配置 Citrix Gateway
使用 Citrix Gateway 提供对 StoreFront 和您的 Virtual Delivery Agent (VDA) 的身份验证和远程访问。Citrix Gateway 运行在硬件或软件 NetScaler ADC 上。
有关配置 Gateway 的更多信息,请参阅将 NetScaler Gateway 与 StoreFront 集成。
您必须在 StoreFront 中配置您的网关,StoreFront 才能允许通过该网关进行访问。
查看 Gateway
要查看在 StoreFront 中配置的网关,请在 Citrix StoreFront 管理控制台的左窗格中选择“应用商店”节点,然后单击“管理 Citrix Gateway”。这将显示“管理 Citrix Gateway”窗口。
PowerShell
要获取网关及其配置的列表,请调用 Get-STFRoamingGateway。
添加 Citrix Gateway
-
在“管理 Citrix Gateway”窗口中,单击“添加”。
-
在“常规设置”选项卡上,输入设置,然后按“下一步”。
-
指定 Citrix Gateway 部署的“显示名称”,以帮助用户识别它。
用户会在 Citrix Workspace 应用程序中看到您指定的显示名称,因此,请在名称中包含相关信息,以帮助用户决定是否使用该部署。例如,您可以在 Citrix Gateway 部署的显示名称中包含地理位置,以便用户可以轻松识别对其位置最方便的部署。
-
输入网关的 URL。
StoreFront 部署的完全限定域名 (FQDN) 必须是唯一的,并且不同于 Citrix Gateway 虚拟服务器 FQDN。不支持为 StoreFront 和 Citrix Gateway 虚拟服务器使用相同的 FQDN。网关会将 URL 添加到
X-Citrix-ViaHTTP 标头。StoreFront 使用此标头来确定正在使用的网关。使用 GUI 只能添加单个网关 URL。如果可以通过多个 URL 访问网关,则需要添加两次相同的网关,除了 URL 之外,配置必须相同。为了简化配置,您可以配置一个用于访问网关的辅助 URL。此选项无法通过 GUI 使用,因此您必须使用 PowerShell 进行配置。在运行任何 PowerShell 命令之前,您应该关闭管理控制台。例如,如果您在全球服务器负载平衡器后面有多个网关,通常添加 GSLB URL 和可用于访问每个特定区域网关的 URL 会很有用,例如用于测试或故障排除目的。创建网关后,您可以使用
Set-STFRoamingGateway添加一个额外的 URL,使用-GSLBurl参数作为辅助 URL。尽管该参数名为GSLBurl,但它可用于您希望添加第二个 URL 的任何情况。例如:Set-STFRoamingGateway -Name "Europe Gateway" -GSLBurl "eugateway.example.com" -GatewayUrl "gslb.example.com" <!--NeedCopy-->注意:
在此示例中,
GSLBurl参数包含区域 URL,而GatewayUrl参数包含 GSLB URL,这与直觉相反。对于大多数用途,这些 URL 被视为相同,如果仅通过 Web 浏览器访问应用商店,则可以按任意方式配置它们。但是,当通过 Citrix Workspace 应用程序访问 StoreFront 时,它会从 StoreFront 读取GatewayUrl并随后将其用于远程访问,因此最好将其配置为始终连接到 GSLB URL。如果您需要两个以上的 URL,则需要将其配置为单独的网关。
-
选择“用途”或“角色”:
用途或角色 描述 身份验证和 HDX 路由 使用网关提供对 StoreFront 的远程访问以及访问 VDA。 仅身份验证 如果网关仅用于对 StoreFront 的远程访问,请选择此选项。此选项会阻止 Citrix Workspace 启动器 工作。因此,如果您需要使用混合启动,即使网关仅用于身份验证,也请选择“身份验证和 HDX 路由”。 仅 HDX 路由 如果网关仅用于提供对 VDA 的 HDX 访问,例如在没有 StoreFront 实例的站点,请选择此选项。
-
-
填写“安全票证颁发机构”选项卡上的设置。
安全票证颁发机构会响应连接请求颁发会话票证。这些会话票证构成了 Citrix Workspace 应用程序检测和访问 VDA 的身份验证和授权基础。
-
输入一个或多个安全票证颁发机构服务器 URL。
- 如果您使用的是 Citrix Virtual Apps and Desktops™,则可以将交付控制器用作 STA 服务器。
- 如果您使用的是 Citrix Desktop as a Service,则可以将云连接器用作 STA 服务器。这些连接器要么将请求代理到 Citrix Cloud™ 票证颁发机构,要么在 LHC 模式下生成自己的票证。将来,这将发生变化,以便它们始终生成自己的票证以提高弹性。
- 建议您至少使用 2 个 STA 服务器以实现冗余。使用云连接器时,建议在同一资源位置包含多个云连接器,因为每个资源位置一次只升级一个云连接器。
- 确保 StoreFront 中列出的所有 STA 服务器也作为 STA 服务器列在 Citrix Gateway 虚拟服务器中。如果 Citrix Gateway 中缺少任何服务器,则可能导致启动失败。目前,当使用云连接器作为 STA 时,这在正常使用中可能不明显,因为任何连接器都可以用于从 Citrix Cloud 票证颁发机构兑换票证。但是,在本地主机缓存模式下,连接器会生成自己的票证,将来这将成为默认行为。
- 交付控制器或云连接器可能已配置为要求 StoreFront 必须包含安全密钥。无法使用 GUI 添加安全密钥;有关使用 PowerShell 添加安全密钥的步骤,请参阅后面的步骤。
-
选择“负载平衡多个 STA 服务器”以在 STA 服务器之间分发请求。如果未选中,StoreFront 将按照列出的顺序尝试服务器。
-
如果 StoreFront 无法访问 STA 服务器,则会在一段时间内避免使用该服务器。默认情况下,此时间为 1 小时,但您可以自定义此值。
-
如果您希望 Citrix Virtual Apps and Desktops 在 Citrix Workspace 应用程序尝试自动重新连接时保持断开连接的会话打开,请选择“启用会话可靠性”。
-
如果您配置了多个 STA,可以选择“从两个 STA 请求票证(如果可用)”。
选中“从两个 STA 请求票证(如果可用)”后,StoreFront 会从两个不同的 STA 获取会话票证,这样,如果一个 STA 在会话期间变得不可用,用户会话就不会中断。如果由于任何原因 StoreFront 无法联系两个 STA,它将回退到使用单个 STA。
完成设置填写后,按“下一步”。
-
-
填写“身份验证设置”选项卡上的设置。
-
选择 NetScaler® 版本。
-
如果有多个具有相同 URL 的网关(通常在使用全局服务器负载平衡器时),并且您已输入回调 URL,则必须输入网关的 VIP。这允许 StoreFront 确定请求来自哪个网关,从而确定使用回调 URL 联系哪个服务器。否则,您可以将其留空。
-
从“登录类型”列表中选择您在设备上为 Citrix Workspace 应用程序用户配置的身份验证方法。
您提供的有关 Citrix Gateway 设备配置的信息将添加到应用商店的预配文件中。这使得 Citrix Workspace 应用程序在首次联系设备时能够发送适当的连接请求。
- 对于 LDAP 身份验证,请选择“域”。
- 对于本机 OTP 身份验证,请选择“安全令牌”。
- 对于 LDAP 加 OTP 身份验证,请选择“域和安全令牌”。
- 对于通过短信进行的 OTP,请选择“短信身份验证”。
- 对于证书身份验证,请选择“智能卡”。
- 对于 SAML 身份验证,请选择“域”。
如果您配置了智能卡身份验证,并带有一个辅助身份验证方法,以便用户在智能卡出现任何问题时可以回退到该方法,请从“智能卡回退”列表中选择辅助身份验证方法。
- (可选)在“回调 URL”框中输入网关的内部可访问 URL。这允许 StoreFront 联系 Citrix Gateway 身份验证服务,以验证从 Citrix Gateway 收到的请求是否源自该设备。智能访问以及智能卡或 SAML 等无密码身份验证方案需要此项,否则您可以将其留空。如果您有多个具有相同 URL 的 Citrix Gateway,则此 URL 必须用于特定的网关服务器。
完成设置填写后,按“下一步”。
-
-
单击“创建”以应用配置。
-
部署应用后,单击“完成”。
-
如果您已配置安全密钥(推荐),则必须关闭管理控制台并使用 PowerShell 配置它们。例如:
$gateway = Get-STFRoamingGateway -Name [Gateway name] $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret] $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret] Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2 <!--NeedCopy--> -
要使用户能够通过 Gateway 访问您的应用商店,请配置远程用户访问。
-
默认情况下,StoreFront 使用对用户进行身份验证的网关进行 HDX 路由以访问其资源。您可以选择配置 StoreFront,以便在使用最佳 HDX 路由访问特定资源时使用该网关。
PowerShell SDK
要使用 PowerShell SDK 添加网关,请调用 cmdlet New-STFRoamingGateway。
编辑 Citrix Gateway
-
在“管理 Citrix Gateway”窗口中,单击要更改的网关,然后按“编辑”。
有关参数的说明,请参阅添加 Citrix Gateway。
-
按“保存”以保存您的更改。
PowerShell SDK
要使用 PowerShell SDK 修改网关配置,请调用 cmdlet Set-STFRoamingGateway。
删除 Citrix Gateway
-
在“管理 Citrix Gateway”窗口中,单击要更改的网关,然后按“删除”。
-
在确认窗口中,按“是”。
PowerShell SDK
要使用 PowerShell SDK 删除网关,请调用 Remove-STFRoamingGateway。