Citrix Gateway和Endpoint Management

与端点管理集成后,Citrix网关可提供对您的内部网络和资源的远程设备访问。Endpoint Management在设备上的应用程序与Citrix Gateway之间创建一个Micro VPN。

可以使用Citrix Gateway服务(预览版)或本地Citrix Gateway(又称为NetScaler Gateway)。有关两种Citrix Gateway解决方案的概述，请参阅将Citrix网关与端点管理结合使用。

配置身份验证以便远程设备能够访问内部网络

1. 在端点管理控制台中，单击控制台右上角的齿轮图标。此时将显示设置页面。

2. 在服务器下方，单击Citrix网关。此时将显示Citrix网关页面。在以下示例中，存在一个 Citrix Gateway 实例。

   

3. 配置以下设置：

   • 身份验证：选择是否启用身份验证。默认值为开。
   • 向用户提供用于身份验证的证书：选择是否希望端点管理与安全集线器共享身份验证证书。共享证书使Citrix Gateway能够处理客户端证书身份验证。默认值为关。
   • 凭据提供程序：在列表中，单击要使用的凭据提供程序。有关更多信息，请参阅凭证提供程序。

4. 单击保存。

添加Citrix Gateway服务实例(预览版)

保存身份验证设置后,请向端点管理中添加一个Citrix网关实例。

1. 在端点管理控制台中，单击右上角的齿轮图标。此时将打开设置页面。

2. 在设置页面上，滚动到Citrix Gateway磁贴，然后单击开始安装程序。此时将显示Citrix网关页面。

3. 选择Citrix Gateway服务(云)(Citrix Gateway服务(云))并指定网关服务的资源位置。

   

   • 网关服务的资源位置(网关服务的资源位置):如果您使用的是安全邮件，此选项为必填项。指定sta服务的资源位置。资源位置必须包括已配置的Citrix Gateway。如果稍后要删除为网关服务配置的资源位置，请更新此设置。

   完成这些设置后，单击连接以建立连接。新Citrix Gateway已添加。Citrix Gateway服务(云)(Citrix Gateway服务(云))磁贴将显示在设置页面上。要编辑实例，请单击查看更多。如果网关连接器在所选资源位置中不可用，请单击添加网关连接器（添加网关连接器）。按照屏幕上的指导安装网关连接器。也可以稍后添加网关连接器。

4. 单击保存并导出脚本（保存并导出脚本）。

   • 保存并导出脚本（保存并导出脚本）。单击按钮保存您的设置并导出配置捆绑包。可以将脚本从捆绑包上载到 Citrix Gateway，以便使用 Endpoint Management 设置对其进行配置。有关信息，请参阅这些步骤后面的“配置本地 Citrix Gateway 以与 Endpoint Management 配合使用”。

   您已添加新Citrix Gateway。Citrix网关磁贴将显示在设置页面上。要编辑实例，请单击查看更多。

将本地Citrix Gateway配置为与Endpoint Management结合使用

要配置本地Citrix网关以与端点管理配合使用,请执行下面各部分中详细介绍的以下常规步骤:

1. 确认您的环境是否满足必备条件。

2. 从终端管理控制台导出脚本捆绑包。

3. 从捆绑包中提取文件。如果您仅在Citrix网关上使用经典策略,并且运行的是Citrix ADC 13.0或更早版本,请在文件名中使用带“经典”的脚本。如果您正在使用任何高级策略或者运行Citrix ADC 13.1或更高版本,请在文件名中使用带“高级”的脚本。

4. 在Citrix Gateway上运行相应的脚本。请参阅脚本附带的自述文件了解最新的详细说明。

5. 测试配置。

这些脚本配置端点管理所需的以下Citrix网关设置:

• MDM和MAM需要的Citrix Gateway虚拟服务器
• Citrix Gateway虚拟服务器的会话策略
• 端点管理服务器详细信息
• 用于证书验证的代理负载平衡器
• Citrix Gateway虚拟服务器的身份验证策略和操作。这些脚本描述了ldap配置设置。
• 代理服务器的流量操作和策略
• 无客户端访问配置文件
• Citrix Gateway上的静态本地DNS记录
• 其他绑定:服务策略，ca证书

这些脚本不处理以下配置：

• 交换负载平衡
• Citrix Files负载平衡
• Ica代理配置
• SSL卸载

使用Citrix Gateway配置脚本的必备条件

终端管理要求:

• 请先完成端点管理中的LDAP和Citrix网关配置,然后再导出脚本捆绑包。如果更改设置，请再次导出脚本捆绑包。

Citrix Gateway要求:

• 在Citrix网关上使用基于证书的身份验证时,必须在Citrix ADC设备上创建SSL证书。请参阅在Citrix ADC设备上创建和使用SSL证书。
• Citrix Gateway(最低版本11.0，内部版本号70.12)。
• Citrix网关IP地址已配置并且连接到LDAP服务器(平衡了LDAP的负载时除外)。
• Citrix网关子网(剪)IP地址已配置,连接到必需的后端服务器,并且能够通过端口8443 / TCP访问公用网络。
• DNS可以解析公共域。
• Citrix Gateway已通过平台/通用许可证或试用版许可证获得许可。有关信息，请参阅https://support.citrix.com/article/CTX126049。

从终端管理中导出脚本包

保存身份验证设置后,请向端点管理中添加一个Citrix网关实例。

1. 在端点管理控制台中，单击右上角的齿轮图标。此时将打开设置页面。

2. 在设置页面上，滚动到Citrix Gateway磁贴，然后单击开始安装程序。此时将显示Citrix网关页面。

3. 选择Citrix Gateway(本地)并配置以下设置：

   

   • 名称：键入Citrix Gateway实例的名称。
   • 外部网址:键入Citrix Gateway的可公开访问的URL。例如，https://receiver.com。
   • 登录类型：选择登录类型。类型包括域、仅限安全令牌、域和安全令牌、证书、证书和域以及证书和安全令牌。默认值为域。

   如果您有多个域，请使用证书和域。有关详细信息，请参阅为多个域配置身份验证。

   Citrix Gateway上的基于证书的身份验证需要额外的配置。例如，必须将根CA证书上载到您的Citrix ADC设备。请参阅在Citrix ADC设备上创建和使用SSL证书。

   有关详细信息，请参阅部署手册中的身份验证。

4. 单击保存并导出脚本（保存并导出脚本）。

   • 保存并导出脚本（保存并导出脚本）。单击按钮保存您的设置并导出配置捆绑包。可以将脚本从捆绑包上载到 Citrix Gateway，以便使用 Endpoint Management 设置对其进行配置。有关信息，请参阅这些步骤后面的“配置本地 Citrix Gateway 以与 Endpoint Management 配合使用”。

   您已添加新Citrix Gateway。Citrix网关磁贴将显示在设置页面上。要编辑实例，请单击查看更多。

在您的环境中安装脚本

脚本包中包括以下内容。

• 包含详细说明的readme文件
• 包含用于在NetScaler中配置所需组件的NetScaler CLI命令的脚本
• 公用根ca证书和中间ca证书
• 包含用于删除NetScaler配置的NetScaler CLI命令的脚本

1. 将证书文件(在脚本包中提供)上载并安装在Citrix ADC设备上的/ nsconfig / ssl /目录中。请参阅在Citrix ADC设备上创建和使用SSL证书。

   

   以下示例显示了如何安装根证书。

   

   

   

   

   请务必同时安装根证书和中间证书。

2. 编辑脚本(ConfigureCitrixGatewayScript_Classic.txt或ConfigureCitrixGatewayScript_Advanced.txt)，以便用环境中的详细信息替换所有占位符。

   

3. 按照脚本包附带的自述文件所述，在NetScaler bash shell中运行编辑后的脚本。例如：

   /netscaler/nscli -U:< netscaler Management Username>:< netscaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

   

   脚本完成后，将显示以下行。

   

测试配置

要验证配置，请执行以下操作：

1. 验证Citrix Gateway虚拟服务器显示的状态是否为运行。

   

2. 验证代理负载平衡虚拟服务器显示的状态是否为运行。

   

3. 打开Web浏览器，连接到Citrix网关URL，并尝试进行身份验证。如果身份验证成功，您将被重定向到" http状态404 -未找到"消息。

4. 注册设备，并确保其获取MDM和mam注册。

为多个域配置身份验证

如果您有多个端点管理实例(例如,用于测试,开发和生产环境),请手动为其他环境配置Citrix网关。(只能运行一次NetScaler for XenMobile向导.)

Citrix Gateway配置

要为多域环境配置Citrix Gateway身份验证策略和会话策略，请执行以下操作:

1. 在Citrix Gateway配置实用程序中的配置选项卡上，展开Citrix Gateway >策略>身份验证。
2. 在导航窗格中，单击LDAP。

3. 单击后即可编辑ldap配置文件。将服务器登录名称属性更改为userPrincipalName或您想要用于执行搜索操作的属性。记下您指定的属性。在Endpoint Management 控制台中配置 LDAP 设置时，请提供该属性。

   

4. 针对每个ldap策略重复以上步骤。每个域均需要一个单独的ldap策略。
5. 在绑定到Citrix Gateway虚拟服务器的会话策略中，导航到编辑会话配置文件 > 已发布的应用程序。请确保单点登录域为空。

终端管理配置

要为多域环境配置端点管理LDAP，请执行以下操作:

1. 在端点管理控制台中，转至设置> ldap并添加或编辑一个目录。

   

2. 提供相关信息。

   • 在域别名中,指定要用于执行用户身份验证的每个域。用逗号分隔这些域,并且在域之间不要使用空格。例如:domain1.com, domain2.com, domain3.com

   • 请确保用户搜索依据字段与在Citrix Gateway LDAP策略中指定的服务器登录名称属性保持一致。

   

删除对特定url的入站连接请求

如果您的环境中的Citrix网关是为SSL卸载配置的,您可能希望网关删除对特定URL的入站连接请求。如果您更喜欢这种额外的安全性,请联系Citrix云操作部门,并请求他们允许将您的IP添加到您的本地数据中心白。