NetScaler Gateway と Citrix Endpoint Management
Citrix Endpoint Management と統合すると、NetScaler Gateway は内部ネットワークとリソースへのリモートデバイスアクセスを提供します。Citrix Endpoint Management は、デバイス上のアプリから NetScaler Gateway へのマイクロ VPN を作成します。
Citrix Gateway サービス (プレビュー) またはオンプレミスの NetScaler Gateway (NetScaler Gateway とも呼ばれます) を使用できます。2 つの NetScaler Gateway ソリューションの概要については、「Citrix Endpoint Management での NetScaler Gateway の使用を構成する」を参照してください。
内部ネットワークへのリモートデバイスアクセスの認証を構成
- 1. Citrix Endpoint Management コンソールで、コンソールの右上隅にある歯車アイコンをクリックします。**設定**ページが表示されます。
- 1. **サーバー**の下にある**NetScaler Gateway**をクリックします。**NetScaler Gateway**ページが表示されます。次の例では、NetScaler Gateway インスタンスが存在します。
-
これらの設定を構成します。
- 認証: 認証を有効にするかどうかを選択します。デフォルトはオンです。
- 認証用のユーザー証明書を配信: Citrix Endpoint Management が認証証明書を Citrix Secure Hub と共有するかどうかを選択します。証明書を共有すると、NetScaler Gateway がクライアント証明書認証を処理できるようになります。デフォルトはオフです。
- 資格情報プロバイダー: ドロップダウンリストから使用する資格情報プロバイダーをクリックします。詳細については、「資格情報プロバイダー」を参照してください。
-
保存をクリックします。
Citrix Gateway サービスインスタンスの追加 (プレビュー)
認証設定を保存した後、NetScaler Gateway インスタンスを Citrix Endpoint Management に追加します。
-
Citrix Endpoint Management コンソールで、右上隅にある歯車アイコンをクリックします。設定ページが開きます。
-
設定ページで、NetScaler Gateway タイルまでスクロールし、セットアップを開始をクリックします。NetScaler Gatewayページが表示されます。
-
Citrix Gateway サービス (クラウド) を選択し、Gateway サービスのリソースの場所を指定します。
-
- Gateway サービスのリソースの場所: Citrix Secure Mail を使用する場合に必要です。STA サービスのリソースの場所を指定します。リソースの場所には、構成済みの NetScaler Gateway が含まれている必要があります。後で Gateway サービス用に構成されているリソースの場所を削除する場合は、この設定を更新します。
-
これらの設定を完了したら、接続をクリックして接続を確立します。新しい NetScaler Gateway が追加されます。Citrix Gateway サービス (クラウド) タイルが設定ページに表示されます。インスタンスを編集するには、詳細を表示をクリックします。選択したリソースの場所で Gateway Connector が利用できない場合は、Gateway Connector の追加をクリックします。画面の指示に従って Gateway Connector をインストールします。Gateway Connector は後で追加することもできます。
-
- スクリプトを保存してエクスポートをクリックします。
- スクリプトを保存してエクスポート。ボタンをクリックして設定を保存し、構成バンドルをエクスポートします。バンドルからスクリプトを NetScaler Gateway にアップロードして、Citrix Endpoint Management 設定で構成できます。詳細については、これらの手順の後の「Citrix Endpoint Management で使用するためのオンプレミス NetScaler Gateway の構成」を参照してください。
-
新しい NetScaler Gateway が追加されました。NetScaler Gateway タイルが設定ページに表示されます。インスタンスを編集するには、詳細を表示をクリックします。
-
Citrix Endpoint Management で使用するためのオンプレミス NetScaler Gateway の構成
Citrix Endpoint Management で使用するためのオンプレミス NetScaler Gateway を構成するには、以下のセクションで詳述されている一般的な手順を実行します。
- 環境が前提条件を満たしていることを確認します。
-
- Citrix Endpoint Management コンソールからスクリプトバンドルをエクスポートします。
-
- バンドルからファイルを抽出します。NetScaler Gateway でクラシックポリシーのみを使用しており、Citrix ADC 13.0 以前を実行している場合は、ファイル名に「Classic」が含まれるスクリプトを使用します。高度なポリシーを使用している場合、または Citrix ADC 13.1 以降を実行している場合は、ファイル名に「Advanced」が含まれるスクリプトを使用します。
-
- NetScaler Gateway で適切なスクリプトを実行します。最新の詳細な手順については、スクリプトに付属の readme ファイルを参照してください。
- 構成をテストします。
スクリプトは、Citrix Endpoint Management で必要となる以下の NetScaler Gateway 設定を構成します。
- MDM および MAM に必要な NetScaler Gateway 仮想サーバー
- NetScaler Gateway 仮想サーバーのセッションポリシー
- Citrix Endpoint Management サーバーの詳細
- 証明書検証用のプロキシロードバランサー
- NetScaler Gateway 仮想サーバーの認証ポリシーとアクション。スクリプトは LDAP 構成設定について説明しています。
- プロキシサーバーのトラフィックアクションとポリシー
- クライアントレスアクセスプロファイル
- NetScaler Gateway の静的ローカル DNS レコード
- その他のバインディング: サービスポリシー、CA 証明書
スクリプトは以下の構成を処理しません。
- Exchange ロードバランシング
- Citrix Files ロードバランシング
- ICA® プロキシ構成
- SSL オフロード
NetScaler Gateway 構成スクリプトを使用するための前提条件
Citrix Endpoint Management の要件:
- スクリプトバンドルをエクスポートする前に、Citrix Endpoint Management で LDAP および NetScaler Gateway の構成を完了します。設定を変更した場合は、スクリプトバンドルを再度エクスポートします。
NetScaler Gateway の要件:
- NetScaler Gateway で証明書ベースの認証を使用する場合、Citrix ADC Appliance で SSL 証明書を作成する必要があります。「Citrix ADC Appliance での SSL 証明書の作成と使用」を参照してください。
- NetScaler Gateway (最小バージョン 11.0、ビルド 70.12)。
- NetScaler Gateway IP アドレスが構成されており、LDAP がロードバランスされていない限り、LDAP サーバーへの接続があります。
- NetScaler Gateway サブネット (SNIP) IP アドレスが構成されており、必要なバックエンドサーバーへの接続があり、ポート 8443/TCP を介したパブリックネットワークアクセスがあります。
- DNS はパブリックドメインを解決できます。
- NetScaler Gateway は、Platform/Universal または Trial ライセンスでライセンスされています。詳細については、https://support.citrix.com/article/CTX126049 を参照してください。
Citrix Endpoint Management からスクリプトバンドルをエクスポート
認証設定を保存した後、NetScaler Gateway インスタンスを Citrix Endpoint Management に追加します。
-
Citrix Endpoint Management コンソールで、右上隅にある歯車アイコンをクリックします。設定ページが開きます。
-
設定ページで、NetScaler Gateway タイルまでスクロールし、セットアップを開始をクリックします。NetScaler Gatewayページが表示されます。
-
NetScaler Gateway (オンプレミス) を選択し、これらの設定を構成します。
- 名前: NetScaler Gateway インスタンスの名前を入力します。
-
外部 URL: NetScaler Gateway の公開アクセス可能な URL を入力します。例:
https://receiver.com。 - ログオンの種類: ログオンの種類を選択します。種類には、ドメイン、セキュリティトークンのみ、ドメインとセキュリティトークン、証明書、証明書とドメイン、証明書とセキュリティトークンがあります。デフォルトはドメインです。
複数のドメインがある場合は、証明書とドメインを使用します。詳細については、「複数のドメインの認証を構成する」を参照してください。
NetScaler Gateway での証明書ベースの認証には、追加の設定が必要です。たとえば、ルートCA証明書をCitrix ADC Applianceにアップロードする必要があります。詳細については、「Citrix ADC ApplianceでのSSL証明書の作成と使用」を参照してください。
詳細については、展開ハンドブックの「[認証](/ja-jp/citrix-endpoint-management/advanced-concepts/deployment/authentication.html)」を参照してください。
- 1. 「**スクリプトの保存とエクスポート**」をクリックします。
- **スクリプトの保存とエクスポート**。ボタンをクリックして設定を保存し、構成バンドルをエクスポートします。バンドルからスクリプトをNetScaler Gatewayにアップロードして、Citrix Endpoint Managementの設定で構成できます。詳細については、これらの手順の後に「Citrix Endpoint Managementで使用するためのオンプレミスNetScaler Gatewayの構成」を参照してください。
新しいNetScaler Gatewayが追加されました。**設定**ページに**NetScaler Gateway**タイルが表示されます。インスタンスを編集するには、「**詳細を表示**」をクリックします。
環境へのスクリプトのインストール
スクリプトバンドルには、次のものが含まれます。
- 詳細な手順が記載されたReadmeファイル
- NetScalerで必要なコンポーネントを構成するために使用されるNetScaler® CLIコマンドを含むスクリプト
- パブリックルートCA証明書と中間CA証明書
- NetScaler構成を削除するために使用されるNetScaler CLIコマンドを含むスクリプト
-
証明書ファイル(スクリプトバンドルで提供)をCitrix ADCアプライアンスの
/nsconfig/ssl/ディレクトリにアップロードしてインストールします。詳細については、「Citrix ADCアプライアンスでのSSL証明書の作成と使用」を参照してください。
次の例は、ルート証明書のインストール方法を示しています。
ルート証明書と中間証明書の両方をインストールしてください。
-
スクリプト(ConfigureCitrixGatewayScript_Classic.txtまたはConfigureCitrixGatewayScript_Advanced.txt)を編集し、すべてのプレースホルダーを環境の詳細に置き換えます。
-
編集したスクリプトを、スクリプトバンドルに含まれるreadmeファイルに記載されているとおり、NetScaler bashシェルで実行します。例:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"
スクリプトが完了すると、次の行が表示されます。
構成のテスト
構成を検証するには:
-
NetScaler Gateway仮想サーバーのステータスがUPであることを確認します。
-
プロキシ負荷分散仮想サーバーのステータスがUPであることを確認します。
-
Webブラウザーを開き、NetScaler Gateway URLに接続して認証を試みます。認証が成功すると、「HTTP Status 404 - Not Found」メッセージにリダイレクトされます。
-
デバイスを登録し、MDMとMAMの両方の登録が行われることを確認します。
複数ドメインの認証の構成
テスト、開発、および本番環境など、複数のCitrix Endpoint Managementインスタンスがある場合は、追加の環境用にNetScaler Gatewayを手動で構成します。(NetScaler for XenMobileウィザードは1回しか使用できません。)
NetScaler Gatewayの構成
複数ドメイン環境のNetScaler Gateway認証ポリシーとセッションポリシーを構成するには:
- NetScaler Gateway構成ユーティリティで、構成タブのNetScaler Gateway > ポリシー > 認証を展開します。
- ナビゲーションペインで、LDAPをクリックします。
-
LDAPプロファイルを編集するには、クリックします。サーバーログオン名属性をuserPrincipalNameまたは検索に使用する属性に変更します。指定した属性をメモしておきます。これは、Citrix Endpoint ManagementコンソールでLDAP設定を構成するときに提供します。
- 各LDAPポリシーに対してこれらの手順を繰り返します。各ドメインには個別のLDAPポリシーが必要です。
- NetScaler Gateway仮想サーバーにバインドされているセッションポリシーで、セッションプロファイルの編集 > 公開アプリケーションに移動します。シングルサインオン ドメインが空白であることを確認します。
Citrix Endpoint Managementの構成
複数ドメイン環境のCitrix Endpoint Management LDAPを構成するには:
-
Citrix Endpoint Managementコンソールで、設定 > LDAPに移動し、ディレクトリを追加または編集します。
-
情報を入力します。
-
ドメインエイリアスで、ユーザー認証に使用する各ドメインを指定します。ドメインはコンマで区切り、ドメイン間にスペースを使用しないでください。例:domain1.com,domain2.com,domain3.com
-
ユーザー検索基準フィールドが、NetScaler Gateway LDAPポリシーで指定されたサーバーログオン名属性と一致していることを確認します。
-
特定のURLへの受信接続要求の破棄
環境内のNetScaler GatewayがSSLオフロード用に構成されている場合、ゲートウェイが特定のURLへの受信接続要求を破棄することを推奨する場合があります。この追加のセキュリティを希望する場合は、Citrix Cloud Operationsに連絡し、オンプレミスデータセンターへのIPを許可するよう要求してください。