Citrix Endpoint Management

NetScaler Gateway und Citrix Endpoint Management

Bei Integration in Citrix Endpoint Management bietet NetScaler Gateway Remotezugriff von Geräten auf das interne Netzwerk und interne Ressourcen. Citrix Endpoint Management erstellt ein Micro-VPN von den Apps auf dem Gerät zu NetScaler Gateway.

Sie können den Citrix Gateway Service (Preview) oder ein on-premises NetScaler Gateway verwenden. Einen Überblick über diese beiden NetScaler Gateway-Lösungen finden Sie unter Konfigurieren eines NetScaler Gateway für Citrix Endpoint Management.

Konfigurieren der Authentifizierung für den Remotezugriff von Geräten auf das interne Netzwerk

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf NetScaler Gateway. Die Seite NetScaler Gateway wird angezeigt. In dem folgenden Beispiel ist eine NetScaler Gateway-Instanz vorhanden.

    NetScaler Gateway-Konfigurationsbildschirm

  3. Konfigurieren Sie folgende Einstellungen:

    • Authentifizierung: Wählen Sie aus, ob die Authentifizierung aktiviert werden soll. Die Standardeinstellung ist Ein.
    • Benutzerzertifikat für Authentifizierung bereitstellen: Wählen Sie aus, ob Citrix Endpoint Management das Authentifizierungszertifikat zusammen mit Citrix Secure Hub verwenden soll. Mit einem gemeinsam genutzten Zertifikats kann NetScaler Gateway die Clientzertifikatauthentifizierung verarbeiten. Die Standardeinstellung ist Aus.
    • Anmeldeinformationsanbieter: Klicken Sie in der Liste auf den gewünschten Anmeldeinformationsanbieter. Weitere Informationen finden Sie unter Anmeldeinformationsanbieter.
  4. Klicken Sie auf Speichern.

Hinzufügen einer Citrix Gateway Service-Instanz (Preview)

Nach dem Speichern der Authentifizierungseinstellungen fügen Sie Citrix Endpoint Management eine NetScaler Gateway-Instanz hinzu.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Scrollen Sie auf der Seite Einstellungen zur NetScaler Gateway-Kachel und klicken Sie auf Setup starten. Die Seite NetScaler Gateway wird angezeigt.

  3. Wählen Sie Citrix Gateway Service (Cloud) und geben Sie den Ressourcenstandort für den Gateway Service an.

    NetScaler Gateway-Konfigurationsbildschirm

    • Ressourcenstandort für Gateway Service: ist erforderlich, wenn Sie Citrix Secure Mail verwenden. Legen Sie den Ressourcenstandort für den STA-Dienst fest. Der Ressourcenstandort muss ein konfiguriertes NetScaler Gateway enthalten. Wenn Sie später einen für den Gateway Service konfigurierten Ressourcenstandort entfernen möchten, aktualisieren Sie diese Einstellung.

    Nachdem Sie diese Einstellungen vorgegeben haben, klicken Sie auf Verbinden, um die Verbindung herzustellen. Das neue NetScaler Gateway wird hinzugefügt. Die Kachel Citrix Gateway Service(Cloud) wird nun auf der Seite Einstellungen angezeigt. Um eine Instanz zu bearbeiten, klicken Sie auf Weitere Informationen. Wenn am ausgewählten Ressourcenstandort keine Gateway Connectors verfügbar sind, klicken Sie auf Gateway Connector hinzufügen. Folgen Sie den angezeigten Anweisungen, um Gateway Connectors zu installieren. Sie können Gateway Connectors auch später hinzufügen.

  4. Klicken Sie auf Skript speichern und exportieren.

    • Skript speichern und exportieren. Klicken Sie auf die Schaltfläche, um Ihre Einstellungen zu speichern und ein Konfigurationspaket zu exportieren. Sie können ein Skript aus dem Paket in NetScaler Gateway hochladen, um es mit Citrix Endpoint Management-Einstellungen zu konfigurieren. Weitere Informationen finden Sie im Anschluss an diese Schritte unter “Konfigurieren eines NetScaler Gateway für Citrix Endpoint Management”.

    Sie haben damit ein NetScaler Gateway hinzugefügt. Die Kachel NetScaler Gateway wird nun auf der Seite Einstellungen angezeigt. Um eine Instanz zu bearbeiten, klicken Sie auf Weitere Informationen.

Konfigurieren eines on-premises NetScaler Gateway für Citrix Endpoint Management

Zum Konfigurieren eines lokalen NetScaler Gateway für Citrix Endpoint Management führen Sie die in den nachfolgenden Abschnitten erläuterten allgemeinen Schritte aus.

  1. Vergewissern Sie sich, dass Ihre Umgebung die Voraussetzungen erfüllt.

  2. Exportieren Sie das Skriptpaket aus der Citrix Endpoint Management-Konsole.

  3. Extrahieren Sie die Dateien aus dem Paket. Wenn Sie nur klassische Richtlinien im NetScaler Gateway verwenden und Citrix ADC 13.0 oder früher ausführen, verwenden Sie das Skript mit “Classic” im Dateinamen. Wenn Sie erweiterte Richtlinien verwenden oder Citrix ADC 13.1 oder höher ausführen, verwenden Sie das Skript mit “Advanced” im Dateinamen.

  4. Führen Sie das Skript auf dem NetScaler Gateway aus. Aktuelle und detaillierte Anweisungen finden Sie in der Readmedatei des Skripts.

  5. Testen Sie die Konfiguration.

Mit dem Skript werden die folgenden, für Citrix Endpoint Management erforderlichen NetScaler Gateway-Einstellungen konfiguriert:

  • Virtuelle NetScaler Gateway-Server für MDM und MAM
  • Sitzungsrichtlinien für virtuelle NetScaler Gateway-Server
  • Citrix Endpoint Management-Serverdetails
  • Proxy-Load-Balancer für die Zertifikatüberprüfung
  • Authentifizierungsrichtlinien und Aktionen für den virtuellen NetScaler Gateway-Server Das Skript beschreibt die Einstellungen der LDAP-Konfiguration.
  • Datenverkehrsaktionen und Richtlinien für den Proxyserver
  • Profil für den clientlosen Zugriff
  • Statischer lokaler DNS-Eintrag auf NetScaler Gateway
  • Andere Bindungen: Dienstrichtlinie, ZS-Zertifikat

Mit dem Skript wird folgende Konfiguration nicht erstellt:

  • Exchange-Lastausgleich
  • Citrix Files-Lastausgleich
  • ICA-Proxykonfiguration
  • SSL-Offload

Voraussetzungen für die Verwendung der Skripts zur NetScaler Gateway-Konfiguration

Anforderungen für Citrix Endpoint Management:

  • Konfigurieren Sie LDAP und das NetScaler Gateway in Citrix Endpoint Management, bevor Sie das Skriptpaket exportieren. Wenn Sie Einstellungen ändern, exportieren Sie das Skriptpaket erneut.

Anforderungen für NetScaler Gateway:

  • Wenn Sie die zertifikatbasierte Authentifizierung am NetScaler Gateway verwenden, müssen Sie SSL-Zertifikate auf einem Citrix ADC-Gerät erstellen. Siehe Erstellen und Verwenden von SSL-Zertifikaten auf einem Citrix ADC-Gerät.
  • NetScaler Gateway (mindestens Version 11.0 Build 70.12).
  • NetScaler Gateway-IP-Adresse ist konfiguriert und verfügt über Konnektivität mit dem LDAP-Server (es sei denn, für LDAP ist ein Lastausgleich eingerichtet).
  • NetScaler Gateway-Subnetz-IP-Adresse (SNIP) ist konfiguriert, verfügt über Konnektivität mit den erforderlichen Back-End-Servern und über Zugriff auf das öffentliche Netzwerk über Port 8443/TCP.
  • DNS kann öffentliche Domänen auflösen.
  • NetScaler Gateway ist per Plattform-/Universell- oder Testlizenz lizenziert. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX126049.

Export des Skriptpakets aus Citrix Endpoint Management

Nach dem Speichern der Authentifizierungseinstellungen fügen Sie Citrix Endpoint Management eine NetScaler Gateway-Instanz hinzu.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Scrollen Sie auf der Seite Einstellungen zur NetScaler Gateway-Kachel und klicken Sie auf Setup starten. Die Seite NetScaler Gateway wird angezeigt.

  3. Wählen Sie NetScaler Gateway (on-premises) und konfigurieren Sie diese Einstellungen:

    NetScaler Gateway-Konfigurationsbildschirm

    • Name: Geben Sie einen Namen für die NetScaler Gateway-Instanz ein.
    • Externe URL: Geben Sie die öffentlich zugängliche URL für NetScaler Gateway ein. Beispiel: https://receiver.com.
    • Anmeldetyp: Wählen Sie einen Anmeldetyp. Zur Auswahl stehen Domäne, Nur Sicherheitstoken, Domäne und Sicherheitstoken, Zertifikat, Zertifikat und Domäne und Zertifikat und Sicherheitstoken. Die Standardeinstellung ist Domäne.

    Wenn Sie mehrere Domänen haben, verwenden Sie Zertifikat und Domäne. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für mehrere Domänen.

    Die zertifikatbasierte Authentifizierung über NetScaler Gateway erfordert zusätzliche Konfiguration. Beispielsweise müssen Sie Ihr Stammzertifizierungsstellenzertifikat auf das Citrix ADC-Gerät hochladen. Siehe Erstellen und Verwenden von SSL-Zertifikaten auf einem Citrix ADC-Gerät.

    Weitere Informationen finden Sie unter Authentifizierung im Bereitstellungshandbuch.

  4. Klicken Sie auf Skript speichern und exportieren.

    • Skript speichern und exportieren. Klicken Sie auf die Schaltfläche, um Ihre Einstellungen zu speichern und ein Konfigurationspaket zu exportieren. Sie können ein Skript aus dem Paket in NetScaler Gateway hochladen, um es mit Citrix Endpoint Management-Einstellungen zu konfigurieren. Weitere Informationen finden Sie im Anschluss an diese Schritte unter “Konfigurieren eines NetScaler Gateway für Citrix Endpoint Management”.

    Sie haben damit ein NetScaler Gateway hinzugefügt. Die Kachel NetScaler Gateway wird nun auf der Seite Einstellungen angezeigt. Um eine Instanz zu bearbeiten, klicken Sie auf Weitere Informationen.

Installieren des Skripts in der Umgebung

Das Skriptpaket enthält Folgendes:

  • Infodatei mit detaillierten Anweisungen
  • Skripts mit den NetScaler-CLI-Befehlen zum Konfigurieren der erforderlichen Komponenten in NetScaler
  • Öffentliches Stamm-ZS-Zertifikat und Zwischenzertifikat
  • Skripts mit den NetScaler-CLI-Befehlen zum Entfernen der NetScaler-Konfiguration
  1. Laden Sie die Zertifikatdateien aus dem Skriptpaket auf das Citrix ADC-Gerät hoch und installieren Sie sie im Verzeichnis /nsconfig/ssl/. Siehe Erstellen und Verwenden von SSL-Zertifikaten auf einem Citrix ADC-Gerät.

    NetScaler Gateway-Konfigurationsbildschirm

    Die folgenden Beispiele zeigen, wie das Stammzertifikat installiert wird.

    NetScaler Gateway-Konfigurationsbildschirm

    NetScaler Gateway-Konfigurationsbildschirm

    NetScaler Gateway-Konfigurationsbildschirm

    NetScaler Gateway-Konfigurationsbildschirm

    Installieren Sie auf jeden Fall sowohl das Stammzertifikat als auch das Zwischenzertifikat.

  2. Bearbeiten Sie das Skript (ConfigureCitrixGatewayScript_Classic.txt oder ConfigureCitrixGatewayScript_Advanced.txt), indem Sie alle Platzhalter durch Details Ihrer Umgebung ersetzen.

    NetScaler Gateway-Konfigurationsbildschirm

  3. Führen Sie das bearbeitete Skript in der NetScaler-Bash-Shell gemäß den Anweisungen in der im Skriptpaket enthaltenen Readmedatei aus. Beispiel:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    NetScaler Gateway-Konfigurationsbildschirm

    Nach Abschluss der Skriptausführung werden die folgenden Zeilen angezeigt:

    NetScaler Gateway-Erfolgsbildschirm

Testen der Konfiguration

Führen Sie zum Überprüfen der Konfiguration folgende Schritte aus:

  1. Überprüfen Sie, ob für den virtuellen NetScaler Gateway-Server der Zustand UP angezeigt wird.

    NetScaler Gateway-Statusbildschirm

  2. Überprüfen Sie, ob für den virtuellen Lastausgleichsserver der Zustand UP angezeigt wird.

    NetScaler Gateway-Statusbildschirm

  3. Öffnen Sie einen Webbrowser, stellen Sie eine Verbindung mit der NetScaler Gateway-URL her und versuchen Sie, sich zu authentifizieren. Wenn die Authentifizierung gelingt, werden Sie an einen HTTP-404-Fehler (nicht gefunden) weitergeleitet.

  4. Registrieren Sie ein Gerät für MDM und MAM.

Konfigurieren der Authentifizierung für mehrere Domänen

Wenn Sie mehrere Citrix Endpoint Management-Instanzen haben (z. B. für die Test-, die Entwicklungs- und die Produktionsumgebung), müssen Sie NetScaler Gateway für die zusätzlichen Umgebungen manuell konfigurieren. (Sie können den NetScaler für XenMobile-Assistenten nur einmal ausführen.)

Konfigurieren von NetScaler Gateway

Führen Sie zum Konfigurieren von NetScaler Gateway-Authentifizierungsrichtlinien und einer Sitzungsrichtlinie für eine Umgebung mit mehreren Domänen folgende Schritte aus:

  1. Erweitern Sie im Konfigurationsprogramm für NetScaler Gateway auf der Registerkarte Configuration die Optionen NetScaler Gateway > Policies > Authentication.
  2. Klicken Sie im Navigationsbereich auf LDAP.
  3. Klicken Sie zum Bearbeiten des LDAP-Profils. Ändern Sie Server Logon Name Attribute in userPrincipalName bzw. das Attribut, das Sie für Suchen verwenden möchten. Notieren Sie sich das angegebene Attribut. Sie geben es beim Konfigurieren von LDAP-Einstellungen in der Citrix Endpoint Management-Konsole an.

    NetScaler Gateway-Konfigurationsbildschirm

  4. Wiederholen Sie diese Schritte für jede LDAP-Richtlinie. Für jede Domäne ist eine separate LDAP-Richtlinie erforderlich.
  5. Geben Sie in der an den virtuellen NetScaler Gateway-Server gebundenen Sitzungsrichtlinie zu Edit session profile > Published Applications. Stellen Sie sicher, dass Single Sign-On Domain leer ist.

Citrix Endpoint Management-Konfiguration

Konfigurieren von Citrix Endpoint Management-LDAP für eine Umgebung mit mehreren Domänen:

  1. Gehen Sie in der Citrix Endpoint Management-Konsole zu Einstellungen > LDAP und fügen Sie ein Verzeichnis hinzu bzw. wählen Sie eines zum Bearbeiten aus.

    Citrix Endpoint Management-Bildschirm für LDAP-Einstellungen

  2. Geben Sie die Informationen an.

    • Geben Sie unter Domänenalias jede Domäne an, die für die Benutzerauthentifizierung verwendet werden soll. Trennen Sie die Domänen durch Kommas ohne Leerzeichen ab. Beispiel: domäne1.com,domäne2.com,domäne3.com

    • Stellen Sie sicher, dass die Angabe im Feld Benutzersuche nach mit der Angabe unter Server Logon Name Attribute in der LDAP-Richtlinie von NetScaler Gateway übereinstimmt.

    Citrix Endpoint Management-Bildschirm für LDAP-Einstellungen

Verwerfen eingehender Verbindungsanforderungen an bestimmte URLs

Wenn NetScaler Gateway in Ihrer Umgebung für SSL-Offload konfiguriert ist, soll das Gateway möglicherweise eingehende Verbindungsanforderungen für bestimmte URLs verwerfen. Wenn Sie diese zusätzliche Sicherheit wünschen, wenden Sie sich an Citrix Cloud Operations und fordern Sie an, dass Ihre IP-Adresse für Ihre On-Premises-Rechenzentren zugelassen wird.