NetScaler Gateway

Importante:

Le recomendamos que cree instantáneas de NetScaler o guarde la configuración de NetScaler antes de aplicar estos cambios.

1. Descargue el script desde https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html.

   Para crear un nuevo NetScaler Gateway, utilice ns_gateway_secure_access.sh.

   Para actualizar un NetScaler Gateway existente, utilice ns_gateway_secure_access_update.sh.

2. Cargue estos scripts en la máquina NetScaler. Puede utilizar la aplicación WinSCP o el comando SCP. Por ejemplo, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*.

   Por ejemplo, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*

Nota

• Se recomienda utilizar la carpeta NetScaler /var/tmp para almacenar datos temporales.
• Asegúrese de que el archivo se guarde con finales de línea LF. FreeBSD no admite CRLF.
• Si ve el error -bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No existe el archivo o directorio, significa que los finales de línea son incorrectos. Puedes convertir el script utilizando cualquier editor de texto enriquecido, como Notepad++.

1. Acceda a NetScaler mediante SSH y cambie a shell (escriba ‘shell’ en la CLI de NetScaler).

2. Hacer que el script cargado sea ejecutable. Utilice el comando chmod para hacerlo.

   chmod +x /var/tmp/ns_gateway_secure_access.sh

3. Ejecute el script cargado en el shell de NetScaler.

   

4. Introduzca los parámetros requeridos. Para ver la lista de parámetros, consulte Requisitos previos.

   Para el perfil de autenticación y el certificado SSL, debe proporcionar los nombres de los recursos existentes en NetScaler.

   Se genera un nuevo archivo con múltiples comandos NetScaler (el predeterminado es var/tmp/ns_gateway_secure_access).

Nota

Durante la ejecución del script, se comprueba la compatibilidad de los complementos NetScaler y Secure Private Access. Si NetScaler admite el complemento Secure Private Access, el script habilita las funciones de NetScaler para admitir etiquetas de acceso inteligente que envían mejoras y redireccionan a una nueva página de denegación cuando el acceso al recurso está restringido. Para obtener detalles sobre las etiquetas inteligentes, consulte Compatibilidad con etiquetas de acceso inteligente.

Las características del complemento Secure Private Access persisten en el archivo /nsconfig/rc.netscaler y permiten mantenerlas habilitadas después de reiniciar NetScaler.

![Configuración 2 de NetScaler](/en-us/citrix-secure-private-access/media/spaop-configure-netscaler2.png)

1. Cambie a la CLI de NetScaler y ejecute los comandos de NetScaler resultantes desde el nuevo archivo con el comando por lotes. Por ejemplo:

   batch -fileName /var/tmp/ns_gateway_secure_access -outfile

   /var/tmp/ns_gateway_secure_access_output

   NetScaler ejecuta los comandos del archivo uno por uno. Si un comando falla, continúa con el siguiente comando.

   Un comando puede fallar si existe un recurso o uno de los parámetros ingresados en el paso 6 es incorrecto.

2. Asegúrese de que todos los comandos se completen correctamente.

Nota

Si hay un error, NetScaler aún ejecuta los comandos restantes y crea/actualiza/vincula parcialmente los recursos. Por lo tanto, si ve un error inesperado debido a que uno de los parámetros es incorrecto, se recomienda rehacer la configuración desde el principio.

Configurar el acceso privado seguro en un NetScaler Gateway con la configuración existente

También puede utilizar los scripts en un NetScaler Gateway existente para admitir el acceso privado seguro. Sin embargo, el script no actualiza lo siguiente:

• Servidor virtual NetScaler Gateway existente
• Acciones de sesión existentes y políticas de sesión vinculadas a NetScaler Gateway

Asegúrese de revisar cada comando antes de ejecutarlo y crear copias de seguridad de la configuración de la puerta de enlace.

Configuración del servidor virtual NetScaler Gateway

Al agregar o actualizar el servidor virtual NetScaler Gateway existente, asegúrese de que los siguientes parámetros estén configurados en los valores definidos.

Agregar un servidor virtual:

• Nombre de perfil tcp: nstcp_default_XA_XD_profile
• deploymentType: ICA_STOREFRONT (disponible solo con el comando add vpn vserver )
• icaOnly: DESACTIVADO

Actualizar un servidor virtual:

• Nombre de perfil tcp: nstcp_default_XA_XD_profile
• icaOnly: DESACTIVADO

Ejemplos:

Para agregar un servidor virtual:

add vpn vserver _SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF

Para actualizar un servidor virtual:

set vpn vserver _SecureAccess_Gateway -icaOnly OFF

Para obtener detalles sobre los parámetros del servidor virtual, consulte vpn-sessionAction.

Acción de sesión de NetScaler Gateway

La acción de la sesión está vinculada a un servidor virtual de puerta de enlace con políticas de sesión. Al crear una acción de sesión, asegúrese de que los siguientes parámetros estén configurados con los valores definidos.

• Intercepción transparente: DESACTIVADO
• SSO: ACTIVADO
• ssoCredential: PRIMARIO
• usoMIP: NS
• useIIP: DESACTIVADO
• icaProxy: DESACTIVADO
• wihome: "https://storefront.mydomain.com/Citrix/MyStoreWeb" - reemplazar con la URL de la tienda real. La ruta a la tienda /Citrix/MyStoreWeb es opcional.
• Opciones del cliente: DESACTIVADO
• ntDomain: mydomain.com - utilizado para SSO (opcional)
• acción de autorización predeterminada: PERMITIR
• authorizationGroup: SecureAccessGroup (Asegúrese de que este grupo esté creado, se usa para vincular políticas de autorización específicas de Secure Private Access)
• modo VPN sin cliente: ACTIVADO
• clientlessModeUrlEncoding: TRANSPARENTE
• SecureBrowse: HABILITADO
• Storefronturl: "https://storefront.mydomain.com"
• sfGatewayAuthType: dominio

Ejemplos:

Para agregar una acción de sesión:

add vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.mydomain.com/Citrix/MyStoreWeb" -ClientChoices OFF -ntDomain mydomain.com -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.mydomain.com" -sfGatewayAuthType domain

Para actualizar una acción de sesión:

set vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON

  For details on session action parameters, see <https://developer-docs.netscaler.com/en-us/adc-command-reference-int/13-1/vpn/vpn-sessionaction>.

Para vincular el complemento de acceso privado seguro al servidor virtual VPN.

bind vpn vserver spaonprem -appController "https://spa.example.corp"

Compatibilidad con las aplicaciones ICA

NetScaler Gateway creado o actualizado para admitir el complemento Secure Private Access también se puede usar para enumerar e iniciar aplicaciones ICA. En este caso, debe configurar Secure Ticket Authority (STA) y vincularlo a NetScaler Gateway. Nota: El servidor STA generalmente es parte de la implementación de DDC de Citrix Virtual Apps and Desktops.

Para obtener más detalles, consulte los siguientes temas:

• Configuración de la autoridad de tickets seguros en NetScaler Gateway
• Preguntas frecuentes: Autoridad de tickets seguros de Citrix Secure Gateway/NetScaler Gateway

Compatibilidad con etiquetas de acceso inteligente

En las siguientes versiones, NetScaler Gateway envía las etiquetas automáticamente. No es necesario utilizar la dirección de devolución de llamada de la puerta de enlace para recuperar las etiquetas de acceso inteligente.

• 13.1-48.47 y posteriores
• 14.1–4.42 y posteriores

Las etiquetas de acceso inteligente se agregan como encabezado en la solicitud del complemento de acceso privado seguro.

Utilice el interruptor ns_vpn_enable_spa_onprem o ns_vpn_disable_spa_onprem para habilitar o deshabilitar esta función en estas versiones de NetScaler.

• Puedes alternar con el comando (shell de FreeBSD):

  nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

• Habilite el modo de cliente SecureBrowse para la configuración de llamada HTTP ejecutando el siguiente comando (shell de FreeBSD).

  nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

• Habilitar la redirección a la página “Acceso restringido” si se deniega el acceso.

  nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

• Utilice la página “Acceso restringido” alojada en CDN.

  nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

• Para deshabilitarlo, ejecute el mismo comando nuevamente.

• Para verificar si el interruptor está activado o desactivado, ejecute el comando nsconmsg .

• Para configurar etiquetas de acceso inteligente en NetScaler Gateway, consulte Configurar etiquetas contextuales.

Persist Secure Private Access en la configuración del complemento NetScaler

Para conservar la configuración del complemento de acceso privado seguro en NetScaler, haga lo siguiente:

1. Cree o actualice el archivo /nsconfig/rc.netscaler.

2. Añade los siguientes comandos al archivo.

   nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

   nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

   nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

   nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

3. Guarde el archivo.

La configuración del complemento Secure Private Access se aplica automáticamente cuando se reinicia NetScaler.

Limitaciones conocidas

• Es posible actualizar un NetScaler Gateway existente mediante un script, pero puede haber una cantidad infinita de posibles configuraciones de NetScaler que no se puedan cubrir con un solo script.
• No utilice ICA Proxy en NetScaler Gateway. Esta función está deshabilitada cuando NetScaler Gateway está configurado.
• Si utiliza NetScaler implementado en la nube, deberá realizar algunos cambios en la red. Por ejemplo, permitir comunicaciones entre NetScaler y otros componentes en determinados puertos.
• Si habilita SSO en NetScaler Gateway, asegúrese de que NetScaler se comunique con StoreFront mediante una dirección IP privada. Es posible que tengas que agregar un nuevo registro DNS de StoreFront a NetScaler con una dirección IP privada de StoreFront.

Subir certificado de puerta de enlace pública

Si no se puede acceder a la puerta de enlace pública desde la máquina de acceso privado seguro, deberá cargar un certificado de puerta de enlace pública en la base de datos de acceso privado seguro.

Realice los siguientes pasos para cargar un certificado de puerta de enlace pública:

1. Abra PowerShell o la ventana del símbolo del sistema con privilegios de administrador.
2. Cambie el directorio a la carpeta Admin\AdminConfigTool debajo de la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Archivos de programa\Citrix\Citrix Access Security\Admin\AdminConfigTool”)

3. Ejecute este comando:

   \AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>