址编码
- 在配置实用程序中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击Global Settings。
- 在详细信息窗格的“设置”下,单击“更改全局设置”。
- 在“客户端体验”选项卡上的“无客户端访问URL编码”旁边,选择编码级别,然后单击“确定”。
通过创建会话策略配置web地址编码
- 在配置实用程序的“配置”选项卡上的导航窗格中,展开Citrix网关>策略然后单击“会话”。
- 在详细信息窗格中,在Policies选项卡上,单击Add。
- 在“名称”中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在“名称”中,键入配置文件的名称。
- 在客户体验选项卡上,在无客户访问URL编码旁边,单击Override Global,选择编码级别,然后单击OK。
- 在“创建会话策略”对话框的“命名表达式”旁边,选择“常规”,选择“真值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
创建无客户端访问策略
如果要使用与默认无客户端访问策略相同的设置,但要将该策略绑定到虚拟服务器,则可以复制默认策略,并为该策略提供新名称。您可以使用配置实用程序复制默认策略。
将新策略绑定到虚拟服务器后,可以设置虚拟服务器策略的优先级,使虚拟服务器在用户登录时优先运行。
使用默认设置创建无客户端访问策略
- 在配置实用程序的导航窗格上,展开Citrix网关>策略然后单击无客户端访问。
- 在详细信息窗格的Policies选项卡上,单击默认策略,然后单击Add。
- 在“名称”中,键入策略的新名称,单击“创建”,然后单击“关闭”。
绑定虚拟服务器的无客户端访问策略
创建策略后,将其绑定到虚拟服务器。
- 在配置实用程序中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击Virtual Servers。
- 在详细信息窗格中,选择一个虚拟服务器,然后单击Open。
- 在“配置Citrix网关虚拟服务器”对话框中,选择“策略”页签,然后单击“无客户端”。
- 单击“插入策略”,从列表中选择一个策略,然后单击“确定”。
创建和评估无客户端访问策略表达式
为无客户端访问创建策略时,可以为该策略创建自己的表达式。创建完表达式后,可以计算表达式的精度。
- 在配置实用程序的导航窗格上,展开Citrix网关>策略然后单击无客户端访问。
- 在详细信息窗格的Policies选项卡上,单击默认策略,然后单击Add。
- 在“名称”中,键入策略的名称。
- 在“配置文件”旁边,单击“新建”。
- 在“名称”中,键入配置文件的名称。
- 配置重写设置,然后单击Create。
- 在“创建无客户端访问策略”对话框的“表达式”下,单击“添加”。
- 在“添加表达式”对话框中,创建表达式,然后单击“确定”。
- 在“创建无客户端访问策略”对话框中,单击“评估”,如果表达式测试结果正确,则单击“创建”。