Linux Virtual Delivery Agent

Rendezvous V1

Dans les environnements qui utilisent le service Citrix Gateway, le protocole Rendezvous permet aux sessions HDX de contourner Citrix Cloud Connector et de se connecter directement et en toute sécurité avec le plan de contrôle Citrix Cloud.

Exigences

  • Accès à l’environnement à l’aide du service Citrix Workspace et Citrix Gateway.
  • Plan de contrôle : Citrix DaaS (anciennement Citrix Virtual Apps and Desktops Service).
  • VDA Linux version 2112 ou ultérieure.
  • Activez le protocole Rendezvous dans la stratégie Citrix. Pour plus d’informations, consultez la section Paramètre de stratégie de protocole Rendezvous.
  • Les VDA doivent avoir accès à https://*.nssvc.net, y compris tous les sous-domaines. Si vous ne pouvez pas mettre en liste blanche tous les sous-domaines de cette manière, utilisez plutôt https://*.c.nssvc.net et https://*.g.nssvc.net. Pour plus d’informations, reportez-vous à la section Exigences en termes de connexion Internet de la documentation Citrix Cloud (sous Virtual Apps and Desktop service) et à l’article du centre de connaissances CTX270584.
  • Les Cloud Connector doivent obtenir les noms de domaine complets des VDA lors de la négociation d’une session. Pour atteindre cet objectif, activez la résolution DNS pour le site : à l’aide du SDK Citrix DaaS Remote PowerShell, exécutez la commande Set-BrokerSite -DnsResolutionEnabled $true. Pour plus d’informations sur le SDK Citrix DaaS Remote PowerShell, reportez-vous à la section SDK et API.

Configuration du proxy

Le VDA prend en charge les connexions Rendezvous via un proxy HTTP.

Considérations relatives au proxy

Prenez les points suivants en considération lors de l’utilisation de proxy avec Rendezvous :

  • Les proxys HTTP non transparents sont pris en charge.

  • Le décryptage et l’inspection des paquets ne sont pas pris en charge. Configurez une exception afin que le trafic ICA entre le VDA et le service de passerelle ne soit pas intercepté, décrypté ou inspecté. Sinon, la connexion est interrompue.

  • Les proxies HTTP prennent en charge l’authentification basée sur une machine à l’aide de Negotiate et des protocoles d’authentification Kerberos. Lorsque vous vous connectez au serveur proxy, le schéma d’authentification Negotiate sélectionne automatiquement le protocole Kerberos. Kerberos est le seul schéma pris en charge par le Linux VDA.

    Remarque :

    Pour utiliser Kerberos, vous devez créer le nom principal de service (SPN) du serveur proxy et l’associer au compte Active Directory du proxy. Le VDA génère le SPN au format HTTP/<proxyURL> lorsqu’il établit une session, où l’URL du proxy est extraite du paramètre de stratégie proxy Rendezvous. Si vous ne créez pas de nom principal de service, l’authentification échoue.

  • Pour un proxy HTTP, utilisez TCP comme protocole de transport pour ICA.

Proxy non transparent

Si vous utilisez un proxy non transparent sur votre réseau, configurez le paramètre Configuration du proxy Rendezvous. Lorsque le paramètre est activé, spécifiez l’adresse proxy HTTP pour que le VDA sache quel proxy utiliser. Par exemple :

  • Adresse proxy : http://<URL or IP>:<port>

Validation de Rendezvous

Si vous remplissez toutes les conditions requises, procédez comme suit pour confirmer si Rendezvous est utilisé :

  1. Lancez un terminal sur le VDA.
  2. Exécutez /opt/Citrix/VDA/bin/ctxquery -f iP.
  3. Les protocoles de transport utilisés indiqueront le type de connexion :
    • TCP Rendezvous: TCP - TLS - CGP - ICA
    • EDT Rendezvous : UDP - DTLS - CGP - ICA
    • Proxy via Cloud Connector : TCP - CGP - ICA

Conseil :

Si vous activez Rendezvous et que le VDA ne parvient pas à atteindre directement le service Citrix Gateway, le VDA revient au proxy de la session HDX via le Cloud Connector.

Fonctionnement de Rendezvous

Ce diagramme donne une vue d’ensemble du flux de connexion Rendezvous.

Présentation du protocole Rendezvous

Suivez les étapes pour comprendre le flux.

  1. Accédez à Citrix Workspace.
  2. Entrez les informations d’identification dans Citrix Workspace.
  3. Si vous utilisez un Active Directory local, Citrix DaaS authentifie les informations d’identification avec Active Directory à l’aide du canal Cloud Connector.
  4. Citrix Workspace affiche les ressources énumérées depuis Citrix DaaS.
  5. Sélectionnez des ressources dans Citrix Workspace. Citrix DaaS envoie un message au VDA pour préparer une session entrante.
  6. Citrix Workspace envoie un fichier ICA au point de terminaison qui contient un ticket STA généré par Citrix Cloud.
  7. Le point de terminaison se connecte au service Citrix Gateway, fournit le ticket pour se connecter au VDA et Citrix Cloud valide le ticket.
  8. Le service Citrix Gateway envoie des informations de connexion au Cloud Connector. Le Cloud Connector détermine si la connexion est une connexion Rendezvous et envoie les informations au VDA.
  9. Le VDA établit une connexion directe au service Citrix Gateway.
  10. Si une connexion directe entre le VDA et le service Citrix Gateway n’est pas possible, le VDA effectue via proxy sa connexion au Cloud Connector.
  11. Le service Citrix Gateway établit une connexion entre le point de terminaison et le VDA.
  12. Le VDA vérifie sa licence avec Citrix DaaS via Cloud Connector.
  13. Citrix DaaS envoie des stratégies de session au VDA via Cloud Connector. Ces stratégies sont appliquées.
Rendezvous V1