NetScaler Gateway
Die NetScaler Gateway-Konfiguration wird sowohl für Web/SaaS- als auch für TCP/UDP-Anwendungen unterstützt. Sie können ein NetScaler Gateway erstellen oder eine vorhandene NetScaler Gateway-Konfiguration für Secure Private Access aktualisieren. Es wird empfohlen, NetScaler-Snapshots zu erstellen oder die NetScaler-Konfiguration zu speichern, bevor Sie diese Änderungen anwenden.
Einzelheiten zu NetScaler Gateway-Konfigurationen für Web/SaaS- und TCP/UDP-Anwendungen finden Sie in den folgenden Themen:
- NetScaler Gateway-Konfiguration für Web-/SaaS-Anwendungen
- NetScaler Gateway-Konfiguration für TCP/UDP-Anwendungen
Kompatibilität mit den ICA-Apps
NetScaler Gateway, das zur Unterstützung des Secure Private Access-Plug-Ins erstellt oder aktualisiert wurde, kann auch zum Auflisten und Starten von ICA-Apps verwendet werden. In diesem Fall müssen Sie Secure Ticket Authority (STA) konfigurieren und an das NetScaler Gateway binden.
Hinweis:
Der STA-Server ist normalerweise Teil der Citrix Virtual Apps and Desktops-Bereitstellung.
Einzelheiten finden Sie in den folgenden Themen:
- Konfigurieren der Secure Ticket Authority auf NetScaler Gateway
- Häufig gestellte Fragen: Citrix Secure Gateway/NetScaler Gateway Secure Ticket Authority
Unterstützung für Smart Access-Tags
Hinweis:
- Die Informationen in diesem Abschnitt gelten nur, wenn Ihre NetScaler Gateway-Version vor 14.1-25.56 ist.
- Wenn Ihre NetScaler Gateway-Version 14.1—25.56 und höher ist, können Sie das Secure Private Access-Plug-In auf NetScaler Gateway mithilfe der CLI oder GUI aktivieren. Einzelheiten finden Sie unter Aktivieren des Secure Private Access-Plug-Ins auf NetScaler Gateway.
In den folgenden Versionen sendet NetScaler Gateway die Tags automatisch. Sie müssen die Gateway-Callback-Adresse nicht verwenden, um die Smart Access-Tags abzurufen.
- 13.1—48.47 und später
- 14.1—4.42 und höher
Smart Access-Tags werden als Header in der Secure Private Access-Plug-In-Anfrage hinzugefügt.
Verwenden Sie den Schalter ns_vpn_enable_spa_onprem oder ns_vpn_disable_spa_onprem, um diese Funktion in diesen NetScaler-Versionen zu aktivieren/deaktivieren.
-
Sie können mit dem Befehl umschalten (FreeBSD-Shell):
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem -
Aktivieren Sie den SecureBrowse-Client-Modus für die HTTP-Callout-Konfiguration, indem Sie den folgenden Befehl ausführen (FreeBSD-Shell).
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode -
Aktivieren Sie die Umleitung zur Seite “Zugriff eingeschränkt”, wenn der Zugriff verweigert wird.
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny -
Verwenden Sie die auf CDN gehostete Seite “Zugriffsbeschränkt”.
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page -
Führen Sie zum Deaktivieren denselben Befehl erneut aus.
-
Um zu überprüfen, ob der Schalter ein- oder ausgeschaltet ist, führen Sie den Befehl
nsconmsgaus. -
Informationen zum Konfigurieren von Smart Access-Tags auf NetScaler Gateway finden Sie unter Kontextbezogene Tags konfigurieren.
Einstellungen des Secure Private Access-Plug-Ins auf NetScaler dauerhaft machen
Gehen Sie wie folgt vor, um die Secure Private Access-Plug-In-Einstellungen auf NetScaler beizubehalten:
- Erstellen oder aktualisieren Sie die Datei /nsconfig/rc.netscaler.
-
Fügen Sie der Datei die folgenden Befehle hinzu.
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onpremnsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_modensapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_denynsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page - Speichern Sie die Datei.
Die Einstellungen des Secure Private Access-Plug-Ins werden automatisch angewendet, wenn NetScaler neu gestartet wird.
Secure Private Access-Plug-In auf NetScaler Gateway aktivieren
Ab NetScaler Gateway 14.1—25.56 und höher können Sie das Secure Private Access Plug-In auf NetScaler Gateway mithilfe der NetScaler Gateway-CLI oder der GUI aktivieren. Diese Konfiguration ersetzt den Drehregler nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem, der in Versionen vor 2407 verwendet wurde.
CLI:
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:
set vpn parameter -securePrivateAccess ENABLED
GUI:
- Navigieren Sie zu NetScaler Gateway > Globale Einstellungen > Globale NetScaler Gateway-Einstellungen ändern.
- Klicken Sie auf die Registerkarte Sicherheit.
- Wählen Sie unter Secure Private Access die Option AKTIVIERT aus.
Öffentliches Gateway-Zertifikat hochladen
Wenn das öffentliche Gateway vom Secure Private Access-Computer aus nicht erreichbar ist, müssen Sie ein öffentliches Gateway-Zertifikat in die Secure Private Access-Datenbank hochladen.
Gehen Sie wie folgt vor, um ein Public-Gateway-Zertifikat hochzuladen:
- Öffnen Sie PowerShell oder das Eingabeaufforderungsfenster mit den Administratorrechten.
- Ändern Sie das Verzeichnis in den Ordner Admin\AdminConfigTool im Secure Private Access-Installationsordner (z. B. cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
-
Führen Sie den folgenden Befehl aus:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
Bekannte Einschränkungen
- Bestehendes NetScaler Gateway kann mit einem Skript aktualisiert werden, es kann jedoch eine unendliche Anzahl möglicher NetScaler-Konfigurationen geben, die nicht durch ein einziges Skript abgedeckt werden können.
- Verwenden Sie keinen ICA-Proxy auf NetScaler Gateway. Diese Funktion ist deaktiviert, wenn NetScaler Gateway konfiguriert ist.
- Wenn Sie NetScaler verwenden, das in der Cloud bereitgestellt wird, müssen Sie Änderungen im Netzwerk vornehmen. Erlauben Sie beispielsweise die Kommunikation zwischen NetScaler und anderen Komponenten an bestimmten Ports.
- Wenn Sie SSO auf NetScaler Gateway aktivieren, stellen Sie sicher, dass NetScaler über eine private IP-Adresse mit StoreFront kommuniziert. Möglicherweise müssen Sie NetScaler einen StoreFront-DNS-Eintrag mit einer privaten StoreFront-IP-Adresse hinzufügen.