Citrix Secure Private Access

Configuration de la passerelle NetScaler pour les applications Web/SaaS

Pour créer NetScaler Gateway pour les applications Web/SaaS, procédez comme suit :

  1. Téléchargez le dernier script *ns_gateway_secure_access.sh*. depuis https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/.

  2. Téléchargez ces scripts sur la machine NetScaler. Vous pouvez utiliser l’application WinSCP ou la commande SCP. Par exemple, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*.

    Par exemple, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*

Remarque

  • Il est recommandé d’utiliser le dossier NetScaler /var/tmp pour stocker les données temporaires.
  • Assurez-vous que le fichier est enregistré avec les fins de ligne LF. FreeBSD ne prend pas en charge CRLF.
  • Si vous voyez l’erreur -bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory, cela signifie que les fins de ligne sont incorrectes. Vous pouvez convertir le script en utilisant n’importe quel éditeur de texte enrichi, tel que Notepad++.
  1. Connectez-vous à NetScaler en SSH et passez au shell (tapez « shell » sur la CLI de NetScaler).
  2. Rendre le script téléchargé exécutable. Utilisez la commande chmod pour le faire.

    chmod +x /var/tmp/ns_gateway_secure_access.sh

  3. Exécutez le script téléchargé sur le shell NetScaler.

    Configuration de NetScaler 1

  4. Saisissez N pour le paramètre Activer la prise en charge du type d’application TCP/UDP si vous avez l’intention de configurer la passerelle uniquement pour les applications Web et SaaS.

  5. Saisissez les paramètres requis. Pour la liste des paramètres, voir Prérequis.

    Pour le profil d’authentification et le certificat SSL, vous devez fournir les noms des ressources existantes sur NetScaler.

    Un nouveau fichier contenant plusieurs commandes NetScaler (la valeur par défaut est var/tmp/ns_gateway_secure_access) est généré.

Remarque

Lors de l’exécution du script, la compatibilité des plug-ins NetScaler et Secure Private Access est vérifiée. Si NetScaler prend en charge le plug-in Secure Private Access, le script permet aux fonctionnalités NetScaler de prendre en charge les améliorations d’envoi de balises d’accès intelligentes et la redirection vers une nouvelle page de refus lorsque l’accès à une ressource est restreint. Pour plus de détails sur les balises intelligentes, voir Prise en charge des balises d’accès intelligentes.

Les fonctionnalités du plug-in Secure Private Access conservées dans le fichier /nsconfig/rc.netscaler permettent de les maintenir activées après le redémarrage de NetScaler.

![Configuration de NetScaler 2](/en-us/citrix-secure-private-access/media/spaop-configure-netscaler2-old.png)
  1. Passez à l’interface de ligne de commande NetScaler et exécutez les commandes NetScaler résultantes à partir du nouveau fichier avec la commande par lots. Par exemple;

    batch -fileName /var/tmp/ns_gateway_secure_access -outfile

    /var/tmp/ns_gateway_secure_access_output

    NetScaler exécute les commandes du fichier une par une. Si une commande échoue, elle continue avec la commande suivante.

    Une commande peut échouer si une ressource existe ou si l’un des paramètres saisis à l’étape 6 est incorrect.

  2. Assurez-vous que toutes les commandes sont exécutées avec succès.

Remarque

En cas d’erreur, NetScaler exécute toujours les commandes restantes et crée/met à jour/lie partiellement les ressources. Par conséquent, si vous voyez une erreur inattendue en raison d’un des paramètres incorrect, il est recommandé de refaire la configuration depuis le début.

Mettre à jour la configuration existante de NetScaler Gateway pour les applications Web et SaaS

Vous pouvez utiliser le script ns_gateway_secure_access_update.shsur une passerelle NetScaler existante pour mettre à jour la configuration des applications Web et SaaS. Toutefois, si vous souhaitez mettre à jour manuellement la configuration existante (NetScaler Gateway version 14.1–4.42 et ultérieures), utilisez les commandes d’exemple pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour les paramètres d’action de session et de serveur virtuel NetScaler Gateway.

Remarque

À partir de NetScaler Gateway 14.1–25.56 et versions ultérieures, vous pouvez activer le plug-in Secure Private Access sur NetScaler Gateway à l’aide de l’interface de ligne de commande NetScaler Gateway ou de l’interface graphique utilisateur. Pour plus de détails, voir Activer le plug-in Secure Private Access sur NetScaler Gateway.

Vous pouvez également utiliser les scripts sur une passerelle NetScaler existante pour prendre en charge l’accès privé sécurisé. Cependant, le script ne met pas à jour les éléments suivants :

  • Serveur virtuel NetScaler Gateway existant
  • Actions de session et stratégies de session existantes liées à NetScaler Gateway

Assurez-vous de vérifier chaque commande avant son exécution et de créer des sauvegardes de la configuration de la passerelle.

Paramètres du serveur virtuel NetScaler Gateway

Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante.

Ajouter un serveur virtuel:

  • tcpProfileName : nstcp_default_XA_XD_profile
  • déploiementType : ICA_STOREFRONT (disponible uniquement avec la commande add vpn vserver )
  • icaOnly : DÉSACTIVÉ

Mettre à jour un serveur virtuel :

  • tcpProfileName : nstcp_default_XA_XD_profile
  • icaOnly : DÉSACTIVÉ

Paramètres des actions de session de NetScaler Gateway

L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez ou mettez à jour une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante.

  • transparentInterception: DÉSACTIVÉ
  • SSO: ACTIVÉ
  • ssoCredential: PRINCIPAL
  • utiliserMIP: NS
  • useIIP: DÉSACTIVÉ
  • icaProxy: DÉSACTIVÉ
  • wihome: "https://storefront.mydomain.com/Citrix/MyStoreWeb" - remplacer par l’URL réelle du magasin. Le chemin vers Store /Citrix/MyStoreWeb est facultatif.
  • ClientChoices: DÉSACTIVÉ
  • ntDomain: mondomaine.com - utilisé pour SSO (facultatif)
  • defaultAuthorizationAction: AUTORISER
  • authorityGroup: SecureAccessGroup (assurez-vous que ce groupe est créé, il est utilisé pour lier les politiques d’autorisation spécifiques à Secure Private Access)
  • clientlessVpnMode: ACTIVÉ
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ACTIVÉ
  • Storefronturl: "https://storefront.mydomain.com"
  • sfGatewayAuthType: domaine

Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante

Ajouter/mettre à jour un serveur virtuel.

  • add vpn vserver SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF
  • set vpn vserver SecureAccess_Gateway -icaOnly OFF

Ajouter une action de session.

  • add vpn sessionAction AC_OSspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.example.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain example.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.example.corp" -sfGatewayAuthType domain
  • add vpn sessionAction AC_WBspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.example.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain example.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.example.corp" -sfGatewayAuthType domain

Ajouter une politique de session.

  • add vpn sessionPolicy PL_OSspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")" AC_OSspaonprem
  • add vpn sessionPolicy PL_WBspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\").NOT" AC_WBspaonprem

Liez la politique de session au serveur virtuel VPN.

  • bind vpn vserver SecureAccess_Gateway -policy PL_OSspaonprem -priority 111 -gotoPriorityExpression NEXT -type REQUEST
  • bind vpn vserver SecureAccess_Gateway -policy PL_WBspaonprem -priority 110 -gotoPriorityExpression NEXT -type REQUEST

Liez le plug-in Secure Private Access au serveur virtuel VPN.

  • bind vpn vserver spaonprem -appController "https://spa.example.corp"

Pour plus de détails sur les paramètres d’action de session, vpn-sessionAction.

Informations supplémentaires

Pour plus d’informations sur NetScaler Gateway for Secure Private Access, consultez les rubriques suivantes :

Configuration de la passerelle NetScaler pour les applications Web/SaaS