NetScaler Gateway
Wichtig:
Wir empfehlen, dass Sie NetScaler-Snapshots erstellen oder die NetScaler-Konfiguration speichern, bevor Sie diese Änderungen anwenden.
-
Laden Sie das Skript von https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.htmlherunter.
Um ein neues NetScaler Gateway zu erstellen, verwenden Sie ns_gateway_secure_access.sh.
Um ein vorhandenes NetScaler Gateway zu aktualisieren, verwenden Sie ns_gateway_secure_access_update.sh.
-
Laden Sie diese Skripte auf die NetScaler-Maschine hoch. Sie können die WinSCP-App oder den SCP-Befehl verwenden. Zum Beispiel
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
.Beispiel:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
Hinweis:
- Es wird empfohlen, den NetScaler-Ordner /var/tmp zum Speichern temporärer Daten zu verwenden.
- Stellen Sie sicher, dass die Datei mit LF-Zeilenenden gespeichert wird. FreeBSD unterstützt kein CRLF.
- Wenn der Fehler
-bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory
angezeigt wird, bedeutet dies, dass die Zeilenenden falsch sind. Sie können das Skript mit einem beliebigen Rich-Text-Editor wie beispielsweise Notepad++ konvertieren.
- Stellen Sie per SSH eine Verbindung zu NetScaler her und wechseln Sie zur Shell (geben Sie „Shell“ in die NetScaler-CLI ein).
-
Machen Sie das hochgeladene Skript ausführbar. Verwenden Sie dazu den Befehl chmod.
chmod +x /var/tmp/ns_gateway_secure_access.sh
-
Führen Sie das hochgeladene Skript auf der NetScaler-Shell aus.
-
Geben Sie die erforderlichen Parameter ein. Die Liste der Parameter finden Sie unter Voraussetzungen.
Für das Authentifizierungsprofil und das SSL-Zertifikat müssen Sie die Namen der auf NetScaler vorhandenen Ressourcen angeben.
Es wird eine neue Datei mit mehreren NetScaler-Befehlen (der Standard ist var/tmp/ns_gateway_secure_access) generiert.
Hinweis:
Während der Skriptausführung wird die Kompatibilität der Plug-Ins NetScaler und Secure Private Access überprüft. Wenn NetScaler das Plug-In „Secure Private Access“ unterstützt, aktiviert das Skript die NetScaler-Funktionen zur Unterstützung von Smartaccess-Tags, die Verbesserungen und Umleitungen auf eine neue Deny-Page senden, wenn der Zugriff auf die Ressource eingeschränkt ist. Einzelheiten zu Smarttags finden Sie unter Unterstützung für Smart Access-Tags.
Die in der Datei /nsconfig/rc.netscaler gespeicherten Funktionen des Secure Private Access-Plugins ermöglichen es, sie nach dem Neustart von NetScaler aktiviert zu lassen.
![NetScaler-Konfiguration 2](/en-us/citrix-secure-private-access/media/spaop-configure-netscaler2.png)
-
Wechseln Sie zur NetScaler-CLI und führen Sie die resultierenden NetScaler-Befehle aus der neuen Datei mit dem Batch-Befehl aus. Zum Beispiel;
batch -fileName /var/tmp/ns_gateway_secure_access -outfile
/var/tmp/ns_gateway_secure_access_output
NetScaler führt die Befehle aus der Datei nacheinander aus. Wenn ein Befehl fehlschlägt, wird mit dem nächsten Befehl fortgefahren.
Ein Befehl kann fehlschlagen, wenn eine Ressource vorhanden ist oder einer der in Schritt 6 eingegebenen Parameter falsch ist.
-
Stellen Sie sicher, dass alle Befehle erfolgreich ausgeführt werden.
Hinweis:
Wenn ein Fehler auftritt, führt NetScaler dennoch die verbleibenden Befehle aus und erstellt/aktualisiert/bindet teilweise Ressourcen. Wenn daher aufgrund eines falschen Parameters ein unerwarteter Fehler auftritt, wird empfohlen, die Konfiguration von Anfang an zu wiederholen.
Konfigurieren Sie Secure Private Access auf einem NetScaler Gateway mit vorhandener Konfiguration
Sie können die Skripte auch auf einem vorhandenen NetScaler Gateway verwenden, um Secure Private Access zu unterstützen. Das Skript aktualisiert jedoch Folgendes nicht:
- Vorhandener virtueller NetScaler Gateway-Server
- Vorhandene Sitzungsaktionen und Sitzungsrichtlinien, die an NetScaler Gateway gebunden sind
Stellen Sie sicher, dass Sie jeden Befehl vor der Ausführung überprüfen und Backups der Gateway-Konfiguration erstellen.
Einstellungen auf dem virtuellen NetScaler Gateway-Server
Wenn Sie den vorhandenen virtuellen NetScaler Gateway-Server hinzufügen oder aktualisieren, stellen Sie sicher, dass die folgenden Parameter auf die definierten Werte eingestellt sind.
Einen virtuellen Server hinzufügen:
- TCPProfileName: nstcp_default_XA_XD_profile
- Bereitstellungstyp: ICA_STOREFRONT (nur mit dem Befehl
add vpn vserver
verfügbar) - icaOnly: AUS
Aktualisieren Sie einen virtuellen Server:
- TCPProfileName: nstcp_default_XA_XD_profile
- icaOnly: AUS
Beispiele
So fügen Sie einen virtuellen Server hinzu:
add vpn vserver _SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF
So aktualisieren Sie einen virtuellen Server:
set vpn vserver _SecureAccess_Gateway -icaOnly OFF
Einzelheiten zu den Parametern des virtuellen Servers finden Sie unter vpn-sessionAction.
NetScaler Gateway-Sitzungsaktion
Die Sitzungsaktion ist an einen virtuellen Gateway-Server mit Sitzungsrichtlinien gebunden. Stellen Sie beim Erstellen einer Sitzungsaktion sicher, dass die folgenden Parameter auf die definierten Werte eingestellt sind.
-
transparenteInterception
: AUS -
SSO
: EIN -
ssoCredential
: PRIMÄR -
verwendenMIP
: NS -
useIIP
: AUS -
icaProxy
: AUS -
wihome
:"https://storefront.mydomain.com/Citrix/MyStoreWeb"
– durch die echte Store-URL ersetzen. Der Pfad zum Store/Citrix/MyStoreWeb
ist optional. -
ClientChoices
: AUS -
ntDomain
: mydomain.com – wird für SSO verwendet (optional) -
Standardautorisierungsaktion
: ERLAUBEN -
authorizationGroup
: SecureAccessGroup (Stellen Sie sicher, dass diese Gruppe erstellt wird, sie wird verwendet, um Secure Private Access-spezifische Autorisierungsrichtlinien zu binden) -
clientlessVpnMode
: EIN -
clientlessModeUrlEncoding
: TRANSPARENT -
SecureBrowse
: AKTIVIERT -
Storefronturl
:"https://storefront.mydomain.com"
-
sfGatewayAuthType
: Domäne
Beispiele
So fügen Sie eine Sitzungsaktion hinzu:
add vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.mydomain.com/Citrix/MyStoreWeb" -ClientChoices OFF -ntDomain mydomain.com -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.mydomain.com" -sfGatewayAuthType domain
So aktualisieren Sie eine Sitzungsaktion:
set vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON
For details on session action parameters, see <https://developer-docs.netscaler.com/en-us/adc-command-reference-int/13-1/vpn/vpn-sessionaction>.
So binden Sie das Secure Private Access-Plug-In an den virtuellen VPN-Server.
bind vpn vserver spaonprem -appController "https://spa.example.corp"
Kompatibilität mit den ICA-Apps
Zur Unterstützung des Secure Private Access-Plug-Ins erstelltes oder aktualisiertes NetScaler Gateway kann auch zum Aufzählen und Starten von ICA-Apps verwendet werden. In diesem Fall müssen Sie Secure Ticket Authority (STA) konfigurieren und an das NetScaler Gateway binden. Hinweis: Der STA-Server ist normalerweise Teil der DDC-Bereitstellung von Citrix Virtual Apps and Desktops.
Ausführliche Informationen finden Sie in den folgenden Themen:
- Konfigurieren der Secure Ticket Authority auf NetScaler Gateway
- Häufig gestellte Fragen: Citrix Secure Gateway/ NetScaler Gateway Secure Ticket Authority
Unterstützung für Smart Access-Tags
In den folgenden Versionen sendet NetScaler Gateway die Tags automatisch. Sie müssen die Gateway-Rückrufadresse nicht verwenden, um die Smart Access-Tags abzurufen.
- 13.1-48.47 und höher
- 14.1–4.42 und höher
Smart-Access-Tags werden als Header in der Secure Private Access-Plugin-Anforderung hinzugefügt.
Verwenden Sie den Schalter ns_vpn_enable_spa_onprem
oder ns_vpn_disable_spa_onprem
, um diese Funktion in diesen NetScaler-Versionen zu aktivieren/deaktivieren.
-
Sie können mit dem Befehl (FreeBSD-Shell) umschalten:
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
-
Aktivieren Sie den SecureBrowse-Clientmodus für die HTTP-Callout-Konfiguration, indem Sie den folgenden Befehl ausführen (FreeBSD-Shell).
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
-
Aktivieren Sie die Umleitung auf die Seite „Zugriff eingeschränkt“, wenn der Zugriff verweigert wird.
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
-
Verwenden Sie die auf CDN gehostete Seite „Zugriff eingeschränkt“.
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
-
Zum Deaktivieren führen Sie denselben Befehl erneut aus.
-
Um zu überprüfen, ob der Schalter ein- oder ausgeschaltet ist, führen Sie den Befehl
nsconmsg
aus. -
Informationen zum Konfigurieren von Smart Access-Tags auf NetScaler Gateway finden Sie unter Kontextbezogene Tags konfigurieren.
Einstellungen des Secure Private Access-Plugins auf NetScaler beibehalten
Gehen Sie wie folgt vor, um die Einstellungen des Secure Private Access-Plugins auf NetScaler beizubehalten:
- Erstellen oder aktualisieren Sie die Datei /nsconfig/rc.netscaler.
-
Fügen Sie der Datei die folgenden Befehle hinzu.
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
- Speichern Sie die Datei.
Die Einstellungen des Secure Private Access-Plugins werden beim Neustart von NetScaler automatisch angewendet.
Bekannte Einschränkungen
- Vorhandene NetScaler Gateways können per Skript aktualisiert werden, es kann jedoch eine unendliche Zahl möglicher NetScaler-Konfigurationen geben, die nicht durch ein einzelnes Skript abgedeckt werden können.
- Verwenden Sie keinen ICA-Proxy auf dem NetScaler Gateway. Diese Funktion ist deaktiviert, wenn NetScaler Gateway konfiguriert ist.
- Wenn Sie NetScaler in der Cloud bereitgestellt verwenden, müssen Sie einige Änderungen im Netzwerk vornehmen. Erlauben Sie beispielsweise die Kommunikation zwischen NetScaler und anderen Komponenten auf bestimmten Ports.
- Wenn Sie SSO auf NetScaler Gateway aktivieren, stellen Sie sicher, dass NetScaler über eine private IP-Adresse mit StoreFront kommuniziert. Möglicherweise müssen Sie NetScaler einen neuen StoreFront-DNS-Eintrag mit einer privaten StoreFront-IP-Adresse hinzufügen.
Öffentliches Gateway-Zertifikat hochladen
Wenn das öffentliche Gateway vom Secure Private Access-Computer aus nicht erreichbar ist, müssen Sie ein öffentliches Gateway-Zertifikat in die Secure Private Access-Datenbank hochladen.
Führen Sie die folgenden Schritte aus, um ein öffentliches Gateway-Zertifikat hochzuladen:
- Öffnen Sie PowerShell oder das Eingabeaufforderungsfenster mit Administratorrechten.
- Ändern Sie das Verzeichnis in den Ordner Admin\AdminConfigTool im Installationsordner von Secure Private Access (z. B. cd “C:\Programme\Citrix\Citrix Access Security\Admin\AdminConfigTool”).
-
Führen Sie den folgenden Befehl aus:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>