XenMobile

Citrix Gateway et XenMobile

Lorsque vous configurez Citrix Gateway à l’aide de XenMobile, vous établissez le mécanisme d’authentification utilisé par les appareils distants pour accéder au réseau interne. Cette fonctionnalité permet aux applications sur un appareil mobile d’accéder à des serveurs d’entreprise dans l’intranet. XenMobile crée un micro VPN depuis les applications vers Citrix Gateway sur l’appareil.

Vous configurez Citrix Gateway pour une utilisation avec XenMobile en exportant un script depuis XenMobile que vous exécutez sur Citrix Gateway.

Conditions préalables à l’utilisation du script de configuration de Citrix Gateway

Configuration requise pour Citrix ADC :

  • Citrix ADC (version minimale 11.0, Build 70.12).
  • L’adresse IP Citrix ADC est configurée et peut se connecter au serveur LDAP, à moins d’un équilibrage de charge de LDAP.
  • L’adresse IP de sous-réseau de Citrix ADC (SNIP) est configurée, peut se connecter aux serveurs back-end nécessaires et dispose d’un accès réseau public sur le port 8443/TCP.
  • DNS peut résoudre les domaines publics.
  • Citrix ADC est utilisé sous licence Platform/Universal ou d’évaluation. Pour de plus amples informations, consultezhttps://support.citrix.com/article/CTX126049
  • Un certificat SSL de Citrix Gateway est téléchargé et installé sur Citrix ADC. Pour plus d’informations, veuillez consulter la sectionhttps://support.citrix.com/article/CTX136023

Configuration requise pour XenMobile :

  • XenMobile Server (version minimum 10.6).
  • Serveur LDAP configuré.

Configurer l’authentification pour un accès à distance au réseau interne

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La pageParamètress’affiche.

  2. SousServeur, cliquez surCitrix Gateway.拉页Citrix Gateways’affiche. Dans l’exemple suivant, il existe une instance Citrix Gateway.

    Écran de configuration de Citrix Gateway

  3. Pour configurer ces paramètres :

    • Authentification :sélectionnez cette option pour activer l’authentification. La valeur par défaut estActivé
    • Délivrer un certificat utilisateur pour l’authentification :indiquez si vous voulez que XenMobile partage le certificat d’authentification avec Secure Hub afin que Citrix Gateway gère l’authentification du certificat client. La valeur par défaut estDésactivé
    • Fournisseur d’identités :dans la liste, cliquez sur le fournisseur d’identités. Pour de plus amples informations, consultez la sectionFournisseurs d’identités
  4. Cliquez surEnregistrer

Ajouter une instance Citrix Gateway

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance Citrix Gateway à XenMobile.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La pageParamètress’ouvre.

  2. SousServeur, cliquez surCitrix Gateway.拉页Citrix Gateways’affiche.

  3. Cliquez surAjouter.拉页Ajouter Citrix Gatewayapparaît.

    Écran de configuration de Citrix Gateway

  4. Pour configurer ces paramètres :

    • Nom :entrez un nom pour l’instance Citrix Gateway.
    • Alias :si vous le souhaitez, vous pouvez inclure un alias pour Citrix Gateway.
    • URL externe :entrez l’adresse URL publiquement accessible de Citrix Gateway. Par exemple,https://receiver.com
    • Type d’ouverture de session :choisissez un type d’ouverture de session. Les types disponibles sont les suivants :Domaine uniquement,Jeton de sécurité uniquement,Domaine et jeton de sécurité,Certificat,Certificat et domaineetCertificat et jeton de sécurité.La valeur par défaut pour le champMot de passe requischange selon leType d’ouverture de sessionsélectionné. La valeur par défaut estDomaine uniquement

    Si vous disposez de plusieurs domaines, utilisezCertificat et domaine.Pour plus d’informations sur la configuration de l’authentification multi-domaines avec XenMobile et Citrix Gateway, consultez la sectionConfiguration de l’authentification multi-domaines

    Si vous utilisezCertificat et jeton de sécurité, une configuration supplémentaire est requise sur Citrix Gateway pour la prise en charge de Secure Hub. Pour de plus amples informations, consultez la sectionConfiguration de XenMobile pour l’authentification par certificat et jeton de sécurité

    Pour plus d’informations, consultez la sectionAuthentificationdans le manuel de déploiement.

    • Mot de passe requis :indiquez si vous souhaitez demander l’authentification par mot de passe. La valeur par défaut varie selon leType d’ouverture de sessionchoisi.
    • Définir par défaut :indiquez si cette passerelle Citrix Gateway doit être utilisée par défaut. La valeur par défaut estDésactivé
    • Exporter le script de configuration :cliquez sur le bouton pour exporter un bundle de configuration que vous chargerez sur Citrix Gateway pour le configurer avec les paramètres de XenMobile. Pour plus d’informations, consultez « Configurer une instance Citrix Gateway locale à utiliser avec XenMobile Server » après cette procédure.
    • URL de rappeletAdresse IP virtuelle :enregistrez vos paramètres avant d’ajouter ces champs. Pour plus d’informations, consultez la sectionAjouter une URL de rappel et une adresse IP virtuelle de VPN Citrix Gateway在cet article.
  5. Cliquez surEnregistrer

    La nouvelle passerelle Citrix Gateway est ajoutée et s’affiche dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

Configurer une instance Citrix Gateway à utiliser avec XenMobile Server

Pour configurer une instance Citrix Gateway locale pour une utilisation avec XenMobile, vous devez effectuer les étapes générales suivantes, détaillées dans cet article :

  1. Téléchargez un script et les fichiers associés depuis XenMobile Server. Pour plus d’informations, consultez le fichier Lisez-moi accompagnant le script pour accéder aux instructions détaillées les plus récentes.

  2. Vérifiez que votre environnement répond à la configuration requise.

  3. Mettez à jour le script pour votre environnement.

  4. Exécutez le script sur Citrix ADC.

  5. Testez la configuration.

Le脚本配置莱斯产品Citrix网关suivants requis par XenMobile :

  • Serveurs virtuels Citrix Gateway requis pour le mode MDM et MAM
  • Stratégies de session pour les serveurs virtuels Citrix Gateway
  • Détails XenMobile Server
  • 策略倒s d 'authentification等操作erveur virtuel Citrix Gateway. Le script décrit les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur Citrix ADC
  • Autres liaisons : stratégie de service, certificat d’autorité de certification

Le script ne prend pas en charge la configuration suivante :

  • Équilibrage de charge Exchange
  • Equilibrage de charge Citrix Files
  • 配置代理ICA杜
  • Déchargement SSL

Pour télécharger, mettre à jour et exécuter le script

  1. Si vous ajoutez Citrix Gateway, cliquez surExporter le script de configurationsur la pageAjouter nouveau Citrix Gateway

    Écran de configuration de Citrix Gateway

    Ou, si vous ajoutez une instance Citrix Gateway et cliquez surEnregistreravant d’exporter le script : revenez àParamètres > Citrix Gateway, sélectionnez Citrix ADC, cliquez surExporter le script de configuration, puis cliquez surTélécharger

    Écran de configuration de Citrix Gateway

    Après avoir cliqué surExporter le script de configuration, XenMobile crée un bundle de script tar.gz. Le bundle de script inclut les éléments suivants :

    • Fichier Lisez-moi avec instructions détaillées
    • Script contenant les commandes d’interface de ligne de commande Citrix ADC permettant de configurer les composants requis dans Citrix ADC
    • Certificat d’autorité de certification racine public et certificat d’autorité de certification intermédiaire de XenMobile Server (ces certificats, pour le déchargement SSL, ne sont pas nécessaires pour la version actuelle)
    • Script contenant les commandes d’interface de ligne de commande Citrix ADC permettant de supprimer la configuration de Citrix ADC
  2. Modifiez le script (NSGConfigBundle_CREATESCRIPT.txt) en remplaçant tous les espaces réservés avec les détails de votre environnement.

    Exemple de fichier de script

  3. Exécutez le script modifié dans le shell bash Citrix ADC, comme décrit dans le fichier Lisez-moi accompagnant le bundle de script. Par exemple :

    /netscaler/nscli -U :: batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    shell bash de Citrix ADC

    Lorsque le script prend fin, les lignes suivantes s’affichent.

    shell bash de Citrix ADC

Tester la configuration

  1. Vérifiez que le serveur virtuel Citrix Gateway affiche un étatActif

    Écran de configuration Citrix ADC VPX

  2. Vérifiez que le serveur virtuel d’équilibrage de charge du proxy indique un étatActif

    Écran de configuration Citrix ADC VPX

  3. Ouvrez un navigateur Web, connectez-vous à l’adresse URL de Citrix Gateway et essayez de vous authentifier. Si l’authentification échoue, ce message s’affiche : État HTTP 404 - introuvable

  4. Inscrivez un appareil et assurez-vous qu’il est inscrit auprès de MDM et MAM.

Ajouter une URL de rappel et une adresse IP virtuelle de VPN Citrix Gateway

Après avoir ajouté l’instance Citrix Gateway, vous pouvez ajouter une adresse URL de rappel et spécifier l’adresse IP virtuelle d’une appliance Citrix Gateway. Ces paramètres sont facultatifs, mais peut être configurée pour plus de sécurité, plus particulièrement lorsque XenMobile Server est dans la DMZ.

  1. DansParamètres > Citrix Gateway, sélectionnez l’instance NetScaler Gateway et cliquez surModifier

  2. Dans le tableau, cliquez surAjouter

  3. PourURL de rappel, entrez le nom de domaine complet. L’URL de rappel vérifie que la demande provient de Citrix Gateway.

    Assurez-vous que l’URL de rappel devient une adresse IP qui est accessible à partir de XenMobile Server. L’URL de rappel peut être une URL Citrix Gateway externe ou d’autres URL.

  4. Entrez l’adresse IP virtuelleCitrix Gateway et cliquez surEnregistrer

Configuration de l’authentification multi-domaines

Si vous disposez de plusieurs instances XenMobile Server, telles que les environnements de test, de développement et de production, configurez manuellement Citrix Gateway pour les environnements supplémentaires. (Vous ne pouvez exécuter l’assistant Citrix ADC for XenMobile qu’une seule fois.)

Configuration de Citrix Gateway

Pour configurer les stratégies d’authentification Citrix Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’ongletConfigurationde l’outil de configuration Citrix Gateway, développezCitrix Gateway > Policies > Authentication
  2. Dans le panneau de navigation, cliquez surLDAP
  3. Cliquez pour modifier le profil LDAP. DéfinissezServer Logon Name AttributesuruserPrincipalNameou sur l’attribut que vous souhaitez utiliser pour vos recherches. Prenez note de l’attribut que vous spécifiez pour en disposer lors de la configuration des paramètres LDAP dans la console XenMobile.

    Écran de configuration de Citrix Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel Citrix Gateway, accédez àEdit session profile > Published Applications.Assurez-vous que le champSingle Sign-On Domainest vide.

Configuration de XenMobile Server

Pour configurer LDAP pour un environnement XenMobile multi-domaine :

  1. Dans la console XenMobile, accédez àSettings > LDAPet ajoutez ou modifiez un répertoire.

    Écran de paramètres XenMobile LDAP

  2. Entrez les informations.

    • SousAlias de domaine, spécifiez chaque domaine à utiliser pour l’authentification utilisateur. Séparez les domaines avec une virgule et n’insérez pas d’espaces entre les domaines. Pa exemple :domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champUser search bycorrespond à l’attributServer Logon Name Attributespécifié dans la stratégie LDAP Citrix Gateway.

    Écran de paramètres XenMobile LDAP

Supprimer les demandes de connexion entrante vers des adresses URL spécifiques

Dans votre environnement, si Citrix Gateway est configuré pour le déchargement SSL, vous pouvez souhaiter que la passerelle supprime les demandes de connexion entrante pour des adresses URL spécifiques.

Si vous souhaitez ajouter cette sécurité supplémentaire, configurez les deux serveurs virtuels d’équilibrage de charge MDM (un pour le port 443 et un pour le port 8443) sur Citrix Gateway. Utilisez les informations suivantes comme modèle pour vos paramètres.

Important :

Les mises à jour suivantes concernent uniquement une instance Citrix Gateway configurée pour le déchargement SSL.

  1. Créez une séquence de modèles et nommez-laXMS_DropURLs

    add policy patset XMS_DropURLs 
  2. Ajoutez les adresses URL suivantes à la nouvelle séquence de modèles. Personnalisez cette liste si nécessaire.

    bind policy patset XMS_DropURLs /zdm/shp/console -index 6 bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5 bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4 bind policy patset XMS_DropURLs /zdm/log.jsp -index 3 bind policy patset XMS_DropURLs /zdm/login.jsp -index 2 bind policy patset XMS_DropURLs /zdm/console -index 1 
  3. Créez une stratégie pour supprimer tout le trafic vers ces adresses URL, sauf si la demande de connexion provient du sous-réseau spécifié.

    add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT && HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed" 
  4. Liez la nouvelle stratégie aux deux serveurs virtuels d’équilibrage de charge MDM (ports 443 et 8443).

    bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST 
  5. Bloquer l’accès aux URL MAM via le navigateur

    L’accès à l’URL MAM directement via le navigateur invite les utilisateurs à saisir leurs informations d’identification Active Directory. Bien qu’il agisse comme un outil permettant aux utilisateurs de valider leurs informations d’identification, certains utilisateurs peuvent le percevoir comme une violation de sécurité. La section suivante vous aide à restreindre l’accès du navigateur à l’URL MAM (VIP NetScaler Gateway), à l’aide de la fonctionnalité Responder Policy de NetScaler.

    Créez l’une des stratégies de répondeur suivantes et liez-la à votre serveur virtuel NetScaler Gateway :

    • add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    Liez au serveur virtuel NetScaler Gateway à l’aide debind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST

    Remarque :

    _XM_XenMobileGatewayest un exemple de nom de serveur virtuel NetScaler Gateway.