Citrix Endpoint Management

NetScaler Gateway et Citrix Endpoint Management

Lorsqu’il est intégré à Citrix Endpoint Management, NetScaler Gateway fournit un accès à distance à votre réseau interne et à vos ressources. Citrix Endpoint Management crée un micro VPN depuis les applications vers NetScaler Gateway sur l’appareil.

Vous pouvez utiliser le service Citrix Gateway (version préliminaire) ou une instance NetScaler Gateway locale, également appelée NetScaler Gateway. Pour obtenir une vue d’ensemble des deux solutions NetScaler Gateway, voir Configurer l’utilisation de NetScaler Gateway avec Citrix Endpoint Management.

Configurer l’authentification pour un accès à distance au réseau interne

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur NetScaler Gateway. La page NetScaler Gateway s’affiche. Dans l’exemple suivant, il existe une instance NetScaler Gateway.

    Écran de configuration de NetScaler Gateway

  3. Pour configurer ces paramètres :

    • Authentification : sélectionnez cette option pour activer l’authentification. La valeur par défaut est Activé.
    • Délivrer un certificat utilisateur pour l’authentification : indiquez si vous voulez que Citrix Endpoint Management partage le certificat d’authentification avec Citrix Secure Hub. Le partage du certificat permet à NetScaler Gateway de gérer l’authentification du certificat client. La valeur par défaut est Désactivé.
    • Fournisseur d’identités : dans la liste déroulante, cliquez sur le nom du fournisseur d’identités. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
  4. Cliquez sur Enregistrer.

Ajouter une instance de service Citrix Gateway (version préliminaire)

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance NetScaler Gateway à Citrix Endpoint Management.

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sur la page Paramètres, faites défiler l’affichage jusqu’à la vignette NetScaler Gateway, puis cliquez sur Démarrer la configuration. La page NetScaler Gateway s’affiche.

  3. Sélectionnez Citrix Gateway Service (Cloud) et spécifiez l’emplacement des ressources pour le service Gateway.

    Écran de configuration de NetScaler Gateway

    • Emplacement de ressources pour Citrix Gateway : est requis si vous utilisez Citrix Secure Mail. Spécifiez l’emplacement des ressources pour le service STA. L’emplacement des ressources doit inclure une passerelle NetScaler Gateway configurée. Si vous devez ultérieurement supprimer un emplacement de ressources configuré pour le service Gateway, mettez ce paramètre à jour.

    Une fois ces paramètres terminés, cliquez sur Connecter pour établir la connexion. Le nouveau NetScaler Gateway est ajouté. La vignette Citrix Gateway Service (Cloud) apparaît sur la page Paramètres. Pour modifier une instance, cliquez sur Voir plus. Si des Gateway Connector ne sont pas disponibles dans l’emplacement de ressources sélectionné, cliquez sur Ajouter Gateway Connector. Suivez les instructions à l’écran pour installer les Gateway Connector. Vous pouvez également ajouter des Gateway Connector ultérieurement.

  4. Cliquez sur Enregistrer et exporter le script.

    • Enregistrer et exporter le script. Cliquez sur le bouton pour enregistrer vos paramètres et exporter un bundle de configuration. Vous pouvez charger un script à partir du bundle vers NetScaler Gateway pour le configurer avec les paramètres de Citrix Endpoint Management. Pour plus d’informations, consultez « Configurer NetScaler Gateway pour une utilisation avec Citrix Endpoint Management » après cette procédure.

    Vous avez ajouté le nouveau NetScaler Gateway. La vignette NetScaler Gateway apparaît sur la page Paramètres. Pour modifier une instance, cliquez sur Voir plus.

Configurer un NetScaler Gateway sur site à utiliser avec Citrix Endpoint Management

Pour configurer une instance NetScaler Gateway locale pour une utilisation avec Citrix Endpoint Management, vous devez effectuer les étapes générales suivantes, détaillées dans les sections suivantes.

  1. Vérifiez que votre environnement répond à la configuration requise.

  2. Exportez le bundle de script à partir de la console Citrix Endpoint Management.

  3. Extrayez les fichiers du bundle. Si vous utilisez uniquement des stratégies classiques sur NetScaler Gateway et que vous exécutez Citrix ADC 13.0 ou version antérieure, utilisez le script avec « Classic » dans le nom du fichier. Si vous utilisez des stratégies avancées ou si vous exécutez Citrix ADC 13.1 ou version ultérieure, utilisez le script avec « Advanced » dans le nom du fichier.

  4. Exécutez le script approprié sur NetScaler Gateway. Pour plus d’informations, consultez le fichier Lisez-moi accompagnant les scripts pour accéder aux instructions détaillées les plus récentes.

  5. Testez la configuration.

Les scripts configurent les paramètres NetScaler Gateway suivants requis par Citrix Endpoint Management :

  • Serveurs virtuels NetScaler Gateway requis pour le mode MDM et MAM
  • Stratégies de session pour les serveurs virtuels NetScaler Gateway
  • Détails du serveur Citrix Endpoint Management
  • Équilibrage de charge du proxy pour la validation du certificat
  • Stratégies d’authentification et Actions pour le serveur virtuel NetScaler Gateway. Les scripts décrivent les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur NetScaler Gateway
  • Autres liaisons : stratégie de service, certificat d’autorité de certification

Les scripts ne prennent pas en charge la configuration suivante :

  • Équilibrage de charge Exchange
  • Equilibrage de charge Citrix Files
  • Configuration du proxy ICA
  • Déchargement SSL

Conditions préalables à l’utilisation des scripts de configuration de NetScaler Gateway

Configuration requise pour Citrix Endpoint Management :

  • Effectuez la configuration LDAP et NetScaler Gateway dans Citrix Endpoint Management avant d’exporter le bundle de scripts. Si vous modifiez les paramètres, exportez à nouveau le bundle de scripts.

Configuration requise pour NetScaler Gateway :

  • Lorsque vous utilisez l’authentification basée sur les certificats sur NetScaler Gateway, vous devez créer des certificats SSL sur une appliance Citrix ADC. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.
  • NetScaler Gateway (version minimum 11.0, Build 70.12).
  • L’adresse IP NetScaler de Gateway est configurée et peut se connecter au serveur LDAP, à moins d’un équilibrage de charge de LDAP.
  • L’adresse IP de sous-réseau de NetScaler Gateway (SNIP) est configurée, peut se connecter aux serveurs back-end nécessaires et dispose d’un accès réseau public sur le port 8443/TCP.
  • DNS peut résoudre les domaines publics.
  • NetScaler Gateway est utilisé sous licence Platform/Universal ou d’évaluation. Pour de plus amples informations, consultez https://support.citrix.com/article/CTX126049.

Exporter le bundle de script à partir de Citrix Endpoint Management

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance NetScaler Gateway à Citrix Endpoint Management.

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sur la page Paramètres, faites défiler l’affichage jusqu’à la vignette NetScaler Gateway, puis cliquez sur Démarrer la configuration. La page NetScaler Gateway s’affiche.

  3. Sélectionnez NetScaler Gateway (local) et configurez les paramètres suivants :

    Écran de configuration de NetScaler Gateway

    • Nom : entrez un nom pour l’instance NetScaler Gateway.
    • URL externe : entrez l’adresse URL publiquement accessible de NetScaler Gateway. Par exemple, https://receiver.com.
    • Type d’ouverture de session : choisissez un type d’ouverture de session. Les types disponibles sont les suivants : Domaine, Jeton de sécurité uniquement, Domaine et jeton de sécurité, Certificat, Certificat et domaine et Certificat et jeton de sécurité. La valeur par défaut est Domaine.

    Si vous disposez de plusieurs domaines, utilisez Certificat et domaine. Pour plus d’informations, consultez Configuration de l’authentification multi-domaines.

    L’authentification basée sur les certificats sur NetScaler Gateway nécessite une configuration supplémentaire. Par exemple, vous devez charger votre certificat d’autorité de certification racine sur votre appliance Citrix ADC. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.

    Pour plus d’informations, consultez la section Authentification dans le manuel de déploiement.

  4. Cliquez sur Enregistrer et exporter le script.

    • Enregistrer et exporter le script. Cliquez sur le bouton pour enregistrer vos paramètres et exporter un bundle de configuration. Vous pouvez charger un script à partir du bundle vers NetScaler Gateway pour le configurer avec les paramètres de Citrix Endpoint Management. Pour plus d’informations, consultez « Configurer NetScaler Gateway pour une utilisation avec Citrix Endpoint Management » après cette procédure.

    Vous avez ajouté le nouveau NetScaler Gateway. La vignette NetScaler Gateway apparaît sur la page Paramètres. Pour modifier une instance, cliquez sur Voir plus.

Installez le script dans votre environnement

Le bundle de scripts comprend ce qui suit.

  • Fichier Lisez-moi avec instructions détaillées
  • Scripts contenant les commandes d’interface de ligne de commande NetScaler permettant de configurer les composants requis dans NetScaler
  • Certificat d’autorité de certification racine public et certificat d’autorité de certification intermédiaire
  • Scripts contenant les commandes d’interface de ligne de commande NetScaler permettant de supprimer la configuration de NetScaler
  1. Chargez et installez les fichiers de certificat (fournis dans le bundle de script) sur le boîtier Citrix ADC sur le répertoire /nsconfig/ssl/. Voir Créer et utiliser des certificats SSL sur une appliance Citrix ADC.

    Écran de configuration de NetScaler Gateway

    Les exemples suivants expliquent comment installer le certificat racine.

    Écran de configuration de NetScaler Gateway

    Écran de configuration de NetScaler Gateway

    Écran de configuration de NetScaler Gateway

    Écran de configuration de NetScaler Gateway

    Assurez-vous que vous installez à la fois les certificats racine et intermédiaire.

  2. Modifiez le script (ConfigureCitrixGatewayScript_Classic.txt ou ConfigureCitrixGatewayScript_Advanced.txt) pour remplacer tous les espaces réservés par des détails de votre environnement.

    Écran de configuration de NetScaler Gateway

  3. Exécutez le script modifié dans le shell bash NetScaler, comme décrit dans le fichier Lisez-moi accompagnant le bundle de script. Par exemple :

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    Écran de configuration de NetScaler Gateway

    Lorsque le script prend fin, les lignes suivantes s’affichent.

    Écran de fin de configuration réussie de NetScaler Gateway

Tester la configuration

Pour valider la configuration :

  1. Vérifiez que le serveur virtuel NetScaler Gateway affiche un état Actif.

    Écran d'état de NetScaler Gateway

  2. Vérifiez que le serveur virtuel d’équilibrage de charge du proxy indique un état Actif.

    Écran d'état de NetScaler Gateway

  3. Ouvrez un navigateur Web, connectez-vous à l’adresse URL de NetScaler Gateway et essayez de vous authentifier. Si l’authentification réussit, vous serez redirigé vers un message « État HTTP 404 - Introuvable. »

  4. Inscrivez un appareil et assurez-vous qu’il est inscrit auprès de MDM et MAM.

Configuration de l’authentification multi-domaines

Si vous disposez de plusieurs instances Citrix Endpoint Management, telles que les environnements de test, de développement et de production, vous devez configurer manuellement NetScaler Gateway pour les environnements supplémentaires. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Configuration de NetScaler Gateway

Pour configurer les stratégies d’authentification NetScaler Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’onglet Configuration de l’outil de configuration NetScaler Gateway, développez NetScaler Gateway > Policies > Authentication.
  2. Dans le panneau de navigation, cliquez sur LDAP.
  3. Cliquez pour modifier le profil LDAP. Définissez Server Logon Name Attribute sur userPrincipalName ou sur l’attribut que vous souhaitez utiliser pour vos recherches. Prenez note des attributs que vous spécifiez. Vous devez le fournir lorsque vous configurez les paramètres LDAP dans la console Citrix Endpoint Management.

    Écran de configuration de NetScaler Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel NetScaler Gateway, accédez à Edit session profile > Published Applications. Assurez-vous que le champ Single Sign-On Domain est vide.

Configuration de Citrix Endpoint Management

Pour configurer les paramètres LDAP de Citrix Endpoint Management pour un environnement multi-domaine :

  1. Dans la console Citrix Endpoint Management, accédez à Settings > LDAP et ajoutez ou modifiez un répertoire.

    Écran des paramètres LDAP de Citrix Endpoint Management

  2. Entrez les informations.

    • Sous Alias de domaine, spécifiez chaque domaine à utiliser pour l’authentification utilisateur. Séparez les domaines avec une virgule et n’insérez pas d’espaces entre les domaines. Par exemple : domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champ User search by correspond à l’attribut Server Logon Name Attribute spécifié dans la stratégie LDAP NetScaler Gateway.

    Écran des paramètres LDAP de Citrix Endpoint Management

Supprimer les demandes de connexion entrante vers des adresses URL spécifiques

Dans votre environnement, si NetScaler Gateway est configuré pour le déchargement SSL, vous pouvez souhaiter que la passerelle supprime les demandes de connexion entrante pour des adresses URL spécifiques. Si vous préférez une sécurité supplémentaire, contactez Citrix Cloud Operations et demandez-leur d’autoriser votre adresse IP dans vos centres de données locaux.