NetScaler Gateway
La configuración de NetScaler Gateway es compatible con aplicaciones Web/SaaS y TCP/UDP. Puede crear un NetScaler Gateway o actualizar una configuración de NetScaler Gateway existente para Secure Private Access. Se recomienda crear instantáneas de NetScaler o guardar la configuración de NetScaler antes de aplicar estos cambios.
Para obtener más información sobre las configuraciones de NetScaler Gateway para aplicaciones Web/SaaS y TCP/UDP, consulte los siguientes temas:
- Configuración de NetScaler Gateway para aplicaciones Web/SaaS
- Configuración de NetScaler Gateway para aplicaciones TCP/UDP
Compatibilidad con las aplicaciones ICA
NetScaler Gateway creado o actualizado para admitir el plug-in Secure Private Access también se puede usar para enumerar e iniciar aplicaciones ICA. En este caso, debe configurar Secure Ticket Authority (STA) y vincularla a NetScaler Gateway.
Nota:
El servidor STA suele formar parte de la implementación de Citrix Virtual Apps and Desktops.
Para obtener más información, consulte los siguientes temas:
- Configurar Secure Ticket Authority en NetScaler Gateway
- Preguntas frecuentes: Citrix Secure Gateway/ NetScaler Gateway Secure Ticket Authority
Soporte para etiquetas de acceso inteligentes
Nota:
- La información que se proporciona en esta sección solo se aplica si la versión de NetScaler Gateway es anterior a la 14.1-25.56.
- Si la versión de NetScaler Gateway es 14.1—25.56 o posterior, puede habilitar el plug-in Secure Private Access en NetScaler Gateway mediante la CLI o la GUI. Para obtener más información, consulte Habilitar el plug-in Secure Private Access en NetScaler Gateway.
En las siguientes versiones, NetScaler Gateway envía las etiquetas automáticamente. No es necesario utilizar la dirección de devolución de llamada de la puerta de enlace para recuperar las etiquetas de acceso inteligentes.
- 13.1—48.47 y versiones posteriores
- 14.1—4.42 y versiones posteriores
Las etiquetas de acceso inteligente se agregan como encabezado en la solicitud del plug-in Secure Private Access.
Utilice la opción ns_vpn_enable_spa_onprem o ns_vpn_disable_spa_onprem para habilitar o inhabilitar esta función en estas versiones de NetScaler.
-
Puede alternar con el comando (shell de FreeBSD):
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem -
Habilite el modo cliente SecureBrowse para la configuración de llamadas HTTP ejecutando el siguiente comando (shell de FreeBSD).
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode -
Habilite la redirección a la página “Acceso restringido” si se deniega el acceso.
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny -
Utilice la página “Acceso restringido” alojada en CDN.
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page -
Para inhabilitarlo, vuelva a ejecutar el mismo comando.
-
Para comprobar si la opción está activada o desactivada, ejecute el comando
nsconmsg. -
Para configurar las etiquetas de acceso inteligente en NetScaler Gateway, consulte Configurar etiquetas contextuales.
Conservar la configuración del plug-in Secure Private Access en NetScaler
Para conservar la configuración del plug-in Secure Private Access en NetScaler, haga lo siguiente:
- Cree o actualice el archivo /nsconfig/rc.netscaler.
-
Agregue los siguientes comandos al archivo.
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onpremnsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_modensapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_denynsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page - Guarde el archivo.
La configuración del plug-in Secure Private Access se aplica automáticamente cuando se reinicia NetScaler.
Habilitar el plug-in Secure Private Access en NetScaler Gateway
A partir de NetScaler Gateway 14.1—25.56 y versiones posteriores, puede habilitar el plug-in Secure Private Access en NetScaler Gateway mediante la CLI o la GUI de NetScaler Gateway. Esta configuración reemplaza el botón nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem utilizado en las versiones anteriores a la 2407.
CLI:
En el símbolo del sistema, escriba el siguiente comando:
set vpn parameter -securePrivateAccess ENABLED
GUI:
- Vaya a NetScaler Gateway > Configuración global > Cambiar la configuración global de NetScalerGateway.
- Haga clic en la ficha Seguridad.
- En Secure Private Access, seleccione HABILITADO.
Cargar certificado de puerta de enlace pública
Si no se puede acceder a la puerta de enlace pública desde la máquina de Secure Private Access, debe cargar un certificado de puerta de enlace pública a la base de datos de Secure Private Access.
Realice los siguientes pasos para cargar un certificado de puerta de enlace pública:
- Abra PowerShell o la ventana de línea de comandos con los privilegios de administrador.
- Cambie el directorio a la carpeta Admin\AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
-
Ejecute este comando:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
Limitaciones conocidas
- El NetScaler Gateway existente se puede actualizar con un script, pero puede haber un número infinito de posibles configuraciones de NetScaler que no se pueden cubrir con un solo script.
- No utilice ICA Proxy en NetScaler Gateway. Esta función está inhabilitada cuando se configura NetScaler Gateway.
- Si usa NetScaler implementado en la nube, debe realizar cambios en la red. Por ejemplo, permita la comunicación entre NetScaler y otros componentes en determinados puertos.
- Si habilita el SSO en NetScaler Gateway, asegúrese de que NetScaler se comunique con StoreFront mediante una dirección IP privada. Es posible que tenga que agregar un registro DNS de StoreFront a NetScaler con una dirección IP privada de StoreFront.