NetScaler Gateway Gatewayの構成
重要:これらの変更を適用する前に
、NetScalerスナップショットを作成するか、NetScaler構成を保存することをお勧めします。
-
https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.htmlからスクリプトをダウンロードします。
新しいNetScaler Gateway を作成するには、ns_gateway_secure_access.sh を使用します。 既存のNetScaler Gatewayを更新するには、ns_gateway_secure_access_update.shを使用します。
-
これらのスクリプトをNetScalerマシンにアップロードします。WinSCP アプリまたは SCP コマンドを使用できます。例:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
。注:
- 一時データを保存するには、NetScaler /var/tmpフォルダーを使用することをお勧めします。
- ファイルが LF 行末で保存されていることを確認してください。FreeBSD は CRLF をサポートしていません。
- エラー
-bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory
が表示される場合は 、行末が正しくないことを意味します。スクリプトは、Notepad++ などの任意のリッチテキストエディタを使用して変換できます。
- NetScalerにSSH接続し、シェルに切り替えます(NetScaler CLIでは「シェル」と入力します)。
-
アップロードしたスクリプトを実行可能にします。そのためには chmod コマンドを使用してください。
chmod +x /var/tmp/ns_gateway_secure_access.sh
-
アップロードしたスクリプトをNetScalerシェルで実行します。
-
必須パラメータを入力します。パラメータのリストについては、「 前提条件」を参照してください。
認証プロファイルとSSL証明書については、NetScalerで名前を指定する必要があります。
複数のNetScalerコマンド(デフォルトはvar/tmp/ns_gateway_secure_access)を含む新しいファイルが生成されます。
-
NetScaler CLIに切り替え、新しいファイルから生成されたNetScalerコマンドをバッチコマンドで実行します。例:
batch -fileName /var/tmp/ns_gateway_secure_access -outfile /var/tmp/ns_gateway_secure_access_output
NetScalerは、ファイルからコマンドを1つずつ実行します。コマンドが失敗すると、次のコマンドに進みます。
リソースが存在するか、ステップ 6 で入力したパラメータのいずれかが正しくない場合、コマンドは失敗する可能性があります。
- すべてのコマンドが正常に完了したことを確認します。
注:
エラーが発生しても、NetScalerは残りのコマンドを実行し、リソースを部分的に作成、更新、バインドします。したがって、いずれかのパラメータが正しくないために予期しないエラーが発生した場合は、最初から構成をやり直すことをお勧めします。
既存の構成を使用してNetScaler GatewayにSecure Private Accessを構成する
既存のNetScaler Gateway上のスクリプトを使用して、Secure Private Accessをサポートすることもできます。ただし、このスクリプトは以下を更新しません:
- 既存のNetScaler Gateway 仮想サーバー
- NetScaler Gatewayにバインドされた既存のセッションアクションとセッションポリシー
実行前に各コマンドを確認し、ゲートウェイ構成のバックアップを作成してください。
NetScaler Gateway仮想サーバーの設定
既存のNetScaler Gateway仮想サーバーを追加または更新するときは、次のパラメーターが定義済みの値に設定されていることを確認してください。
tcpProfileName: nstcp_default_XA_XD_profile deploymentType: ICA_STOREFRONT icaOnly: OFF
例:
仮想サーバーを追加するには:
`add vpn vserver _SecureAccess_Gateway SSL 333.333.333.333 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF`
仮想サーバーを更新するには:
`set vpn vserver _SecureAccess_Gateway -icaOnly OFF`
仮想サーバーのパラメータの詳細については、 vpn-sessionActionを参照してください。
NetScaler Gateway セッションアクション
セッションアクションは、セッションポリシーを使用してゲートウェイ仮想サーバーにバインドされます。セッションアクションを作成するときは、次のパラメータが定義済みの値に設定されていることを確認してください。
-
transparentInterception
: オフ -
SSO
: オン -
ssoCredential
: プライマリ -
useMIP
: NS -
useIIP
: オフ -
icaProxy
: オフ -
wihome
:"https://storefront.mydomain.com/Citrix/MyStoreWeb"
-実際のストア URL に置き換える -
ClientChoices
: オフ -
ntDomain
: mydomain.com-SSO に使用 -
defaultAuthorizationAction
: 許可 -
authorizationGroup
: SecureAccessGroup (このグループが作成されていることを確認してください。このグループはSecure Private Access固有の認証ポリシーをバインドするために使用されています) -
clientlessVpnMode
: オン -
clientlessModeUrlEncoding
: 透明 -
SecureBrowse
: 有効 -
Storefronturl
:"https://storefront.mydomain.com"
-
sfGatewayAuthType
: ドメイン
例:
セッションアクションを追加するには:
add vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.mydomain.com/Citrix/MyStoreWeb" -ClientChoices OFF -ntDomain mydomain.com -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.mydomain.com" -sfGatewayAuthType domain
セッションアクションを更新するには:
set vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON
セッションアクションパラメータの詳細については、を参照してください https://developer-docs.netscaler.com/en-us/adc-command-reference-int/13-1/vpn/vpn-sessionaction。
ICA アプリとの互換性
Secure Private Accessプラグインをサポートするように作成または更新されたNetScaler Gatewayを使用して、ICAアプリを列挙して起動することもできます。この場合、Secure Ticket Authority(STA)を構成し、NetScaler Gatewayにバインドする必要があります。 注:STAサーバーは通常、Citrix Virtual Apps and Desktops のDDC展開の一部です。
詳細については、以下のトピックを参照してください:
- NetScaler Gateway でのSecure Ticket Authority 構成
- よくある質問:Citrix Secure Gateway/NetScaler Gateway Secure Ticket Authority
スマートアクセスタグのサポート
次のバージョンでは、NetScaler Gatewayがタグを自動的に送信します。スマートアクセスタグを取得するためにゲートウェイコールバックアドレスを使用する必要はありません。
- 13.1.48.47 およびそれ以降
- 14.1—4.42 およびそれ以降
スマートアクセスタグは、Secure Private Accessプラグインリクエストのヘッダーとして追加されます。
これらのNetScalerバージョンでは、トグルns_vpn_enable_spa_onprem
またはns_vpn_disable_spa_onprem
を使用してこの機能を有効/無効にします。
-
コマンド (FreeBSD シェル) で切り替えることができます:
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
-
次のコマンド (FreeBSD シェル) を実行して、HTTP コールアウト設定の SecureBrowse クライアントモードを有効にします。
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
-
無効にするには、同じコマンドをもう一度実行します。
-
トグルがオンかオフかを確認するには、
nsconmsg
コマンドを実行します。 -
NetScaler Gatewayでスマートアクセスタグを構成するには、「NetScaler Gatewayでのカスタムタグ (SmartAccessタグ) の設定」を参照してください。
既知の制限事項
- 既存のNetScaler Gatewayはスクリプトで更新できますが、1つのスクリプトでは対応できないNetScaler構成は無限にあります。
- NetScaler Gateway ではICAプロキシを使用しないでください。この機能は、NetScaler Gatewayが構成されている場合は無効になります。
- クラウドに展開されたNetScalerを使用する場合は、ネットワークにいくつかの変更を加える必要があります。たとえば、特定のポートでNetScalerと他のコンポーネント間の通信を許可します。
- NetScaler GatewayでSSOを有効にする場合は、NetScalerがプライベートIPアドレスを使用してStoreFront と通信することを確認してください。StoreFrontのプライベートIPアドレスを使用して、新しいStoreFront DNSレコードをNetScalerに追加する必要がある場合があります。
パブリックゲートウェイ証明書をアップロード
パブリックゲートウェイにSecure Private Accessマシンからアクセスできない場合は、パブリックゲートウェイ証明書をSecure Private Accessデータベースにアップロードする必要があります。
パブリックゲートウェイ証明書をアップロードするには、次の手順を実行します。
- 管理者権限で PowerShell またはコマンドプロンプトウィンドウを開きます。
- ディレクトリを Secure Private Access インストールフォルダの下の Admin\ AdminConfigTool フォルダに変更します (たとえば、cd「C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ Admin\ AdminConfigTool」など)
-
次のコマンドを実行します:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>