Citrix Gateway e XenMobile

Quando低地configura o Citrix网关usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o Citrix Gateway.

Você configura o Citrix Gateway para uso com o XenMobile exportando um script do XenMobile executado no Citrix Gateway.

Pré-requisitos para usar o script de configuração do Citrix Gateway

Requisitos do Citrix ADC:

• Citrix ADC (versão mínima 11.0, Compilação 70.12).
• O endereço IP do Citrix ADC deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
• O endereço IP do Citrix ADC Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
• O DNS deve poder resolver domínios públicos.
• O Citrix ADC deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consultehttps://support.citrix.com/article/CTX126049.
• Um certificado SSL do Citrix Gateway é carregado e instalado no Citrix ADC. Para obter informações, consultehttps://support.citrix.com/article/CTX136023.

Requisitos do XenMobile:

• XenMobile Server (versão mínima 10.6).
• O servidor LDAP deve estar configurado.

Configurar a autenticação para o acesso de dispositivos remotos à rede interna

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A páginaConfiguraçõesé exibida.

2. EmServidor, clique emCitrix Gateway. A página doCitrix Gatewayé exibida. No exemplo a seguir, existe uma instância do Citrix Gateway.

   

3. Defina estas configurações:

   • Autenticação:selecione se a autenticação deve ser ativada. O padrão éAtivado.
   • Entregar certificado de usuário para autenticação:selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub, para habilitar o Citrix Gateway para manipular a autenticação de certificado cliente. O padrão éO.
   • Provedor de credenciais:na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulteProvedores de credenciais.

4. Clique emSave.

Adicionar uma instância do Citrix Gateway

Depois de salvar as configurações de autenticação, adicione uma instância do Citrix Gateway ao XenMobile.

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A páginaConfiguraçõesé aberta.

2. EmServidor, clique emCitrix Gateway. A página doCitrix Gatewayé exibida.

3. Clique emAdd. A páginaAdicionar novo Citrix Gatewayé exibida.

   

4. Defina estas configurações:

   • Nome:digite um nome para a instância do Citrix Gateway.
   • Alias:inclua opcionalmente um nome de alias para o Citrix Gateway.
   • URL externa:digite a URL acessível publicamente do Citrix Gateway. Por exemplo,https://receiver.com.
   • Tipo de login:escolha um tipo de login. Os tipos incluemSomente domínio,Somente token de segurança,Domínio e token de segurança,Certificado,Certificado e domínioeCertificado e token de segurança. A configuração padrão para o campoSenha obrigatóriamuda com base noTipo de loginselecionado. O padrão éSomente domínio.

   Se você tiver vários domínios, useCertificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o Citrix Gateway, consulteConfigurar a autenticação para vários domínios.

   Se você usarCertificado e token de segurança, não necessárias configurações adicionais no Citrix Gateway para dar suporte ao Secure Hub. Para obter informações, consulteConfiguração do XenMobile para autenticação de certificado e token de segurança.

   Para obter mais informações, consulteAutenticaçãono Manual de implantação.

   • Senha obrigatória:selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com oTipo de loginescolhido.
   • Definir como padrão:selecione se esse Citrix Gateway deve ser usado como padrão. O padrão éO.
   • Exportar script de configuração:clique no botão para exportar um pacote de configuração carregado no Citrix Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um Citrix Gateway local para uso com o XenMobile Server”, após estas etapas.
   • URL de retorno de chamadaeIP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulteAdicionar uma URL de retorno de chamada e um IP virtual de Citrix Gateway VPN, neste artigo.

5. Clique emSave.

   O novo Citrix Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.

Configurar um Citrix Gateway para uso com o XenMobile Server

Para configurar um Citrix Gateway local para uso com o XenMobile, realize as seguintes etapas gerais, detalhadas neste artigo:

1. Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.

2. Verifique se o seu ambiente atende aos pré-requisitos.

3. Atualize o script do seu ambiente.

4. Execute o script no Citrix ADC.

5. Teste a configuração.

O script configura essas configurações do Citrix Gateway exigidas pelo XenMobile:

• Servidores Citrix Gateway necessários para MDM e MAM
• Políticas de sessão para os servidores virtuais do Citrix Gateway
• Detalhes do XenMobile Server
• Políticas de autenticação e ações para o servidor virtual Citrix Gateway. O script descreve as definições de configuração de LDAP.
• Ações e políticas de tráfego para o servidor proxy
• Perfil de acesso sem cliente
• Registro DNS local estático no Citrix ADC
• Outras associações: política de serviço, certificado de CA

O script não manipula a seguinte configuração:

• Balanceamento de carga do Exchange
• Balanceamento de carga do Citrix Files
• Configuração de proxy ICA
• Descarga de SSL

Para baixar, atualizar e executar o script

1. Se estiver adicionando um Citrix Gateway, clique emExportar script de configuraçãona páginaAdicionar novo Citrix Gateway.

   

   Ou, se você adicionar uma instância do Citrix Gateway e clicar emSalvarantes de exportar o script, retorne à páginaConfigurações > Citrix Gateway, selecione o Citrix ADC, clique emExportar script de configuraçãoe, em seguida, clique emDownload.

   

   Depois de clicar emExportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:

   • Arquivo Leiame com instruções detalhadas
   • Script que contém comandos da CLI do Citrix ADC usados para configurar os componentes necessários no Citrix ADC
   • Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
   • Script que contém os comandos da CLI do Citrix ADC para remover a configuração do Citrix ADC

2. Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.

   

3. Execute o script editado no bash shell do Citrix ADC, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:

   /netscaler/nscli -U :: batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

   

   Quando o script for concluído, as seguintes linhas aparecerão.

   

Testar a configuração

1. Valide que o servidor virtual do Citrix Gateway mostra um estado de向上.

   

2. Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de向上.

   

3. Abra um navegador da Web, conecte-se à URL do Citrix Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado

4. Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.

Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway

Depois de adicionar a instância do Citrix Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do Citrix Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.

1. EmConfigurações > Citrix Gateway, selecione o Citrix Gateway e clique emEditar.

2. Na tabela, clique emAdicionar.

3. ParaURL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do Citrix Gateway.

   Certifique-se de que a URL de retorno de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do Citrix Gateway ou alguma outra URL.

4. Digite o endereçoIP virtual做Citrix Gateway e clique emSalvar.

Configurar a autenticação para vários domínios

Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente Citrix ADC for XenMobile apenas uma vez.)

Configuração do Citrix Gateway

Para configurar políticas de autenticação do Citrix Gateway e uma política de sessão para um ambiente de vários domínios:

1. No utilitário de configuração do Citrix Gateway, na guiaConfiguration, expandaCitrix Gateway > Policies > Authentication.
2. No painel de navegação, clique emLDAP.

3. Clique para editar o perfil LDAP. Mude oServer Logon Name AttributeparauserPrincipalNameou para o atributo que você deseja usar para pesquisas. Anote o atributo especificado para que você o tenha ao definir as configurações de LDAP no console XenMobile.

   

4. Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
5. Na política de sessão associada ao servidor virtual Citrix Gateway, navegue atéEdit session profile > Published Applications. Certifique-se de queSingle Sign-On Domainesteja em branco.

Configuração do XenMobile Server

Para configurar o LDAP para um ambiente XenMobile de vários domínios:

1. No console XenMobile, vá paraConfigurações > LDAPe adicione ou edite um diretório.

   

2. Forneça as informações.

   • EmAlias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo:domain1.com,domain2.com,domain3.com

   • Certifique-se de que o campoPesquisa de usuário porcorresponde aoServer Logon Name Attributeespecificado na política LDAP do Citrix Gateway.

   

Suprimir solicitações de conexão de entrada para URLs específicas

Se o Citrix Gateway em seu ambiente estiver configurado para descarga de SSL, você talvez prefira que o gateway suprima solicitações de conexão de entrada para URLs específicas.

Se preferir manter essa segurança extra, configure os dois servidores virtuais do balanceador de carga MDM (um para a porta 443 e outro para a porta 8443) no Citrix Gateway. Use as seguintes informações como um modelo para suas configurações.

Importante:

As atualizações a seguir são apenas para um Citrix Gateway configurado para descarga de SSL.

1. Crie um conjunto de padrões com o nomeXMS_DropURLs.

   add policy patset XMS_DropURLs 

2. Adicione as seguintes URLs ao novo conjunto de padrões. Personalize a lista conforme necessário.

   bind policy patset XMS_DropURLs /zdm/shp/console -index 6 bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5 bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4 bind policy patset XMS_DropURLs /zdm/log.jsp -index 3 bind policy patset XMS_DropURLs /zdm/login.jsp -index 2 bind policy patset XMS_DropURLs /zdm/console -index 1 

3. 啼哭乌玛politica对位suprimir todo o trafego para essas URLs, a menos que a solicitação de conexão se origine da sub-rede especificada.

   add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT && HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed" 

4. Vincule a nova política aos dois servidores virtuais do balanceador de carga MDM (portas 443 e 8443).

   bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST 

5. Bloquear acesso à URL do MAM pelo navegador

   Acessar a URL do MAM diretamente pelo navegador solicita que os usuários insiram suas credenciais do Active Directory. Embora atue como uma ferramenta para os usuários validarem suas credenciais, alguns usuários podem tratá-la como uma violação de segurança. A seção a seguir ajuda a restringir o acesso do navegador à URL do MAM (VIP NetScaler Gateway), usando o recurso Responder Policy no NetScaler.

   Crie uma das seguintes políticas de resposta e vincule-a ao seu servidor virtual NetScaler Gateway:

   • add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

   • add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

   • add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

   Vincular-se ao servidor virtual NetScaler Gateway usandobind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST

   Nota:

   _XM_XenMobileGatewayé um exemplo de nome de um servidor virtual NetScaler Gateway.