与Citrix网关和Citrix ADC集成
与XenMobile集成后,Citrix网关为老妈设备提供了远程设备访问内部网络时使用的身份验证机制。通过该集成,移动生产力应用程序可以通过微VPN连接到内部网中的公司服务器。微VPN是在移动设备上的应用程序与Citrix网关之间创建的。Citrix网关提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
在以下情况下,所有XenMobile服务器设备模式都需要Citrix ADC负载平衡:
- 如果您有多个XenMobile服务器
- 或者,如果XenMobile服务器在您的DMZ中或内部网络中(因此,流量从设备依次传输到Citrix ADC和XenMobile)
XenMobile服务器模式的集成要求
根据XenMobile服务器模式(老妈,MDM和ENT), Citrix网关和Citrix ADC的集成要求有所不同。
老妈
XenMobile服务器处于老妈模式时:
- Citrix网关是必需的。Citrix Gateway 提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
建议使用Citrix ADC进行负载平衡。
Citrix建议采用高可用性配置部署XenMobile,这需要XenMobile前端有负载平衡器。有关详细信息,请参阅关于老妈和旧版老妈模式。
MDM
XenMobile服务器处于MDM模式时:
- Citrix网关不是必需的。对于MDM部署,Citrix建议对移动设备VPN使用Citrix网关。
建议使用Citrix ADC以提高安全性并进行负载平衡。
Citrix建议在XenMobile服务器前端部署Citrix ADC设备,以提高安全性并进行负载平衡。对于XenMobile在DMZ中的标准部署,Citrix建议使用适用于XenMobile的Citrix ADC向导,并采用处于SSL桥接模式的XenMobile服务器负载平衡。还可以考虑对具有以下特点的部署使用SSL卸载:
- XenMobile服务器驻留在内部网络中,而非DMZ中
- 或者您的安全团队要求SSL桥配置
Citrix建议不要通过NAT或现有的第三方代理或负载均衡器将XenMobile服务器公开到互联网。即使SSL流量在XenMobile服务器(SSL桥)上终止,这些配置也会造成潜在的安全风险。
对于高安全性环境,采用默认XenMobile配置的Citrix ADC满足或超过安全要求。
对于具有最高安全性需求的MDM环境,终止于Citrix ADC的SSL允许您检查外围流量的功能,同时维持端到端SSL加密。有关详细信息,请参阅安全要求。Citrix ADC 提供用于定义 SSL/TLS 密码的选项和 SSL FIPS Citrix ADC 硬件。
ENT(老妈+ MDM)
XenMobile服务器处于ENT模式时:
Citrix网关是必需的。Citrix网关提供用于访问所有公司资源的 Micro VPN 路径,并提供加强的多重身份验证支持。
当XenMobile服务器模式为ENT且用户选择退出MDM注册时,设备将以旧版老妈模式运行。在旧版老妈模式下,设备使用Citrix网关FQDN进行注册。有关详细信息,请参阅关于老妈和旧版老妈模式。
建议使用Citrix ADC进行负载平衡。有关详细信息,请参阅本文前面的“MDM”下的 Citrix ADC 点。
重要:
首次注册时,来自用户设备的流量将在服务器上XenMobile进行身份验证,无论您将负载平衡虚拟服务器配置为SSL卸载还是SSL桥接。
设计决策
以下各节概述了规划Citrix网关与XenMobile的集成时要考虑的多个设计决策。
许可和版本
决策详细信息:
- 您打算使用什么版本的Citrix ADC吗?
- 您是否已将平台许可证应用于Citrix ADC吗?
- 如果您需要使用老妈功能,您是否已应用Citrix ADC通用访问许可证吗?
设计指导:
请务必将正确的许可证应用于Citrix网关。如果您使用适用于交换ActiveSync的Citrix网关连接器,则可能需要集成缓存。因此,您必须确保已安装相应的Citrix ADC版。
启用Citrix ADC功能的许可证要求如下所示。
- XenMobile MDM负载平衡至少需要一个Citrix ADC标准平台许可证。
- 采用存储区域控制器协作的内容负载平衡至少需要一个Citrix ADC标准平台许可证。
- XenMobile企业版包含老妈所需的Citrix网关通用许可证。
- 交换负载平衡需要一个Citrix ADC铂平台许可证或Citrix ADC企业平台许可证以及集成缓存许可证。
适用于XenMobile的Citrix ADC版本
决策详细信息:
- XenMobile环境中运行的Citrix ADC是哪个版本吗?
- 您是否需要单独的实例?
设计指导:
Citrix建议Citrix网关虚拟服务器使用专用的Citrix ADC实例。请确保在XenMobile环境中使用满足最低要求的Citrix ADC版本和内部版本。通常情况下,最好在XenMobile中使用最新的兼容Citrix ADC版本和内部版本。如果升级Citrix网关会影响现有环境,可能适合采用第二个专用的XenMobile实例。
如果您计划让XenMobile和使用VPN连接的其他应用程序共用一个Citrix ADC实例,请确保您有足够的VPN许可证用于两者。请谨记,XenMobile测试和生产环境不能共用一个Citrix ADC实例。
证书
决策详细信息:
- XenMobile环境中的注册和访问是否需要更高的安全性?
- 是否无法使用LDAP吗?
设计指导:
XenMobile的默认配置是用户名和密码身份验证。要为XenMobile环境中的注册和访问再增加一个安全层,请考虑使用基于证书的身份验证。您可以组合使用证书与LDAP以实现双重身份验证,从而提高安全性,而无需RSA服务器。
如果禁用了LDAP并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问XenMobile。用户随后使用XenMobile生成的唯一销进行注册。用户获取访问权限后,XenMobile将创建和部署后续用来在XenMobile环境中执行身份验证的证书。
XenMobile支持对第三方证书颁发机构使用证书吊销列表(CRL)。如果您配置了微软CA, XenMobile将使用Citrix ADC管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置Citrix ADC证书吊销列表(CRL)设置启用CRL自动刷新功能(启用CRL自动刷新)。此步骤可确保使用在仅老妈模式下注册的设备的用户无法使用设备上的现有证书进行身份验证。XenMobile将重新颁发新证书,因为吊销一个用户证书后,XenMobile 不限制用户再生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。
网络拓扑
决策详细信息:
- 需要什么Citrix ADC拓扑?
设计指导:
Citrix建议XenMobile使用一个Citrix ADC实例。但是,您可能不希望流量从内部网络传出到DMZ中。在这种情况下,请考虑设置Citrix ADC的额外实例。为内部用户使用一个Citrix ADC实例,外外部用户使用另一个实例。当用户在内部网络与外部网络之间切换时,DNS记录缓存可能会导致安全中心登录提示次数增加。
XenMobile不支持Citrix网关双跃点。
专用或共享的Citrix网关贵宾
决策详细信息:
- 您目前是否为虚拟应用程序和桌面使用Citrix网关?
- 您是否计划让XenMobile使用与虚拟应用程序和桌面相同的Citrix网关?
- 两种通信流的身份验证要求是什么?
设计指导:
如果您的Citrix环境包含XenMobile以及虚拟应用程序和桌面,两者可以使用同一Citrix ADC实例和Citrix网关虚拟服务器。由于可能存在版本控制冲突和环境隔离,建议每个XenMobile环境使用专用的Citrix ADC实例和Citrix网关。但是,如果无法使用专用的Citrix ADC实例,Citrix建议使用专用的Citrix网关虚拟服务器,以便为安全中心分离通信流。该配置替代在XenMobile与虚拟应用程序和桌面之间共享的虚拟服务器。
如果您使用LDAP身份验证,接收机和安全中心可以向同一Citrix网关进行身份验证,不会有任何问题。如果您使用基于证书的身份验证,XenMobile将推送MDX容器中的证书,安全中心将使用该证书向Citrix网关进行身份验证。接收机与安全中心是分开的,无法与安全中心使用同一证书向同一Citrix网关进行身份验证。
您可以考虑以下解决方法,这样,您可以对两个Citrix网关VIP使用同一FQDN。
- 创建两个具有相同IP地址的Citrix网关贵宾。用于安全中心的贵宾使用标准443端口,用于虚拟应用程序和桌面(部署接收机)的VIP使用端口444。
- 因此,一个FQDN解析为相同的IP地址。
- 对于此解决方法,您可能会将店面配置为返回端口444年而不是默认端口443的ICA文件。此解决方法不需要用户输入端口号。
Citrix网关超时
决策详细信息:
- 您要如何配置XenMobile流量的Citrix网关超时?
设计指导:
Citrix网关包括”会话超时”和“强制超时“设置。有关详细信息,请参阅建议的配置。请谨记,后台服务,Citrix ADC以及脱机时访问应用程序的超时值不同。
用于老妈的XenMobile负载平衡器IP地址
决策详细信息:
- 贵宾使用内部IP地址还是外部IP地址吗?
设计指导:
在Citrix网关贵宾可以使用公用IP地址的环境中,以此方式分配XenMobile负载平衡VIP和地址会导致注册失败。
在此情况下,请确保负载平衡VIP使用内部IP以避免注册失败。此虚拟IP地址必须遵循有关专用IP地址的RFC 1918标准。如果您对此虚拟服务器使用非专用IP地址,则在身份验证过程中,Citrix ADC将无法成功联系XenMobile服务器。有关详细信息,请参阅https://support.citrix.com/article/CTX200430。
MDM负载平衡机制
决策详细信息:
- Citrix网关如何对XenMobile服务器进行负载平衡?
设计指导:
如果XenMobile在DMZ中,请使用SSL桥接。当XenMobile在内部网络中时,如果为了满足安全标准而需要SSL卸载,请使用SSL卸载。
- 在SSL桥接模式下通过Citrix ADC VIP对XenMobile服务器进行负载平衡时,网络流量直接传输到连接终止处的XenMobile服务器。SSL桥接模式是易于设置和故障排除的最简单模式。
- 在SSL卸载模式下通过Citrix ADC VIP对XenMobile服务器进行负载平衡时,网络流量直接传输到连接终止处的Citrix ADC。然后,Citrix ADC建立从Citrix ADC到XenMobile服务器的新会话。在设置和故障排除过程中,SSL卸载模式的复杂性将增加。
用于通过SSL卸载进行MDM负载平衡的服务端口
决策详细信息:
- 如果您计划使用SSL卸载模式进行负载平衡,后端服务将使用哪个端口?
设计指导:
对于SSL卸载,按如下所示选择端口80或8443:
- 使用端口80返回到XenMobile服务器,以进行实际卸载。
- 不支持端到端加密(即对流量重新加密)。有关详细信息,请参阅Citrix 支持文章NetScaler和XenMobile Server之间支持的架构(NetScaler和XenMobile服务器之间支持的体系结构)。
注册FQDN
决策详细信息:
- 您打算使用什么作为注册和XenMobile实例/负载平衡VIP的FQDN吗?
设计指导:
对群集中的第一个XenMobile服务器进行初始配置时,您需要提供XenMobile服务器FQDN。该FQDN必须匹配您的MDM VIP URL和内部老妈磅VIP URL。(内部Citrix ADC地址记录解析老妈磅VIP)。有关详细信息,请参阅本文后面的“每种管理模式的注册FQDN”。
此外,您必须使用与以下证书相同的证书:
- XenMobile SSL侦听器证书
- 内部老妈磅贵宾证书
- MDM贵宾证书(如果对MDM VIP使用SSL卸载)
重要:
配置注册FQDN后,无法对其进行更改。新的注册FQDN需要重新构建新SQL Server的数据库和XenMobile服务器。
安全Web流量
决策详细信息:
- 您是否计划限制安全Web仅使用内部网页浏览?
- 您是否计划启用安全Web进行内部网页浏览和外部网页浏览?
设计指导:
如果您计划仅使用安全Web进行内部网页浏览,Citrix网关配置将非常简单。默认情况下,安全Web必须访问所有内部站点。您可能需要配置防火墙和代理服务器。
如果您计划将安全Web用于外部浏览和内部浏览,则必须启用剪断以便具有出站网络访问权限。它通常将注册的设备(使用MDX容器)视为企业网络的扩展。因此,通常希望安全Web连接恢复到Citrix ADC,通过代理服务器,然后转到互联网。默认情况下,安全Web为所有网络访问使用返回到内部网络的每应用程序VPN通道。Citrix ADC使用拆分通道设置。
有关安全Web连接的讨论,请参阅配置用户连接。
安全邮件的推送通知
决策详细信息:
- 您是否计划使用推送通知?
适用于iOS的设计指导:
您的Citrix网关配置可能包括安全票权威(STA),并且关闭了拆分通道。Citrix网关必须允许从 Secure Mail 到(在 Secure Mail for iOS 的“推送通知”中指定的)Citrix 侦听器服务 URL 的流量。
适用于Android的设计指导:
请使用重火力点云消息传递(FCM)控制Android设备需要连接到XenMobile的方式和时间。配置了FCM后,任何安全操作或部署命令都将触发向安全中心推送通知,以提示用户重新连接到XenMobile服务器。
HDX STA
决策详细信息:
- 如果您计划集成HDX应用程序访问,要使用什么STA吗?
设计指导:
HDX STA必须匹配店面中的STA,并且必须对虚拟应用程序和桌面场有效。
Citrix文件和Citrix内容协作
决策详细信息:
- 您是否计划在环境中使用存储区域控制器?
- 您计划使用哪些VIP URL Citrix文件?
设计指导:
如果您将在环境中包含存储区域控制器,请确保正确配置以下对象:
- Citrix文件交换机VIP (Citrix文件控制平面用于与存储区域控制器服务器通信)
- Citrix文件负载平衡贵宾
- 所有必需的策略和配置文件
有关信息,请参阅存储区域控制器文档。
SAML国内流离失所者
决策详细信息:
- 如果Citrix文件需要SAML,您是否要将XenMobile用作SAML国内流离失所者?
设计指导:
推荐的最佳做法是,将Citrix文件与XenMobile高级版或XenMobile Enterprise Edition集成,这样做比配置基于SAML的联合身份验证更简单。将Citrix文件与这些XenMobile版本一起使用时,XenMobile会为Citrix文件提供以下功能:
- 移动生产力应用程序用户的单点登录(SSO)身份验证
- 基于Active Directory的用户帐户预配
- 全面的访问控制策略
通过XenMobile控制台,可以执行Citrix文件配置以及监视服务级别和许可证使用情况。
有两种类型的Citrix文件客户端:适用于XenMobile的Citrix文件客户端(也称为打包的Citrix文件)和Citrix文件移动客户端(也称为未打包的Citrix文件)。要了解差别,请参阅适用于XenMobile的Citrix文件客户端与Citrix文件移动客户端之间的差别。
可以将XenMobile和Citrix内容协作配置为使用SAML提供对以下内容的SSO访问:
- Citrix文件移动应用程序
- 未封装的Citrix文件客户端,例如Web站点,前景的插件或同步客户端
要将XenMobile用作Citrix文件的SAML国内流离失所者,请确保已实施合适的配置。有关详细信息,请参阅SAML SSO与Citrix文件。
ShareConnect直接连接
决策详细信息:
- 用户是否必须从运行使用直接连接的ShareConnect的计算机或移动设备访问主机计算机吗?
设计指导:
借助ShareConnect,用户可以通过iPad, Android平板电脑和安卓手机安全地连接到其计算机,以访问文件和应用程序。对于直接连接,XenMobile使用Citrix网关安全地访问对本地网络外部的资源。有关配置详细信息,请参阅ShareConnect。
每个管理模式的注册FQDN
| 管理模式 | 注册FQDN |
| 采用强制MDM注册的企业(MDM +老妈) | XenMobile服务器FQDN |
| 采用可选MDM注册的企业(MDM +老妈) | XenMobile FQDN或Citrix服务器网关FQDN |
| 仅MDM | XenMobile服务器FQDN |
| 仅MAM(旧版) | Citrix网关FQDN |
| 仅老妈 | XenMobile服务器FQDN |
部署摘要
Citrix建议使用适用于XenMobile的Citrix ADC向导以确保完成正确配置。只能使用该向导一次。如果您有多个XenMobile实例(例如,用于测试,开发和生产环境),必须手动为其他环境配置Citrix ADC。您有工作环境时,请先记下设置,然后再尝试手动为XenMobile配置Citrix ADC。
使用该向导时要做出的主要决定是对与XenMobile服务器的通信使用HTTPS还是HTTP。HTTPS提供安全的后端通信,因为Citrix ADC与XenMobile之间的流量已加密。重新加密会影响XenMobile服务器的性能。HTTP提供了更加出色的 XenMobile Server 性能。Citrix ADC 与 XenMobile 之间的流量不加密。以下各表显示了 Citrix ADC 和 XenMobile Server 的 HTTP 和 HTTPS 端口要求。
HTTPS
Citrix通常建议对Citrix ADC MDM虚拟服务器配置使用SSL桥接。如果对MDM虚拟服务器使用Citrix ADC SSL卸载,XenMobile仅支持后端服务使用端口80。
| 管理模式 | Citrix ADC负载平衡方法 | SSL重新加密 | XenMobile服务器端口 |
| MDM | SSL桥接 | 不适用 | 443、8443 |
| 老妈 | SSL卸载 | 已启用 | 8443 |
| 企业 | MDM: SSL桥接 | 不适用 | 443、8443 |
| 企业 | 老妈:SSL卸载 | 已启用 | 8443 |
HTTP
| 管理模式 | Citrix ADC负载平衡方法 | SSL重新加密 | XenMobile服务器端口 |
| MDM | SSL卸载 | 不支持 | 80 |
| 老妈 | SSL卸载 | 已启用 | 8443 |
| 企业 | MDM: SSL卸载 | 不支持 | 80 |
| 企业 | 老妈:SSL卸载 | 已启用 | 8443 |
有关XenMobile部署中的Citrix网关的示意图,请参阅面向本地部署的参考体系结构。