NetScaler Gateway
NetScaler Gateway 構成は、Web/SaaSアプリケーションとTCP/UDPアプリケーションの両方でサポートされています。NetScaler Gatewayを作成するか、既存のNetScaler Gateway構成を更新してSecure Private Accessを実現できます。これらの変更を適用する前に、NetScalerスナップショットを作成するか、NetScaler構成を保存することをお勧めします。
Web/SaaSおよびTCP/UDPアプリケーションのNetScaler Gateway構成の詳細については、以下のトピックを参照してください:
ICA アプリとの互換性
Secure Private Accessプラグインをサポートするように作成または更新されたNetScaler Gatewayを使用して、ICAアプリを列挙して起動することもできます。この場合、Secure Ticket Authority(STA)を構成し、NetScaler Gatewayにバインドする必要があります。
注:
STAサーバーは通常、Citrix Virtual Apps and Desktops 導入環境の一部です。
詳細については、以下のトピックを参照してください:
- NetScaler Gateway でのSecure Ticket Authority 構成
- よくある質問:Citrix Secure Gateway/NetScaler Gateway Secure Ticket Authority
スマートアクセスタグのサポート
注:
- このセクションに記載されている情報は、NetScaler Gatewayのバージョンが14.1~25.56より前の場合にのみ適用されます。
- NetScaler Gatewayのバージョンが14.1~25.56以降の場合は、CLIまたはGUIを使用してNetScaler GatewayのSecure Private Accessプラグインを有効にできます。詳しくは、「 NetScaler GatewayでのSecure Private Accessプラグインの有効化」を参照してください。
次のバージョンでは、NetScaler Gatewayがタグを自動的に送信します。スマートアクセスタグを取得するためにゲートウェイコールバックアドレスを使用する必要はありません。
- 13.1—48.47 およびそれ以降
- 14.1—4.42 およびそれ以降
スマートアクセスタグは、Secure Private Accessプラグインリクエストのヘッダーとして追加されます。
これらのNetScalerバージョンでは、トグルns_vpn_enable_spa_onprem
またはns_vpn_disable_spa_onprem
を使用してこの機能を有効/無効にします。
-
コマンド (FreeBSD シェル) で切り替えることができます:
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
-
次のコマンド (FreeBSD シェル) を実行して、HTTP コールアウト設定の SecureBrowse クライアントモードを有効にします。
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
-
アクセスが拒否された場合、「アクセス制限」ページへのリダイレクトを有効にします。
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
-
CDN でホストされている「アクセス制限」ページを使用してください。
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
-
無効にするには、同じコマンドをもう一度実行します。
-
トグルがオンかオフかを確認するには、
nsconmsg
コマンドを実行します。 -
NetScaler Gatewayでスマートアクセスタグを構成するには、「コンテキストタグの構成」を参照してください。
NetScalerでSecure Private Access プラグインの設定を保持
Secure Private Accessプラグインの設定をNetScalerに保持するには、次の操作を行います:
- /nsconfig/rc.netscaler ファイルを作成または更新します。
-
次のコマンドをファイルに追加します。
nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode
nsapimgr_wr.sh -ys call=toggle_vpn_redirect_to_access_restricted_page_on_deny
nsapimgr_wr.sh -ys call=toggle_vpn_use_cdn_for_access_restricted_page
- ファイルを保存します。
Secure Private Access プラグインの設定は、NetScalerの再起動時に自動的に適用されます。
NetScaler Gateway でSecure Private Accessプラグインを有効にする
NetScaler Gateway 14.1~25.56以降では、NetScaler Gateway CLIまたはGUIを使用してNetScaler GatewayのSecure Private Accessプラグインを有効にできます。この構成は、2407より前のバージョンで使用されていたnsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem
ノブに代わるものです。
CLI:
コマンドプロンプトで、次のコマンドを入力します:
set vpn parameter -securePrivateAccess ENABLED
GUI:
- [ NetScaler Gateway]>[グローバル設定]>[NetScaler Gateway のグローバル設定の変更]に移動します。
- [セキュリティ] タブをクリックします。
- 「 Secure Private Access」で、「 有効」を選択します。
パブリックゲートウェイ証明書をアップロード
パブリックゲートウェイにSecure Private Accessマシンからアクセスできない場合は、パブリックゲートウェイ証明書をSecure Private Accessデータベースにアップロードする必要があります。
パブリックゲートウェイ証明書をアップロードするには、次の手順を実行します。
- 管理者権限で PowerShell またはコマンドプロンプトウィンドウを開きます。
- ディレクトリを Secure Private Access インストールフォルダの下の Admin\ AdminConfigTool フォルダに変更します (たとえば、cd「C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ Admin\ AdminConfigTool」など)
-
次のコマンドを実行します:
\AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>
既知の制限事項
- 既存のNetScaler Gatewayはスクリプトで更新できますが、1つのスクリプトでは対応できないNetScaler構成は無限にあります。
- NetScaler Gateway ではICAプロキシを使用しないでください。この機能は、NetScaler Gatewayが構成されている場合は無効になります。
- クラウドに展開されたNetScalerを使用する場合は、ネットワークを変更する必要があります。たとえば、特定のポートでNetScalerと他のコンポーネント間の通信を許可します。
- NetScaler GatewayでSSOを有効にする場合は、NetScalerがプライベートIPアドレスを使用してStoreFront と通信することを確認してください。StoreFrontのプライベートIPアドレスを使用してStoreFront のDNSレコードをNetScalerに追加する必要がある場合があります。