NetScaler Gateway

Important :

Nous vous recommandons de créer des instantanés NetScaler ou d’enregistrer la configuration NetScaler avant d’appliquer ces modifications.

  1. Téléchargez le script depuis https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html.

    Pour créer une nouvelle passerelle NetScaler, utilisez ns_gateway_secure_access.sh.

    Pour mettre à jour une passerelle NetScaler existante, utilisez ns_gateway_secure_access_update.sh.

  2. Téléchargez ces scripts sur la machine NetScaler. Vous pouvez utiliser l’application WinSCP ou la commande SCP. Par exemple, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*.

    Par exemple, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*

Remarque

  • Il est recommandé d’utiliser le dossier NetScaler /var/tmp pour stocker les données temporaires.
  • Assurez-vous que le fichier est enregistré avec les fins de ligne LF. FreeBSD ne prend pas en charge CRLF.
  • Si vous voyez l’erreur -bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory, cela signifie que les fins de ligne sont incorrectes. Vous pouvez convertir le script en utilisant n’importe quel éditeur de texte enrichi, tel que Notepad++.
  1. Connectez-vous à NetScaler en SSH et passez au shell (tapez « shell » sur la CLI de NetScaler).
  2. Rendre le script téléchargé exécutable. Utilisez la commande chmod pour le faire.

    chmod +x /var/tmp/ns_gateway_secure_access.sh

  3. Exécutez le script téléchargé sur le shell NetScaler.

    Configuration de NetScaler 1

  4. Saisissez les paramètres requis. Pour la liste des paramètres, voir Prérequis.

    Pour le profil d’authentification et le certificat SSL, vous devez fournir les noms des ressources existantes sur NetScaler.

    Un nouveau fichier contenant plusieurs commandes NetScaler (la valeur par défaut est var/tmp/ns_gateway_secure_access) est généré.

Remarque

Lors de l’exécution du script, la compatibilité des plug-ins NetScaler et Secure Private Access est vérifiée. Si NetScaler prend en charge le plug-in Secure Private Access, le script permet aux fonctionnalités NetScaler de prendre en charge les améliorations d’envoi de balises SmartAccess et la redirection vers une nouvelle page de refus lorsque l’accès à la ressource est restreint. Pour plus de détails sur les balises intelligentes, voir Prise en charge des balises d’accès intelligentes.

Les fonctionnalités du plug-in Secure Private Access conservées dans le fichier /nsconfig/rc.netscaler permettent de les maintenir activées après le redémarrage de NetScaler.

![Configuration de NetScaler 2](/en-us/citrix-secure-private-access/media/spaop-configure-netscaler2.png)
  1. Passez à l’interface de ligne de commande NetScaler et exécutez les commandes NetScaler résultantes à partir du nouveau fichier avec la commande par lots. Par exemple;

    batch -fileName /var/tmp/ns_gateway_secure_access -outfile

    /var/tmp/ns_gateway_secure_access_output

    NetScaler exécute les commandes du fichier une par une. Si une commande échoue, elle continue avec la commande suivante.

    Une commande peut échouer si une ressource existe ou si l’un des paramètres saisis à l’étape 6 est incorrect.

  2. Assurez-vous que toutes les commandes sont exécutées avec succès.

Remarque

En cas d’erreur, NetScaler exécute toujours les commandes restantes et crée/met à jour/lie partiellement les ressources. Par conséquent, si vous voyez une erreur inattendue en raison d’un des paramètres incorrect, il est recommandé de refaire la configuration depuis le début.

Configurer l’accès privé sécurisé sur une passerelle NetScaler avec une configuration existante

Vous pouvez également utiliser les scripts sur une passerelle NetScaler existante pour prendre en charge l’accès privé sécurisé. Cependant, le script ne met pas à jour les éléments suivants :

  • Serveur virtuel NetScaler Gateway existant
  • Actions de session et stratégies de session existantes liées à NetScaler Gateway

Assurez-vous de vérifier chaque commande avant son exécution et de créer des sauvegardes de la configuration de la passerelle.

Paramètres sur le serveur virtuel NetScaler Gateway

Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies.

Ajouter un serveur virtuel:

  • tcpProfileName : nstcp_default_XA_XD_profile
  • déploiementType : ICA_STOREFRONT (disponible uniquement avec la commande add vpn vserver )
  • icaOnly : DÉSACTIVÉ

Mettre à jour un serveur virtuel :

  • tcpProfileName : nstcp_default_XA_XD_profile
  • icaOnly : DÉSACTIVÉ

Exemples :

Pour ajouter un serveur virtuel :

add vpn vserver _SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF

Pour mettre à jour un serveur virtuel :

set vpn vserver _SecureAccess_Gateway -icaOnly OFF

Pour plus de détails sur les paramètres du serveur virtuel, voir vpn-sessionAction.

Action de session de la passerelle NetScaler

L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies.

  • transparentInterception: DÉSACTIVÉ
  • SSO: ACTIVÉ
  • ssoCredential: PRINCIPAL
  • utiliserMIP: NS
  • useIIP: DÉSACTIVÉ
  • icaProxy: DÉSACTIVÉ
  • wihome: "https://storefront.mydomain.com/Citrix/MyStoreWeb" - remplacer par l’URL réelle du magasin. Le chemin vers Store /Citrix/MyStoreWeb est facultatif.
  • ClientChoices: DÉSACTIVÉ
  • ntDomain: mondomaine.com - utilisé pour SSO (facultatif)
  • defaultAuthorizationAction: AUTORISER
  • authorityGroup: SecureAccessGroup (assurez-vous que ce groupe est créé, il est utilisé pour lier les politiques d’autorisation spécifiques à Secure Private Access)
  • clientlessVpnMode: ACTIVÉ
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ACTIVÉ
  • Storefronturl: "https://storefront.mydomain.com"
  • sfGatewayAuthType: domaine

Exemples :

Pour ajouter une action de session :

add vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.mydomain.com/Citrix/MyStoreWeb" -ClientChoices OFF -ntDomain mydomain.com -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.mydomain.com" -sfGatewayAuthType domain

Pour mettre à jour une action de session :

set vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON

  For details on session action parameters, see <https://developer-docs.netscaler.com/en-us/adc-command-reference-int/13-1/vpn/vpn-sessionaction>.

Pour lier le plug-in Secure Private Access au serveur virtuel VPN.

bind vpn vserver spaonprem -appController "https://spa.example.corp"

Compatibilité avec les applications ICA

NetScaler Gateway créé ou mis à jour pour prendre en charge le plug-in Secure Private Access peut également être utilisé pour énumérer et lancer des applications ICA. Dans ce cas, vous devez configurer Secure Ticket Authority (STA) et le lier à NetScaler Gateway. Remarque : le serveur STA fait généralement partie du déploiement DDC de Citrix Virtual Apps and Desktops.

Pour plus de détails, consultez les rubriques suivantes :

Prise en charge des balises d’accès intelligentes

Dans les versions suivantes, NetScaler Gateway envoie les balises automatiquement. Vous n’avez pas besoin d’utiliser l’adresse de rappel de la passerelle pour récupérer les balises d’accès intelligentes.

  • 13.1-48.47 et versions ultérieures
  • 14.1–4.42 et versions ultérieures

Les balises d’accès intelligentes sont ajoutées en tant qu’en-tête dans la demande de plug-in Secure Private Access.

Utilisez le bouton bascule ns_vpn_enable_spa_onprem ou ns_vpn_disable_spa_onprem pour activer/désactiver cette fonctionnalité sur ces versions de NetScaler.

  • Vous pouvez basculer avec la commande (shell FreeBSD) :

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

  • Activez le mode client SecureBrowse pour la configuration d’appel HTTP en exécutant la commande suivante (shell FreeBSD).

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

  • Activer la redirection vers la page « Accès restreint » si l’accès est refusé.

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

  • Utilisez la page « Accès restreint » hébergée sur CDN.

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  • Pour désactiver, exécutez à nouveau la même commande.

  • Pour vérifier si la bascule est activée ou désactivée, exécutez la commande nsconmsg .

  • Pour configurer des balises d’accès intelligentes sur NetScaler Gateway, consultez Configurer les balises contextuelles.

Conserver les paramètres du plug-in Secure Private Access sur NetScaler

Pour conserver les paramètres du plug-in Secure Private Access sur NetScaler, procédez comme suit :

  1. Créez ou mettez à jour le fichier /nsconfig/rc.netscaler.
  2. Ajoutez les commandes suivantes au fichier.

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

    nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny

    nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page

  3. Enregistrez le fichier.

Les paramètres du plug-in Secure Private Access sont automatiquement appliqués au redémarrage de NetScaler.

Limitations connues

  • La passerelle NetScaler existante peut être mise à jour avec un script, mais il peut y avoir un nombre infini de configurations NetScaler possibles qui ne peuvent pas être couvertes par un seul script.
  • N’utilisez pas le proxy ICA sur NetScaler Gateway. Cette fonctionnalité est désactivée lorsque NetScaler Gateway est configuré.
  • Si vous utilisez NetScaler déployé dans le cloud, vous devez apporter certaines modifications au réseau. Par exemple, autorisez les communications entre NetScaler et d’autres composants sur certains ports.
  • Si vous activez SSO sur NetScaler Gateway, assurez-vous que NetScaler communique avec StoreFront à l’aide d’une adresse IP privée. Vous devrez peut-être ajouter un nouvel enregistrement DNS StoreFront à NetScaler avec une adresse IP privée StoreFront.

Télécharger le certificat de passerelle publique

Si la passerelle publique n’est pas accessible depuis la machine Secure Private Access, vous devez alors télécharger un certificat de passerelle publique dans la base de données Secure Private Access.

Procédez comme suit pour télécharger un certificat de passerelle publique :

  1. Ouvrez PowerShell ou la fenêtre d’invite de commande avec les privilèges d’administrateur.
  2. Modifiez le répertoire vers le dossier Admin\AdminConfigTool sous le dossier d’installation de Secure Private Access (par exemple, cd “C:\Program Files\Citrix\Citrix Access Security\Admin\AdminConfigTool”)
  3. Exécutez la commande suivante :

    \AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>