Citrix Gateway y XenMobile
Al configurar Citrix Gateway mediante XenMobile, debe establecer el mecanismo de autenticación para el acceso de dispositivos remotos a la red interna. Esta funcionalidad permite a las aplicaciones de un dispositivo móvil acceder a los servidores de empresa de la intranet. Porque XenMobile crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo hasta Citrix Gateway.
Si quiere configurar Citrix Gateway para usarlo con XenMobile¡, debe exportar, desde XenMobile, un script que deberá ejecutar en Citrix Gateway.
Requisitos previos para utilizar el script de configuración de Citrix Gateway
Requisitos de Citrix ADC:
- Citrix ADC (versión mínima 11.0, compilación 70.12)
- La dirección IP de Citrix ADC está configurada y tiene conectividad con el servidor LDAP, a menos que LDAP tenga la carga equilibrada.
- La dirección IP de subred (SNIP) de Citrix ADC está configurada, tiene conectividad con los servidores back-end necesarios y tiene acceso a la red pública por el puerto 8443/TCP.
- DNS puede resolver dominios públicos.
- Citrix ADC tiene las licencias Platform, Universal o Trial. Para obtener información, consulte https://support.citrix.com/article/CTX126049.
- Un certificado SSL de Citrix Gateway está cargado e instalado en el dispositivo Citrix ADC. Para obtener más información, consulte https://support.citrix.com/article/CTX136023.
Requisitos de XenMobile
- XenMobile Server 10.6 (versión mínima)
- El servidor LDAP está configurado.
Configurar la autenticación para el acceso de dispositivos remotos a la red interna
-
En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.
-
En Servidor, haga clic en Citrix Gateway. Aparecerá la página Citrix Gateway. En el siguiente ejemplo, existe una instancia de Citrix Gateway.
-
Configure estos parámetros:
- Autenticación: Seleccione si quiere habilitar la autenticación. De forma predeterminada, está activado.
- Entregar certificado de usuario para autenticación: Seleccione si quiere que XenMobile comparta el certificado de autenticación con Secure Hub para que Citrix Gateway gestione la autenticación de certificados de cliente. De forma predeterminada, está desactivado.
- Proveedor de credenciales: En la lista, haga clic en el proveedor de credenciales que se va a utilizar. Para obtener más información, consulte Proveedores de credenciales.
-
Haga clic en Guardar.
Agregar una instancia de Citrix Gateway
Después de guardar los parámetros de autenticación, puede agregar una instancia de Citrix Gateway a XenMobile.
-
En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Se abrirá la página Parámetros.
-
En Servidor, haga clic en Citrix Gateway. Aparecerá la página Citrix Gateway.
-
Haga clic en Agregar. Aparecerá la página Agregar nuevo Citrix Gateway.
-
Configure estos parámetros:
- Nombre: Escriba un nombre para la instancia de Citrix Gateway.
- Alias: Puede incluir un nombre como alias de Citrix Gateway.
-
URL externa: Escriba la URL de acceso público de Citrix Gateway. Por ejemplo,
https://receiver.com
. - Tipo de inicio de sesión: Haga clic en un tipo de inicio de sesión. Los tipos pueden ser: Solo dominio, Solo token de seguridad, Dominio y token de seguridad, Certificado, Certificado y dominio y Certificado y token de seguridad. Además, los valores predeterminados del campo Requerir código de acceso cambian en función del Tipo de inicio de sesión seleccionado. El valor predeterminado es Solo dominio.
Si dispone de varios dominios, use Certificado y dominio. Para obtener más información sobre la configuración de la autenticación de varios dominios con XenMobile y Citrix Gateway, consulte Configurar la autenticación para varios dominios.
Si utiliza la opción Certificado y token de seguridad, se necesita configuración adicional en Citrix Gateway para que admita Secure Hub. Para obtener más información, consulte Configuración de XenMobile para la autenticación con certificado y token de seguridad.
Para obtener más información, consulte Authentication en Deployment Handbook.
- Requerir código de acceso: Seleccione si quiere que se solicite la contraseña para la autenticación. El valor predeterminado varía según el Tipo de inicio de sesión seleccionado.
- Definir como predeterminado: Seleccione si quiere usar esta instancia de Citrix Gateway como predeterminada. De forma predeterminada, está desactivado.
- Exportar script de configuración: Haga clic en el botón para exportar un paquete de configuración que se puede cargar en Citrix Gateway para configurarlo con XenMobile. Para obtener información, consulte “Configurar un Citrix Gateway local para usarlo con XenMobile Server” más adelante en este artículo.
- URL de respuesta e IP virtual: Guarde la configuración antes de agregar estos campos. Para obtener información, consulte Agregar una URL de respuesta y una IP virtual de VPN de Citrix Gateway en este artículo.
-
Haga clic en Guardar.
La nueva instancia de Citrix Gateway se agrega y aparece en la tabla. Para modificar o eliminar una instancia, haga clic en el nombre de esta en la lista.
Configurar Citrix Gateway para usarlo con XenMobile Server
Para configurar un dispositivo Citrix Gateway local y usarlo con XenMobile, realice los siguientes pasos generales, descritos en este artículo:
-
Descargue un script y los archivos relacionados desde XenMobile Server. Consulte el archivo Léame suministrado con el script para ver instrucciones detalladas actualizadas.
-
Compruebe que su entorno cumple los requisitos previos.
-
Actualice el script para su entorno.
-
Ejecute el script en Citrix ADC.
-
Pruebe la configuración.
El script configura los parámetros de Citrix Gateway requeridos por XenMobile:
- Servidores virtuales de Citrix Gateway necesarios para MAM y MDM
- Directivas de sesión para los servidores virtuales de Citrix Gateway
- Datos de XenMobile Server
- Acciones y directivas de autenticación para el servidor virtual Citrix Gateway. El script describe los parámetros de configuración de LDAP.
- Directivas y acciones de tráfico de red para el servidor proxy
- Perfil de acceso sin cliente
- Registro de DNS local estático en Citrix ADC
- Otros enlaces: directiva de servicio, certificado de CA
El script no se ocupa de la siguiente configuración:
- Equilibrio de carga de Exchange
- Equilibrio de carga de Citrix Files
- Configuración del proxy ICA
- Descarga de SSL
Para descargar, actualizar y ejecutar el script
-
Si va a agregar un dispositivo Citrix Gateway, haga clic en Exportar script de configuración en la página Agregar nuevo dispositivo Citrix Gateway.
O bien, si agrega una instancia de Citrix Gateway y hace clic en Guardar antes de exportar el script, vuelva a Parámetros > Citrix Gateway, seleccione el dispositivo Citrix ADC, haga clic en Exportar script de configuración y, a continuación, haga clic en Descargar.
Después de hacer clic en Exportar script de configuración, XenMobile crea un paquete de script .tar.gz. El paquete de script incluye:
- Un archivo Léame con instrucciones detalladas
- Un script que contiene los comandos de interfaz de línea de comandos de Citrix ADC que se usan para configurar los componentes necesarios en Citrix ADC
- Un certificado de CA raíz público y el certificado de CA intermedio de XenMobile Server (no se requieren estos certificados para la descarga de SSL en la versión actual)
- Un script que contiene los comandos de interfaz de línea de comandos de Citrix ADC necesarios para quitar la configuración de Citrix ADC
-
Modifique el script (NSGConfigBundle_CREATESCRIPT.txt) para reemplazar todos los marcadores de posición por los valores correspondientes a su implementación.
-
Ejecute el script modificado en el bash shell de Citrix ADC, como se describe en el archivo Léame incluido en el paquete del script. Por ejemplo:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"
Cuando el script se complete, aparecerán las siguientes líneas.
Probar la configuración
-
Compruebe que el servidor virtual Citrix Gateway muestra el estado operativo (UP).
-
Compruebe que el servidor virtual de equilibrio de carga proxy muestra el estado operativo (UP).
-
Abra un explorador web, conéctese a la URL de Citrix Gateway e intente autenticarse. Si la autenticación falla, aparece este mensaje: HTTP Status 404 - Not Found
-
Inscriba un dispositivo y compruebe que obtiene la inscripción en MDM y MAM.
Agregar una URL de respuesta y una IP virtual de VPN de Citrix Gateway
Después de agregar la instancia de Citrix Gateway, puede agregar una dirección URL de respuesta y especificar una dirección IP virtual de Citrix Gateway. Esta configuración es opcional, pero se puede definir para obtener seguridad adicional, especialmente cuando XenMobile Server está en la zona desmilitarizada (DMZ).
-
En Parámetros > Citrix Gateway, seleccione el dispositivo Citrix Gateway y, a continuación, haga clic en Modificar.
-
En la tabla, haga clic en Agregar.
-
Para URL de respuesta, escriba el nombre de dominio completo (FQDN). La URL de respuesta verifica que la solicitud proviene de Citrix Gateway.
Compruebe que la URL de respuesta derive en una dirección IP a la que se pueda acceder desde XenMobile Server. La URL de respuesta puede ser una URL externa de Citrix Gateway u otra URL.
-
Introduzca la dirección IP virtual de Citrix Gateway y haga clic en Guardar.
Configurar la autenticación para varios dominios
Si tiene varias instancias de XenMobile Server (por ejemplo, para entornos de prueba, desarrollo y producción), debe configurar Citrix Gateway manualmente para los entornos adicionales (puede usar el asistente de Citrix ADC para XenMobile solamente una vez).
Configurar Citrix Gateway
Para configurar las directivas de autenticación de Citrix Gateway y una directiva de sesión para un entorno de varios dominios:
- En la herramienta de configuración de Citrix Gateway, en la ficha Configuración, expanda Citrix Gateway > Directivas > Autenticación.
- En el panel de navegación, haga clic en LDAP.
-
Haga clic para modificar el perfil de LDAP. Cambie el Atributo de nombre de inicio de sesión del servidor a userPrincipalName o al atributo que quiera utilizar para las búsquedas. Anote el atributo que especifique, de manera que lo tenga disponible al configurar los parámetros de LDAP en la consola de XenMobile.
- Repita estos pasos para cada directiva de LDAP. Se requiere una directiva de LDAP diferente para cada dominio.
- En la directiva de sesión vinculada al servidor virtual de Citrix Gateway, vaya a Modificar perfil de sesiones > Aplicaciones publicadas. Compruebe que la opción Single Sign-On Domain está en blanco.
Configuración de XenMobile Server
Para configurar LDAP para un entorno de XenMobile de varios dominios:
-
En la consola de XenMobile, vaya a Parámetros > LDAP y agregue o modifique un directorio.
-
Proporcione la información correspondiente.
-
En Alias de dominio, especifique los dominios que se utilizarán para la autenticación de usuarios. Separe los dominios con una coma y no introduzca espacios entre ellos. Por ejemplo:
domain1.com,domain2.com,domain3.com
-
Compruebe que el campo Buscar usuarios por coincide con el valor de Atributo de nombre de inicio de sesión del servidor especificado en la directiva de LDAP de Citrix Gateway.
-
Descartar solicitudes de conexión entrantes a direcciones URL específicas
Si Citrix Gateway en su entorno está configurado para la descarga de SSL, puede que prefiera que la puerta de enlace descarte las solicitudes de conexión entrantes para direcciones URL específicas.
Si prefiere esa seguridad adicional, configure los dos servidores virtuales del equilibrador de carga para MDM (uno para el puerto 443 y otro para el puerto 8443) en Citrix Gateway. Utilice la siguiente información como plantilla para los parámetros.
Importante:
Las siguientes actualizaciones son solo para dispositivos Citrix Gateway configurados para la descarga de SSL.
-
Cree un conjunto de patrones con el nombre
XMS_DropURLs
.add policy patset XMS_DropURLs <!--NeedCopy-->
-
Agregue las siguientes URL al nuevo conjunto de patrones. Personalice esta lista según sea necesario.
bind policy patset XMS_DropURLs /zdm/shp/console -index 6 bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5 bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4 bind policy patset XMS_DropURLs /zdm/log.jsp -index 3 bind policy patset XMS_DropURLs /zdm/login.jsp -index 2 bind policy patset XMS_DropURLs /zdm/console -index 1 <!--NeedCopy-->
-
Cree una directiva para eliminar todo el tráfico dirigido a estas direcciones URL, a menos que la solicitud de conexión se origine en la subred especificada.
add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT && HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed" <!--NeedCopy-->
-
Enlace la nueva directiva a los servidores virtuales del equilibrador de carga para MDM (puertos 443 y 8443).
bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST <!--NeedCopy-->
-
Bloquear el acceso a direcciones URL de MAM a través del explorador web
El acceso a direcciones URL de MAM directamente a través del explorador web solicita a los usuarios introducir sus credenciales de Active Directory. Si bien actúa como una herramienta para que los usuarios validen sus credenciales, es posible que algunos usuarios la traten como una infracción de seguridad. Esta sección le ayuda a restringir el acceso del explorador web a las URL de MAM (dirección IP virtual de NetScaler Gateway) mediante la función directiva de respondedor de NetScaler.
Cree una de estas directivas de respondedor y vincúlela a su servidor virtual de NetScaler Gateway:
-
add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
-
add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
-
add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
Vincular al servidor virtual de NetScaler Gateway mediante
bind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST
Nota:
_XM_XenMobileGateway
es un nombre de ejemplo de un servidor virtual de NetScaler Gateway. -
En este artículo
- Requisitos previos para utilizar el script de configuración de Citrix Gateway
- Configurar la autenticación para el acceso de dispositivos remotos a la red interna
- Agregar una instancia de Citrix Gateway
- Configurar Citrix Gateway para usarlo con XenMobile Server
- Agregar una URL de respuesta y una IP virtual de VPN de Citrix Gateway
- Configurar la autenticación para varios dominios
- Descartar solicitudes de conexión entrantes a direcciones URL específicas