Citrix Gateway und Endpoint Management

Wenn Sie Citrix Endpoint Management für Citrix Gateway konfigurieren, richten Sie die Authentifizierungsmethode für den Remotegerätezugriff auf das interne Netzwerk ein. Mit dieser Funktionalität können Apps auf einem Mobilgerät auf Unternehmensserver im Intranet zugreifen. Endpoint Management erstellt ein Micro-VPN von den Apps auf dem Gerät zu Citrix Gateway.

Sie können Citrix Gateway zur Verwendung mit Endpoint Management konfigurieren, indem Sie ein Skript aus Endpoint Management exportieren und auf Citrix Gateway ausführen.

Voraussetzungen für die Verwendung des Skripts zur Citrix Gateway-Konfiguration

Anforderungen für Citrix Gateway:

  • Citrix Gateway (Mindestversion 11.0, Build 70.12).
  • Citrix Gateway-IP-Adresse ist konfiguriert und verfügt über Konnektivität mit dem LDAP-Server (es sei denn, für LDAP ist ein Lastausgleich eingerichtet).
  • Citrix Gateway-Subnetz-IP-Adresse (SNIP) ist konfiguriert, verfügt über Konnektivität mit den erforderlichen Back-End-Servern und über Zugriff auf das öffentliche Netzwerk über Port 8443/TCP.
  • DNS kann öffentliche Domänen auflösen.
  • Citrix Gateway ist per Plattform-/Universell- oder Testlizenz lizenziert. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX126049.
  • Ein Citrix Gateway-SSL-Zertifikat wurde hochgeladen und in Citrix Gateway installiert. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX136023.

Anforderungen für Endpoint Management:

  • LDAP-Server ist konfiguriert.

Konfigurieren der Authentifizierung für den Remotezugriff von Geräten auf das interne Netzwerk

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf NetScaler Gateway. Die Seite NetScaler Gateway wird angezeigt. In dem folgenden Beispiel ist eine Citrix Gateway-Instanz vorhanden.

    Bild des Citrix Gateway-Konfigurationsbildschirms

  3. Konfigurieren Sie folgende Einstellungen:

    • Authentifizierung: Wählen Sie aus, ob die Authentifizierung aktiviert werden soll. Der Standardwert ist EIN.
    • Benutzerzertifikat für Authentifizierung bereitstellen: Wählen Sie aus, ob Endpoint Management das Authentifizierungszertifikat zusammen mit Secure Hub verwenden soll, sodass Citrix Gateway die Clientzertifikatauthentifizierung abwickelt. Der Standardwert ist AUS.
    • Anmeldeinformationsanbieter: Klicken Sie in der Liste auf den gewünschten Anmeldeinformationsanbieter. Weitere Informationen finden Sie unter Anmeldeinformationsanbieter.
  4. Klicken Sie auf Speichern.

Hinzufügen einer Citrix Gateway-Instanz

Nach dem Speichern der Authentifizierungseinstellungen fügen Sie Endpoint Management eine Citrix Gateway-Instanz hinzu.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf NetScaler Gateway. Die Seite NetScaler Gateway wird angezeigt.

  3. Klicken Sie auf Hinzufügen. Die Seite Neues NetScaler Gateway hinzufügen wird angezeigt.

    Bild des Citrix Gateway-Konfigurationsbildschirms

  4. Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie einen Namen für die Citrix Gateway-Instanz ein.
    • Alias: Geben Sie optional einen Aliasnamen für Citrix Gateway ein.
    • Externe URL: Geben Sie die öffentlich zugängliche URL für Citrix Gateway ein. Beispiel: https://receiver.com.
    • Anmeldetyp: Wählen Sie einen Anmeldetyp. Zur Auswahl stehen Nur Domäne, Nur Sicherheitstoken, Domäne und Sicherheitstoken, Zertifikat, Zertifikat und Domäne und Zertifikat und Sicherheitstoken. Der Standardwert des Felds Kennwort erforderlich ändert sich je nach der Auswahl unter Anmeldetyp. Die Standardeinstellung ist Nur Domäne.

    Wenn Sie mehrere Domänen haben, verwenden Sie Zertifikat und Domäne. Informationen zum Konfigurieren der Authentifizierung für mehrere Domänen mit Citrix Endpoint Management und Citrix Gateway finden Sie unter Konfigurieren der Authentifizierung für mehrere Domänen.

    Wenn Sie Zertifikat und Sicherheitstoken verwenden, müssen Sie zur Unterstützung von Secure Hub einige zusätzliche Konfigurationen auf dem Citrix Gateway ausführen. Weitere Informationen finden Sie unter Configuring Endpoint Management for Certificate and Security Token Authentication.

    Weitere Informationen finden Sie unter Authentifizierung im Bereitstellungshandbuch.

    • Kennwort erforderlich: Wählen Sie aus, ob die Kennwortauthentifizierung erzwungen werden soll. Der Standardwert variiert je nach gewähltem Anmeldetyp.
    • Als Standard setzen: Wählen Sie aus, ob die Citrix Gateway-Instanz als Standard verwendet werden soll. Der Standardwert ist AUS.
    • Konfigurationsskript exportieren: Klicken Sie auf die Schaltfläche, um ein Konfigurationspaket zu exportieren, das Sie in Citrix Gateway hochladen und zur Konfiguration der Endpoint Management-Einstellungen verwenden. Weitere Informationen finden Sie im Anschluss an diese Schritte unter “Konfigurieren eines Citrix Gateway für Endpoint Management”.
  5. Klicken Sie auf Speichern.

    Die neue Citrix Gateway-Instanz wird hinzugefügt und in der Tabelle angezeigt. Zum Bearbeiten oder Löschen einer Instanz klicken Sie auf deren Namen in der Liste.

Konfigurieren eines Citrix Gateway für Endpoint Management

Zum Konfigurieren eines lokalen Citrix Gateway für Endpoint Management führen Sie die folgenden, im vorliegenden Artikel erläuterten allgemeinen Schritte aus:

  1. Laden Sie ein Skript und zugehörige Dateien vom Endpoint Management-Server herunter. Aktuelle und detaillierte Anweisungen finden Sie in der Readmedatei des Skripts.

  2. Vergewissern Sie sich, dass Ihre Umgebung die Voraussetzungen erfüllt.

  3. Aktualisieren Sie das Skript gemäß Ihrer Umgebung.

  4. Führen Sie das Skript auf Citrix Gateway aus.

  5. Testen Sie die Konfiguration.

Mit dem Skript werden die folgenden, für Endpoint Management erforderlichen, Citrix Gateway-Einstellungen konfiguriert:

  • Virtuelle Citrix Gateway-Server für MDM und MAM
  • Sitzungsrichtlinien für virtuelle Citrix Gateway-Server
  • Endpoint Management-Serverdetails
  • Authentifizierungsrichtlinien und Aktionen für den virtuellen NSG-Server Das Skript beschreibt die Einstellungen der LDAP-Konfiguration.
  • Datenverkehrsaktionen und Richtlinien für den Proxyserver
  • Profil für den clientlosen Zugriff
  • Statischer lokaler DNS-Eintrag auf Citrix Gateway
  • Andere Bindungen: Dienstrichtlinie, ZS-Zertifikat

Mit dem Skript wird folgende Konfiguration nicht erstellt:

  • Exchange-Lastausgleich
  • Citrix Files-Lastausgleich
  • ICA-Proxykonfiguration
  • SSL-Offload

Herunterladen, Aktualisieren und Ausführen des Skripts

  1. Wenn Sie ein Citrix Gateway hinzufügen, klicken Sie auf der Seite Neues NetScaler Gateway hinzufügen auf Konfigurationsskript exportieren.

    Bild des Citrix Gateway-Konfigurationsbildschirms

    Wenn Sie eine Citrix Gateway-Instanz hinzufügen, klicken Sie auf Speichern bevor Sie das Skript exportieren: Kehren Sie zur Seite Einstellungen > NetScaler Gateway zurück, wählen Sie das Citrix Gateway, klicken Sie auf Konfigurationsskript exportieren und klicken Sie dann auf Herunterladen.

    Bild des Citrix Gateway-Konfigurationsbildschirms

    Nachdem Sie auf Konfigurationsskript exportieren geklickt haben, erstellt Endpoint Management ein TAR.GZ-Skriptpaket. Das Skriptpaket enthält Folgendes:

    • Infodatei mit detaillierten Anweisungen
    • Skript mit den Citrix Gateway-CLI-Befehlen zum Konfigurieren der erforderlichen Komponenten in Citrix Gateway
    • Öffentliches Stamm-ZS-Zertifikat und Zwischenzertifikat vom Endpoint Management-Server (diese Zertifikate für SSL-Offload werden im aktuellen Release nicht benötigt)
    • Skript mit den Citrix Gateway-CLI-Befehlen zum Entfernen der Citrix Gateway-Konfiguration
  2. Ersetzen Sie in dem Skript “NSGConfigBundle_CREATESCRIPT” alle Platzhalter durch die Daten Ihrer Umgebung.

    Abbildung der Beispielskriptdatei

  3. Führen Sie das bearbeitete Skript in der Citrix Gateway-Bash-Shell gemäß den Anweisungen in der im Skriptpaket enthaltenen Readmedatei aus. Beispiel:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    Abbildung von Citrix Gateway-Bashshell

    Nach Abschluss der Skriptausführung werden die folgenden Zeilen angezeigt:

    Abbildung von Citrix Gateway-Bashshell

Testen der Konfiguration

  1. Überprüfen Sie, ob für den virtuellen Citrix Gateway-Server der Zustand UP angezeigt wird.

    Abbildung des Citrix Gateway-VPX-Konfigurationsbildschirms

  2. Überprüfen Sie, ob für den virtuellen Lastausgleichsserver der Zustand UP angezeigt wird.

    Abbildung des Citrix Gateway-VPX-Konfigurationsbildschirms

  3. Öffnen Sie einen Webbrowser, stellen Sie eine Verbindung mit der Citrix Gateway-URL her und versuchen Sie, sich zu authentifizieren. Wenn die Authentifizierung fehlschlägt, wird folgende Meldung angezeigt: HTTP Status 404 - Not Found

  4. Registrieren Sie ein Gerät für MDM und MAM.

Konfigurieren der Authentifizierung für mehrere Domänen

Wenn Sie mehrere Endpoint Management-Instanzen haben (z. B. für die Test-, die Entwicklungs- und die Produktionsumgebung), müssen Sie Citrix Gateway für die zusätzlichen Umgebungen manuell konfigurieren. (Sie können den NetScaler für XenMobile-Assistenten nur einmal ausführen.)

Konfigurieren von Citrix Gateway

Führen Sie zum Konfigurieren von Citrix Gateway-Authentifizierungsrichtlinien und einer Sitzungsrichtlinie für eine Umgebung mit mehreren Domänen folgende Schritte aus:

  1. Erweitern Sie im Konfigurationsprogramm für Citrix Gateway auf der Registerkarte Configuration die Optionen NetScaler Gateway > Policies > Authentication.
  2. Klicken Sie im Navigationsbereich auf LDAP.
  3. Klicken Sie zum Bearbeiten des LDAP-Profils. Ändern Sie Server Logon Name Attribute in userPrincipalName bzw. das Attribut, das Sie für Suchen verwenden möchten. Notieren Sie sich das angegebene Attribut. Sie müssen es beim Konfigurieren von LDAP-Einstellungen in der Endpoint Management-Konsole angeben.

    Bild des Citrix Gateway-Konfigurationsbildschirms

  4. Wiederholen Sie diese Schritte für jede LDAP-Richtlinie. Für jede Domäne ist eine separate LDAP-Richtlinie erforderlich.
  5. Geben Sie in der an den virtuellen Citrix Gateway-Server gebundenen Sitzungsrichtlinie zu Edit session profile > Published Applications. Stellen Sie sicher, dass Single Sign-On Domain leer ist.

Endpoint Management-Konfiguration

Konfigurieren von Endpoint Management-LDAP für eine Umgebung mit mehreren Domänen:

  1. Gehen Sie in der Endpoint Management-Konsole zu Einstellungen > LDAP und fügen Sie ein Verzeichnis hinzu bzw. wählen Sie eines zum Bearbeiten aus.

    Abbildung des Endpoint Management-Bildschirms für LDAP-Einstellungen

  2. Geben Sie die Informationen an.

    • Geben Sie unter Domänenalias jede Domäne an, die für die Benutzerauthentifizierung verwendet werden soll. Trennen Sie die Domänen durch Kommas ohne Leerzeichen ab. Beispiel: domäne1.com,domäne2.com,domäne3.com

    • Stellen Sie sicher, dass die Angabe im Feld Benutzersuche nach mit der Angabe unter Server Logon Name Attribute in der LDAP-Richtlinie von Citrix Gateway übereinstimmt.

    Abbildung des Endpoint Management-Bildschirms für LDAP-Einstellungen