XenMobile Server

Citrix Gateway et XenMobile

Lorsque vous configurez Citrix Gateway à l’aide de XenMobile, vous établissez le mécanisme d’authentification utilisé par les appareils distants pour accéder au réseau interne. Cette fonctionnalité permet aux applications sur un appareil mobile d’accéder à des serveurs d’entreprise dans l’intranet. XenMobile crée un micro VPN depuis les applications vers Citrix Gateway sur l’appareil.

Vous configurez Citrix Gateway pour une utilisation avec XenMobile en exportant un script depuis XenMobile que vous exécutez sur Citrix Gateway.

Conditions préalables à l’utilisation du script de configuration de Citrix Gateway

Configuration requise pour Citrix ADC :

  • Citrix ADC (version minimale 11.0, Build 70.12).
  • L’adresse IP Citrix ADC est configurée et peut se connecter au serveur LDAP, à moins d’un équilibrage de charge de LDAP.
  • L’adresse IP de sous-réseau de Citrix ADC (SNIP) est configurée, peut se connecter aux serveurs back-end nécessaires et dispose d’un accès réseau public sur le port 8443/TCP.
  • DNS peut résoudre les domaines publics.
  • Citrix ADC est utilisé sous licence Platform/Universal ou d’évaluation. Pour de plus amples informations, consultez https://support.citrix.com/article/CTX126049.
  • Un certificat SSL de Citrix Gateway est téléchargé et installé sur Citrix ADC. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX136023.

Configuration requise pour XenMobile :

  • XenMobile Server (version minimum 10.6).
  • Serveur LDAP configuré.

Configurer l’authentification pour un accès à distance au réseau interne

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche. Dans l’exemple suivant, il existe une instance Citrix Gateway.

    Écran de configuration de Citrix Gateway

  3. Pour configurer ces paramètres :

    • Authentification : sélectionnez cette option pour activer l’authentification. La valeur par défaut est Activé.
    • Délivrer un certificat utilisateur pour l’authentification : indiquez si vous voulez que XenMobile partage le certificat d’authentification avec Secure Hub afin que Citrix Gateway gère l’authentification du certificat client. La valeur par défaut est Désactivé.
    • Fournisseur d’identités : dans la liste, cliquez sur le fournisseur d’identités. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
  4. Cliquez sur Enregistrer.

Ajouter une instance Citrix Gateway

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance Citrix Gateway à XenMobile.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche.

  3. Cliquez sur Ajouter. La page Ajouter Citrix Gateway apparaît.

    Écran de configuration de Citrix Gateway

  4. Pour configurer ces paramètres :

    • Nom : entrez un nom pour l’instance Citrix Gateway.
    • Alias : si vous le souhaitez, vous pouvez inclure un alias pour Citrix Gateway.
    • URL externe : entrez l’adresse URL publiquement accessible de Citrix Gateway. Par exemple, https://receiver.com.
    • Type d’ouverture de session : choisissez un type d’ouverture de session. Les types disponibles sont les suivants : Domaine uniquement, Jeton de sécurité uniquement, Domaine et jeton de sécurité, Certificat, Certificat et domaine et Certificat et jeton de sécurité. La valeur par défaut pour le champ Mot de passe requis change selon le Type d’ouverture de session sélectionné. La valeur par défaut est Domaine uniquement.

    Si vous disposez de plusieurs domaines, utilisez Certificat et domaine. Pour plus d’informations sur la configuration de l’authentification multi-domaines avec XenMobile et Citrix Gateway, consultez la section Configuration de l’authentification multi-domaines.

    Si vous utilisez Certificat et jeton de sécurité, une configuration supplémentaire est requise sur Citrix Gateway pour la prise en charge de Secure Hub. Pour de plus amples informations, consultez la section Configuration de XenMobile pour l’authentification par certificat et jeton de sécurité.

    Pour plus d’informations, consultez la section Authentification dans le manuel de déploiement.

    • Mot de passe requis : indiquez si vous souhaitez demander l’authentification par mot de passe. La valeur par défaut varie selon le Type d’ouverture de session choisi.
    • Définir par défaut : indiquez si cette passerelle Citrix Gateway doit être utilisée par défaut. La valeur par défaut est Désactivé.
    • Exporter le script de configuration : cliquez sur le bouton pour exporter un bundle de configuration que vous chargerez sur Citrix Gateway pour le configurer avec les paramètres de XenMobile. Pour plus d’informations, consultez « Configurer une instance Citrix Gateway locale à utiliser avec XenMobile Server » après cette procédure.
    • URL de rappel et Adresse IP virtuelle : enregistrez vos paramètres avant d’ajouter ces champs. Pour plus d’informations, consultez la section Ajouter une URL de rappel et une adresse IP virtuelle de VPN Citrix Gateway dans cet article.
  5. Cliquez sur Enregistrer.

    La nouvelle passerelle Citrix Gateway est ajoutée et s’affiche dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

Configurer une instance Citrix Gateway à utiliser avec XenMobile Server

Pour configurer une instance Citrix Gateway locale pour une utilisation avec XenMobile, vous devez effectuer les étapes générales suivantes, détaillées dans cet article :

  1. Téléchargez un script et les fichiers associés depuis XenMobile Server. Pour plus d’informations, consultez le fichier Lisez-moi accompagnant le script pour accéder aux instructions détaillées les plus récentes.

  2. Vérifiez que votre environnement répond à la configuration requise.

  3. Mettez à jour le script pour votre environnement.

  4. Exécutez le script sur Citrix ADC.

  5. Testez la configuration.

Le script configure les paramètres Citrix Gateway suivants requis par XenMobile :

  • Serveurs virtuels Citrix Gateway requis pour le mode MDM et MAM
  • Stratégies de session pour les serveurs virtuels Citrix Gateway
  • Détails XenMobile Server
  • Stratégies d’authentification et Actions pour le serveur virtuel Citrix Gateway. Le script décrit les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur Citrix ADC
  • Autres liaisons : stratégie de service, certificat d’autorité de certification

Le script ne prend pas en charge la configuration suivante :

  • Équilibrage de charge Exchange
  • Equilibrage de charge Citrix Files
  • Configuration du proxy ICA
  • Déchargement SSL

Pour télécharger, mettre à jour et exécuter le script

  1. Si vous ajoutez Citrix Gateway, cliquez sur Exporter le script de configuration sur la page Ajouter nouveau Citrix Gateway.

    Écran de configuration de Citrix Gateway

    Ou, si vous ajoutez une instance Citrix Gateway et cliquez sur Enregistrer avant d’exporter le script : revenez à Paramètres > Citrix Gateway, sélectionnez Citrix ADC, cliquez sur Exporter le script de configuration, puis cliquez sur Télécharger.

    Écran de configuration de Citrix Gateway

    Après avoir cliqué sur Exporter le script de configuration, XenMobile crée un bundle de script tar.gz. Le bundle de script inclut les éléments suivants :

    • Fichier Lisez-moi avec instructions détaillées
    • Script contenant les commandes d’interface de ligne de commande Citrix ADC permettant de configurer les composants requis dans Citrix ADC
    • Certificat d’autorité de certification racine public et certificat d’autorité de certification intermédiaire de XenMobile Server (ces certificats, pour le déchargement SSL, ne sont pas nécessaires pour la version actuelle)
    • Script contenant les commandes d’interface de ligne de commande Citrix ADC permettant de supprimer la configuration de Citrix ADC
  2. Modifiez le script (NSGConfigBundle_CREATESCRIPT.txt) en remplaçant tous les espaces réservés avec les détails de votre environnement.

    Exemple de fichier de script

  3. Exécutez le script modifié dans le shell bash Citrix ADC, comme décrit dans le fichier Lisez-moi accompagnant le bundle de script. Par exemple :

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    shell bash de Citrix ADC

    Lorsque le script prend fin, les lignes suivantes s’affichent.

    shell bash de Citrix ADC

Tester la configuration

  1. Vérifiez que le serveur virtuel Citrix Gateway affiche un état Actif.

    Écran de configuration Citrix ADC VPX

  2. Vérifiez que le serveur virtuel d’équilibrage de charge du proxy indique un état Actif.

    Écran de configuration Citrix ADC VPX

  3. Ouvrez un navigateur Web, connectez-vous à l’adresse URL de Citrix Gateway et essayez de vous authentifier. Si l’authentification échoue, ce message s’affiche : État HTTP 404 - introuvable

  4. Inscrivez un appareil et assurez-vous qu’il est inscrit auprès de MDM et MAM.

Ajouter une URL de rappel et une adresse IP virtuelle de VPN Citrix Gateway

Après avoir ajouté l’instance Citrix Gateway, vous pouvez ajouter une adresse URL de rappel et spécifier l’adresse IP virtuelle d’une appliance Citrix Gateway. Ces paramètres sont facultatifs, mais peut être configurée pour plus de sécurité, plus particulièrement lorsque XenMobile Server est dans la DMZ.

  1. Dans Paramètres > Citrix Gateway, sélectionnez l’instance NetScaler Gateway et cliquez sur Modifier.

  2. Dans le tableau, cliquez sur Ajouter.

  3. Pour URL de rappel, entrez le nom de domaine complet. L’URL de rappel vérifie que la demande provient de Citrix Gateway.

    Assurez-vous que l’URL de rappel devient une adresse IP qui est accessible à partir de XenMobile Server. L’URL de rappel peut être une URL Citrix Gateway externe ou d’autres URL.

  4. Entrez l’adresse IP virtuelle Citrix Gateway et cliquez sur Enregistrer.

Configuration de l’authentification multi-domaines

Si vous disposez de plusieurs instances XenMobile Server, telles que les environnements de test, de développement et de production, configurez manuellement Citrix Gateway pour les environnements supplémentaires. (Vous ne pouvez exécuter l’assistant Citrix ADC for XenMobile qu’une seule fois.)

Configuration de Citrix Gateway

Pour configurer les stratégies d’authentification Citrix Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’onglet Configuration de l’outil de configuration Citrix Gateway, développez Citrix Gateway > Policies > Authentication.
  2. Dans le panneau de navigation, cliquez sur LDAP.
  3. Cliquez pour modifier le profil LDAP. Définissez Server Logon Name Attribute sur userPrincipalName ou sur l’attribut que vous souhaitez utiliser pour vos recherches. Prenez note de l’attribut que vous spécifiez pour en disposer lors de la configuration des paramètres LDAP dans la console XenMobile.

    Écran de configuration de Citrix Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel Citrix Gateway, accédez à Edit session profile > Published Applications. Assurez-vous que le champ Single Sign-On Domain est vide.

Configuration de XenMobile Server

Pour configurer LDAP pour un environnement XenMobile multi-domaine :

  1. Dans la console XenMobile, accédez à Settings > LDAP et ajoutez ou modifiez un répertoire.

    Écran de paramètres XenMobile LDAP

  2. Entrez les informations.

    • Sous Alias de domaine, spécifiez chaque domaine à utiliser pour l’authentification utilisateur. Séparez les domaines avec une virgule et n’insérez pas d’espaces entre les domaines. Pa exemple : domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champ User search by correspond à l’attribut Server Logon Name Attribute spécifié dans la stratégie LDAP Citrix Gateway.

    Écran de paramètres XenMobile LDAP

Supprimer les demandes de connexion entrante vers des adresses URL spécifiques

Dans votre environnement, si Citrix Gateway est configuré pour le déchargement SSL, vous pouvez souhaiter que la passerelle supprime les demandes de connexion entrante pour des adresses URL spécifiques.

Si vous souhaitez ajouter cette sécurité supplémentaire, configurez les deux serveurs virtuels d’équilibrage de charge MDM (un pour le port 443 et un pour le port 8443) sur Citrix Gateway. Utilisez les informations suivantes comme modèle pour vos paramètres.

Important :

Les mises à jour suivantes concernent uniquement une instance Citrix Gateway configurée pour le déchargement SSL.

  1. Créez une séquence de modèles et nommez-la XMS_DropURLs.

    add policy patset XMS_DropURLs
    <!--NeedCopy-->
    
  2. Ajoutez les adresses URL suivantes à la nouvelle séquence de modèles. Personnalisez cette liste si nécessaire.

    bind policy patset XMS_DropURLs /zdm/shp/console -index 6
    
    bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5
    
    bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4
    
    bind policy patset XMS_DropURLs /zdm/log.jsp -index 3
    
    bind policy patset XMS_DropURLs /zdm/login.jsp -index 2
    
    bind policy patset XMS_DropURLs /zdm/console -index 1
    <!--NeedCopy-->
    
  3. Créez une stratégie pour supprimer tout le trafic vers ces adresses URL, sauf si la demande de connexion provient du sous-réseau spécifié.

    add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT &&
    HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed"
    <!--NeedCopy-->
    
  4. Liez la nouvelle stratégie aux deux serveurs virtuels d’équilibrage de charge MDM (ports 443 et 8443).

    bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST
    
    bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    
  5. Bloquer l’accès aux URL MAM via le navigateur

    L’accès à l’URL MAM directement via le navigateur invite les utilisateurs à saisir leurs informations d’identification Active Directory. Bien qu’il agisse comme un outil permettant aux utilisateurs de valider leurs informations d’identification, certains utilisateurs peuvent le percevoir comme une violation de sécurité. La section suivante vous aide à restreindre l’accès du navigateur à l’URL MAM (VIP NetScaler Gateway), à l’aide de la fonctionnalité Responder Policy de NetScaler.

    Créez l’une des stratégies de répondeur suivantes et liez-la à votre serveur virtuel NetScaler Gateway :

    • add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    Liez au serveur virtuel NetScaler Gateway à l’aide de bind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST

    Remarque :

    _XM_XenMobileGateway est un exemple de nom de serveur virtuel NetScaler Gateway.