用于安全私人访问的连接器设备

连接器设备是托管在您的管理程序中的Citrix组件。它作为Citrix Cloud和您的资源位置之间的通信通道，支持云管理，而无需任何复杂的网络或基础设施配置。Connector Appliance使您能够管理和关注为用户提供价值的资源。

所有连接都是使用标准HTTPS端口(443)和TCP协议从Connector Appliance建立到云的。不接受任何传入连接。TCP端口443，允许发送以下fqdn:

• * .nssvc.net
• * .netscalermgmt.net
• * .citrixworkspacesapi.net
• * .citrixnetworkapi.net
• * .citrix.com
• * .servicebus.windows.net
• * .adm.cloud.com

使用连接器设备配置安全私有访问

1. 在您的资源位置安装两个或更多连接器设备。

   有关设置连接器设备的详细信息，请参见用于云服务的连接器设备。

2. 要配置安全专用访问，以使用KCD连接到本地web应用程序，请完成以下步骤配置KCD:

   1. 将连接器设备加入活动目录域。

      加入Active Directory林使您能够在配置安全私有访问时使用Kerberos约束委托(Kerberos Constrained Delegation, KCD)，但它不支持身份请求或身份验证以使用Connector Appliance。

      • 使用Connector Appliance控制台中提供的IP地址连接到浏览器中的Connector Appliance管理网页。

      • 在Active Directory域部分中,点击+添加Active Directory域。

        如果你没有Active Directory域部分，请联系Citrix以申请在预览版中注册。

      • 输入域名域名字段。点击添加。

      • 连接器设备检查域。如果检查成功，则加入Active Directory对话框打开。

      • 输入对该域具有加入权限的Active Directory用户的用户名和密码。

      • 连接器设备建议一个机器名称。您可以选择覆盖建议的名称，并提供您自己的长度不超过15个字符的机器名称。记下机器帐户的名称。

        当连接器设备加入Active Directory域中时，将在该域中创建此计算机名。

      • 点击加入。

   2. 为没有负载平衡器的web服务器配置Kerberos约束委托。

      

      • 识别连接器设备计算机名。您可以从托管的位置获得该名称，也可以直接从连接器UI获得该名称。
      • 在Active Directory控制器上查找连接器设备计算机。
      • 转到Connector Appliance计算机帐户的属性，然后导航到代表团选项卡。

      • 选择信任计算机，仅将其委托给指定的服务。然后选择使用任何身份验证协议。

        

      • 点击添加。
      • 点击用户或计算机。
      • 输入目标web服务器计算机名，然后单击检查名称。在前面的图像中，KCD2K8是web服务器。
      • 点击好的。

      • 选择服务类型http。

        

      • 点击好吧。

      • 点击申请,然后点击好吧。

        

      这就完成了为web服务器添加委托的过程。

   3. 为负载均衡器后面的web服务器配置Kerberos约束委托(KCD)。

      • 将负载均衡器SPN添加到业务帐户中，步骤如下setspn命令。setspn -S HTTP/

        

      • 使用以下命令确认业务帐户的spn。Setspn -l

        

      • 为连接器设备计算机帐户创建委托。

        • 按照以下步骤为web服务器配置Kerberos约束委托没有负载平衡器来识别CA机器并导航到委托UI。
        • 在选择用户及电脑，选择业务帐号(例如“aaa\svc_iis3”)。
        • 在服务中，选择条目ServiceType: HTTP用户或计算机:web服务器(例如，kcd-lb.aaa.local）
        • 点击好吧。
        • 点击申请,然后点击好吧。

   4. 为组管理的服务帐户配置Kerberos约束委托(KCD)。

      • 将SPN添加到组管理的服务帐户(如果尚未完成)。setspn -S HTTP/

      • 使用以下命令确认SPN。Setspn -l

      因为组管理的服务帐户不能显示在用户及电脑在为计算机帐户添加委托条目时进行搜索，无法使用常规方法为计算机帐户添加委托。因此，您可以通过属性编辑器将该SPN作为委托条目添加到CA计算机帐户

      • 在连接器应用程序计算机属性中，导航到属性编辑器Tab键，寻找msDA-AllowedToDeleteTo属性。
      • 编辑msDA-AllowedToDeleteTo属性，然后添加SPN。

      ）

      ）

   5. 从Citrix Gateway Connector迁移到Citrix Connector Appliance。

      • 由于在配置网关连接器时已经为服务帐户设置了spn，因此如果没有配置新的kerberos应用程序，则不需要为服务帐户添加任何spn。您可以通过以下命令查看为服务帐户分配的所有spn列表，并将它们分配为CA计算机帐户的委托项。

      Setspn -l

      

      在本例中，spn (kcd-lb.aaa.local, kcd-lb-app1.aaa.local, kcd-lb-app2.aaa.local, kcd-lb-app3.aaa.local)为KCD配置。

      • 将所需的spn作为委托条目添加到连接器设备计算机帐户。有关详细信息，请参见为连接器设备计算机帐户创建委托。

      

      在本例中，所需的SPN作为CA计算机帐户的委托实体添加。

      注意:在配置网关连接器时，将这些SPN作为委托条目添加到服务帐户。当您不再使用服务帐户委托时，可以从服务帐户中删除这些实体代表团选项卡。

   6. 按照Citrix安全私有访问文档设置Citrix安全私有访问服务。在设置过程中，Citrix Cloud识别您的连接器设备的存在，并使用它们连接到您的资源位置。

   • 开始使用思杰安全私有访问
   • 配置Citrix安全私有访问
   • 用于云服务的连接器设备
   • 互联网连接要求。
   • 支持企业web应用程序

验证Kerberos配置

如果您使用Kerberos进行单点登录，则可以验证Active Directory控制器上的配置是否正确连接器设备管理页面。的Kerberos验证特性使您能够验证Kerberos仅域模式配置或Kerberos约束委托(Kerberos Constrained Delegation, KCD)配置。

1. 去连接器设备管理页面。
   1. 从您的管理程序中的Connector Appliance控制台，将IP地址复制到您的浏览器地址栏。
   2. 输入您在注册Connector Appliance时设置的密码。
2. 从右上角的Admin菜单中选择Kerberos验证。
3. 在Kerberos验证对话框，选择Kerberos验证模式。
4. 指定或选择Active Directory域。
   • 如果要验证仅Kerberos域模式配置，则可以指定任何Active Directory域。
   • 如果要验证Kerberos Constrained Delegation配置，则必须从连接林中的域列表中进行选择。
5. 指定服务FQDN。默认服务名称假定为http。如果指定" computer.example.com "，则认为与http / computer.example.com。
6. 指定用户名。
7. 如果要验证仅限Kerberos域的模式配置，请指定密码对于该用户名。
8. 点击测试Kerberos。

如果Kerberos配置正确，就会看到该消息成功验证Kerberos设置。如果Kerberos配置不正确，您将看到一条错误消息，提供有关验证失败的信息。