NetScaler GatewayとCitrix Endpoint Management
Citrix Endpoint Managementと統合すると、NetScaler Gatewayを経由して内部ネットワークとリソースにリモートデバイスでアクセスできるようになります。Citrix Endpoint Managementにより、デバイス上のアプリからNetScaler GatewayへのMicro VPNが作成されます。
Citrix Gatewayサービス(プレビュー)か、オンプレミスのNetScaler Gateway(NetScaler Gatewayとも呼ばれる)を使用できます。2つのNetScaler Gatewayソリューションの概要については、「Citrix Endpoint Managementで使用するNetScaler Gatewayの構成」を参照してください。
内部ネットワークへのリモートデバイスアクセスに対する認証の構成
-
Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
-
[サーバー] の下の [NetScaler Gateway] をクリックします。[NetScaler Gateway]ページが開きます。次の例では、NetScaler Gatewayインスタンスが1つ存在しています。
-
次の設定を構成します:
- 認証: 認証を有効にするかどうかを選択します。デフォルトは [オン] です。
- 認証用のユーザー証明書を配信: Citrix Endpoint ManagementでCitrix Secure Hubと認証証明書を共有するかを選択します。証明書を共有すると、NetScaler Gatewayでクライアント証明書認証を処理できるようになります。デフォルトは [オフ] です。
- 資格情報プロバイダー: ドロップダウンリストから、使用する資格情報プロバイダーを選択します。詳しくは、「資格情報プロバイダー」を参照してください。
-
[Save] をクリックします。
Citrix Gatewayサービスインスタンスの追加(プレビュー)
認証設定の保存後、NetScaler GatewayインスタンスをCitrix Endpoint Managementに追加します。
-
Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
-
[設定] ページで [NetScaler Gateway] タイルまでスクロールして [セットアップの開始] をクリックします。[NetScaler Gateway]ページが開きます。
-
[Citrix Gatewayサービス(クラウド)] を選択し、Gatewayサービスのリソースの場所を指定します。
- Gatewayサービスのリソースの場所: Citrix Secure Mailを使用する場合は必須です。STAサービスのリソースの場所を指定します。リソースの場所には、構成済みのNetScaler Gatewayが含まれている必要があります。Gatewayサービス用に構成されているリソースの場所を後で削除する必要がある場合は、この設定を更新してください。
これらの設定を完了したら、[接続] をクリックして接続を確立します。新しいNetScaler Gatewayが追加されました。[設定] ページにCitrix Gatewayサービス(クラウド) タイルが表示されます。インスタンスを編集するには、[詳細を表示] をクリックします。選択したリソースの場所でGateway Connectorを使用できない場合は、[Gateway Connectorの追加] をクリックします。画面に表示されるガイダンスに従って、Cloud Connectorをインストールします。Gateway Connectorは、後で追加することもできます。
-
[スクリプトの保存とエクスポート] をクリックします。
- [スクリプトの保存とエクスポート]。ボタンをクリックして設定を保存し、構成バンドルをエクスポートします。バンドルのスクリプトをNetScaler Gatewayにアップロードし、 Citrix Endpoint Managementの設定を使用して構成できます。詳しくは、これらの手順の後で「Citrix Endpoint Managementで使用するオンプレミスのNetScaler Gatewayの構成」を参照してください。
新しいNetScaler Gateway が追加されました。NetScaler Gateway タイルが設定ページに表示されます。インスタンスを編集するには、[詳細を表示] をクリックします。
Citrix Endpoint Managementで使用するオンプレミスのNetScaler Gatewayの構成
Citrix Endpoint Managementで使用するオンプレミスのNetScaler Gatewayを構成するには、以下で説明する一般的な手順を実行します。
-
環境が前提条件を満たしていることを確認します。
-
Citrix Endpoint Managementコンソールからスクリプトバンドルをエクスポートします。
-
バンドルからファイルを抽出します。NetScaler Gatewayでクラシックポリシーのみを使用し、Citrix ADC 13.0以前を実行している場合は、ファイル名に「クラシック」が付いているスクリプトを使用します。拡張ポリシーを使用している場合や、Citrix ADC 13.1以降を実行している場合は、ファイル名に「拡張」が付いているスクリプトを使用します。
-
NetScaler Gatewayで適切なスクリプトを実行します。最新の手順について詳しくは、スクリプトに付属するreadmeファイルを参照してください。
-
構成をテストします。
スクリプトにより、Citrix Endpoint Managementに必要な以下のNetScaler Gatewayの設定が構成されます:
- MDMとMAMに必要なNetScaler Gateway仮想サーバー
- NetScaler Gateway仮想サーバー用セッションポリシー
- Citrix Endpoint Managementサーバーの詳細
- 証明書検証用プロキシロードバランサー
- NetScaler Gateway仮想サーバーの認証ポリシーとアクション。スクリプトによってLDAPの構成設定が説明されます。
- プロキシサーバーのトラフィックアクションとポリシー
- クライアントレスアクセスプロファイル
- NetScaler Gatewayの静的ローカルDNSレコード
- 他のバインディング:サービスポリシー、CA証明書
このスクリプトは以下の構成には対応していません:
- Exchange負荷分散
- Citrix Files負荷分散
- ICAプロキシ構成
- SSLオフロード
NetScaler Gateway構成スクリプトを使用するための前提条件
Citrix Endpoint Managementの要件:
- スクリプトバンドルをエクスポートする前に、Citrix Endpoint ManagementでLDAPとNetScaler Gatewayの設定を完了します。設定を変更した場合は、スクリプトバンドルを再度エクスポートします。
NetScaler Gateway Gatewayの要件:
- NetScaler Gatewayで証明書ベースの認証を使用する場合は、Citrix ADCアプライアンスでSSL証明書を作成する必要があります。「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。
- NetScaler Gateway(最小バージョン11.0、ビルド70.12)
- NetScaler GatewayのIPアドレスが構成済みであり、LDAPサーバーに接続できる(LDAPが負荷分散されていない場合)
- NetScaler GatewayのサブネットIP(SNIP:Subnet IP)アドレスが構成済みであり、必要なバックエンドサーバーに接続でき、ポート8443/TCP経由でパブリックネットワークにアクセスできる
- DNSでパブリックドメインを解決できる
- NetScaler Gatewayにプラットフォーム/ユニバーサルライセンスまたはトライアルライセンスが付与されている。詳しくは、「https://support.citrix.com/article/CTX126049」を参照してください。
Citrix Endpoint Managementからのスクリプトバンドルのエクスポート
認証設定の保存後、NetScaler GatewayインスタンスをCitrix Endpoint Managementに追加します。
-
Citrix Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
-
[設定] ページで [NetScaler Gateway] タイルまでスクロールして [セットアップの開始] をクリックします。[NetScaler Gateway]ページが開きます。
-
[NetScaler Gateway(オンプレミス)] を選択し、次の設定を構成します:
- 名前: NetScaler Gatewayインスタンスの名前を入力します。
-
外部URL: NetScaler Gatewayの、パブリックにアクセスできるURLを入力します。例:
https://receiver.com
。 - ログオンの種類: ログオンの種類を選択します。種類には、[ドメイン]、[セキュリティトークンのみ]、[ドメインおよびセキュリティトークン]、[証明書]、[証明書およびドメイン]、[証明書およびセキュリティトークン] があります。デフォルトは [ドメイン] です。
ドメインが複数ある場合は、[証明書およびドメイン] を使用します。詳しくは、「複数ドメイン認証の構成」を参照してください。
NetScaler Gatewayでの証明書ベースの認証には追加の構成が必要です。たとえば、ルートCA証明書をCitrix ADCアプライアンスにアップロードする必要があります。「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。
詳しくは、展開ハンドブックの「認証」を参照してください。
-
[スクリプトの保存とエクスポート] をクリックします。
- [スクリプトの保存とエクスポート]。ボタンをクリックして設定を保存し、構成バンドルをエクスポートします。バンドルのスクリプトをNetScaler Gatewayにアップロードし、 Citrix Endpoint Managementの設定を使用して構成できます。詳しくは、これらの手順の後で「Citrix Endpoint Managementで使用するオンプレミスのNetScaler Gatewayの構成」を参照してください。
新しいNetScaler Gateway が追加されました。NetScaler Gateway タイルが設定ページに表示されます。インスタンスを編集するには、[詳細を表示] をクリックします。
環境でのスクリプトのインストール
スクリプトバンドルの内容は次のとおりです。
- 詳細説明付きのreadmeファイル
- NetScalerの必須コンポーネントの構成に使用するNetScaler CLIコマンドを含むスクリプト
- パブリックルートCA証明書と中間CA証明書
- NetScalerの構成の削除に使用するNetScaler CLIコマンドを含むスクリプト
-
証明書ファイル(スクリプトバンドルで提供)をCitrix ADCアプライアンスの/nsconfig/ssl/ディレクトリにアップロードしてインストールします。「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。
次の例は、ルート証明書をインストールする方法を示しています。
ルート証明書と中間証明書の両方をインストールしてください。
-
スクリプト(ConfigureCitrixGatewayScript_Classic.txt or ConfigureCitrixGatewayScript_Advanced.txt)を編集して、すべてのプレースホルダーをユーザー環境の詳細情報と置き換えます。
-
スクリプトバンドルに含まれるreadmeファイルの説明に従って、編集済みのスクリプトをNetScalerのbashシェルで実行します。例:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"
スクリプトが完了すると、次の行が表示されます。
構成のテスト
構成を検証するには:
-
NetScaler Gateway仮想サーバーの状態表示が [UP] であることを確認します。
-
Proxy負荷分散仮想サーバーの状態表示が [UP] であることを確認します。
-
Webブラウザーを開いてNetScaler GatewayのURLに接続し、認証を試みます。認証が成功すれば、HTTPステータス404の「見つかりません」メッセージにリダイレクトされます。
-
デバイスを登録して、MDMとMAMの両方に登録されたことを確認します。
複数ドメイン認証の構成
テスト環境、開発環境、および実稼働環境などの複数のCitrix Endpoint Managementインスタンスがある場合は、追加の環境用に手動でNetScaler Gatewayを構成します。(NetScaler for XenMobileウィザードは1回のみ使用できます)。
NetScaler Gateway構成
複数ドメイン環境でNetScaler Gateway認証ポリシーとセッションポリシーを構成するには:
- NetScaler Gateway構成ユーティリティの [構成] タブで [NetScaler Gateway]>[ポリシー]>[認証] を展開します。
- ナビゲーションペインで [LDAP] をクリックします。
-
クリックしてLDAPプロファイルを編集します。[サーバーログオン名の属性] をuserPrincipalName、または検索に使用する属性に変更します。指定した属性を記録します。この属性は、Citrix Endpoint ManagementコンソールでLDAP設定を構成するときに使用します。
- 各LDAPポリシーに対してこれらの手順を繰り返します。ドメインごとに個別のLDAPポリシーが必要です。
- NetScaler Gateway仮想サーバーにバインドされたセッションポリシーで、[Edit session profile]>[Published Applications] に移動します。[Single Sign-On Domain] は空白にしてください。
Citrix Endpoint Management構成
Citrix Endpoint ManagementのLDAPを複数ドメイン環境に構成するには:
-
Citrix Endpoint Managementコンソールで、[設定]>[LDAP] に移動し、ディレクトリを追加または編集します。
-
情報を指定します。
-
[ドメインエイリアス] でユーザー認証に使用する各ドメインを指定します。ドメインはコンマで区切り、ドメイン間にはスペースを入れないでください。例:domain1.com,domain2.com,domain3.com
-
[ユーザー検索基準] フィールドがNetScaler Gateway LDAPポリシーで指定された [サーバーログオン名の属性] と一致するようにしてください。
-
特定のURLへの受信接続要求を破棄
ご使用の環境のNetScaler GatewayがSSLオフロード用に構成されている場合は、ゲートウェイで特定のURLへの受信接続要求が破棄されるようにすることができます。この方法でセキュリティを強化する必要がある場合は、Citrix Cloud Operationsに連絡し、使用しているIPアドレスをオンプレミスデータセンターで許可するよう依頼してください。