Citrix Gateway e XenMobile
Quando você configura o Citrix Gateway usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o Citrix Gateway.
Você configura o Citrix Gateway para uso com o XenMobile exportando um script do XenMobile executado no Citrix Gateway.
Pré-requisitos para usar o script de configuração do Citrix Gateway
Requisitos do Citrix ADC:
- Citrix ADC (versão mínima 11.0, Compilação 70.12).
- O endereço IP do Citrix ADC deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
- O endereço IP do Citrix ADC Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
- O DNS deve poder resolver domínios públicos.
- O Citrix ADC deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consulte https://support.citrix.com/article/CTX126049.
- Um certificado SSL do Citrix Gateway é carregado e instalado no Citrix ADC. Para obter informações, consulte https://support.citrix.com/article/CTX136023.
Requisitos do XenMobile:
- XenMobile Server (versão mínima 10.6).
- O servidor LDAP deve estar configurado.
Configurar a autenticação para o acesso de dispositivos remotos à rede interna
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.
-
Em Servidor, clique em Citrix Gateway. A página do Citrix Gateway é exibida. No exemplo a seguir, existe uma instância do Citrix Gateway.
-
Defina estas configurações:
- Autenticação: selecione se a autenticação deve ser ativada. O padrão é Ativado.
- Entregar certificado de usuário para autenticação: selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub, para habilitar o Citrix Gateway para manipular a autenticação de certificado cliente. O padrão é O.
- Provedor de credenciais: na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulte Provedores de credenciais.
-
Clique em Save.
Adicionar uma instância do Citrix Gateway
Depois de salvar as configurações de autenticação, adicione uma instância do Citrix Gateway ao XenMobile.
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.
-
Em Servidor, clique em Citrix Gateway. A página do Citrix Gateway é exibida.
-
Clique em Add. A página Adicionar novo Citrix Gateway é exibida.
-
Defina estas configurações:
- Nome: digite um nome para a instância do Citrix Gateway.
- Alias: inclua opcionalmente um nome de alias para o Citrix Gateway.
-
URL externa: digite a URL acessível publicamente do Citrix Gateway. Por exemplo,
https://receiver.com
. - Tipo de login: escolha um tipo de login. Os tipos incluem Somente domínio, Somente token de segurança, Domínio e token de segurança, Certificado, Certificado e domínio e Certificado e token de segurança. A configuração padrão para o campo Senha obrigatória muda com base no Tipo de login selecionado. O padrão é Somente domínio.
Se você tiver vários domínios, use Certificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o Citrix Gateway, consulte Configurar a autenticação para vários domínios.
Se você usar Certificado e token de segurança, não necessárias configurações adicionais no Citrix Gateway para dar suporte ao Secure Hub. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.
Para obter mais informações, consulte Autenticação no Manual de implantação.
- Senha obrigatória: selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com o Tipo de login escolhido.
- Definir como padrão: selecione se esse Citrix Gateway deve ser usado como padrão. O padrão é O.
- Exportar script de configuração: clique no botão para exportar um pacote de configuração carregado no Citrix Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um Citrix Gateway local para uso com o XenMobile Server”, após estas etapas.
- URL de retorno de chamada e IP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulte Adicionar uma URL de retorno de chamada e um IP virtual de Citrix Gateway VPN, neste artigo.
-
Clique em Save.
O novo Citrix Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.
Configurar um Citrix Gateway para uso com o XenMobile Server
Para configurar um Citrix Gateway local para uso com o XenMobile, realize as seguintes etapas gerais, detalhadas neste artigo:
-
Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.
-
Verifique se o seu ambiente atende aos pré-requisitos.
-
Atualize o script do seu ambiente.
-
Execute o script no Citrix ADC.
-
Teste a configuração.
O script configura essas configurações do Citrix Gateway exigidas pelo XenMobile:
- Servidores Citrix Gateway necessários para MDM e MAM
- Políticas de sessão para os servidores virtuais do Citrix Gateway
- Detalhes do XenMobile Server
- Políticas de autenticação e ações para o servidor virtual Citrix Gateway. O script descreve as definições de configuração de LDAP.
- Ações e políticas de tráfego para o servidor proxy
- Perfil de acesso sem cliente
- Registro DNS local estático no Citrix ADC
- Outras associações: política de serviço, certificado de CA
O script não manipula a seguinte configuração:
- Balanceamento de carga do Exchange
- Balanceamento de carga do Citrix Files
- Configuração de proxy ICA
- Descarga de SSL
Para baixar, atualizar e executar o script
-
Se estiver adicionando um Citrix Gateway, clique em Exportar script de configuração na página Adicionar novo Citrix Gateway.
Ou, se você adicionar uma instância do Citrix Gateway e clicar em Salvar antes de exportar o script, retorne à página Configurações > Citrix Gateway, selecione o Citrix ADC, clique em Exportar script de configuração e, em seguida, clique em Download.
Depois de clicar em Exportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:
- Arquivo Leiame com instruções detalhadas
- Script que contém comandos da CLI do Citrix ADC usados para configurar os componentes necessários no Citrix ADC
- Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
- Script que contém os comandos da CLI do Citrix ADC para remover a configuração do Citrix ADC
-
Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.
-
Execute o script editado no bash shell do Citrix ADC, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"
Quando o script for concluído, as seguintes linhas aparecerão.
Testar a configuração
-
Valide que o servidor virtual do Citrix Gateway mostra um estado de UP.
-
Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de UP.
-
Abra um navegador da Web, conecte-se à URL do Citrix Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado
-
Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.
Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway
Depois de adicionar a instância do Citrix Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do Citrix Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.
-
Em Configurações > Citrix Gateway, selecione o Citrix Gateway e clique em Editar.
-
Na tabela, clique em Adicionar.
-
Para URL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do Citrix Gateway.
Certifique-se de que a URL de retorno de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do Citrix Gateway ou alguma outra URL.
-
Digite o endereço IP virtual do Citrix Gateway e clique em Salvar.
Configurar a autenticação para vários domínios
Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente Citrix ADC for XenMobile apenas uma vez.)
Configuração do Citrix Gateway
Para configurar políticas de autenticação do Citrix Gateway e uma política de sessão para um ambiente de vários domínios:
- No utilitário de configuração do Citrix Gateway, na guia Configuration, expanda Citrix Gateway > Policies > Authentication.
- No painel de navegação, clique em LDAP.
-
Clique para editar o perfil LDAP. Mude o Server Logon Name Attribute para userPrincipalName ou para o atributo que você deseja usar para pesquisas. Anote o atributo especificado para que você o tenha ao definir as configurações de LDAP no console XenMobile.
- Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
- Na política de sessão associada ao servidor virtual Citrix Gateway, navegue até Edit session profile > Published Applications. Certifique-se de que Single Sign-On Domain esteja em branco.
Configuração do XenMobile Server
Para configurar o LDAP para um ambiente XenMobile de vários domínios:
-
No console XenMobile, vá para Configurações > LDAP e adicione ou edite um diretório.
-
Forneça as informações.
-
Em Alias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo:
domain1.com,domain2.com,domain3.com
-
Certifique-se de que o campo Pesquisa de usuário por corresponde ao Server Logon Name Attribute especificado na política LDAP do Citrix Gateway.
-
Suprimir solicitações de conexão de entrada para URLs específicas
Se o Citrix Gateway em seu ambiente estiver configurado para descarga de SSL, você talvez prefira que o gateway suprima solicitações de conexão de entrada para URLs específicas.
Se preferir manter essa segurança extra, configure os dois servidores virtuais do balanceador de carga MDM (um para a porta 443 e outro para a porta 8443) no Citrix Gateway. Use as seguintes informações como um modelo para suas configurações.
Importante:
As atualizações a seguir são apenas para um Citrix Gateway configurado para descarga de SSL.
-
Crie um conjunto de padrões com o nome
XMS_DropURLs
.add policy patset XMS_DropURLs <!--NeedCopy-->
-
Adicione as seguintes URLs ao novo conjunto de padrões. Personalize a lista conforme necessário.
bind policy patset XMS_DropURLs /zdm/shp/console -index 6 bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5 bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4 bind policy patset XMS_DropURLs /zdm/log.jsp -index 3 bind policy patset XMS_DropURLs /zdm/login.jsp -index 2 bind policy patset XMS_DropURLs /zdm/console -index 1 <!--NeedCopy-->
-
Crie uma política para suprimir todo o tráfego para essas URLs, a menos que a solicitação de conexão se origine da sub-rede especificada.
add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT && HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed" <!--NeedCopy-->
-
Vincule a nova política aos dois servidores virtuais do balanceador de carga MDM (portas 443 e 8443).
bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST <!--NeedCopy-->
-
Bloquear acesso à URL do MAM pelo navegador
Acessar a URL do MAM diretamente pelo navegador solicita que os usuários insiram suas credenciais do Active Directory. Embora atue como uma ferramenta para os usuários validarem suas credenciais, alguns usuários podem tratá-la como uma violação de segurança. A seção a seguir ajuda a restringir o acesso do navegador à URL do MAM (VIP NetScaler Gateway), usando o recurso Responder Policy no NetScaler.
Crie uma das seguintes políticas de resposta e vincule-a ao seu servidor virtual NetScaler Gateway:
-
add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
-
add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
-
add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP
Vincular-se ao servidor virtual NetScaler Gateway usando
bind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST
Nota:
_XM_XenMobileGateway
é um exemplo de nome de um servidor virtual NetScaler Gateway. -
Neste artigo
- Pré-requisitos para usar o script de configuração do Citrix Gateway
- Configurar a autenticação para o acesso de dispositivos remotos à rede interna
- Adicionar uma instância do Citrix Gateway
- Configurar um Citrix Gateway para uso com o XenMobile Server
- Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway
- Configurar a autenticação para vários domínios
- Suprimir solicitações de conexão de entrada para URLs específicas