Citrix Gateway 13.0

Stateless RDP-Proxy

Der Stateless RDP-Proxy greift auf einen RDP-Host zu. Der Zugriff wird über den RDPListener auf Citrix Gateway gewährt, wenn sich der Benutzer auf einem separaten Citrix Gateway Authenticator authentifiziert. Die vom RDPListener für Citrix Gateway benötigten Informationen werden sicher auf einem STA-Server gespeichert.

Hier werden die für diese Funktionalität erstellten Workflows und neuen Einstellungen beschrieben.

Voraussetzungen

  • Der Benutzer wird auf dem Citrix Gateway-Authentifikator authentifiziert.

  • Die anfängliche /rdpproxy URL und der RDP-Client sind mit einem anderen RDPListener Citrix Gateway verbunden.

  • Die RDPListener Gateway-Informationen werden vom Authenticator Gateway über einen STA-Server sicher übergeben.

Konfiguration

  • Fügen Sie ein neues RDPServer-Profil hinzu. Das Serverprofil wird auf dem RDPListener Gateway konfiguriert.

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
    

    Bei statuslosen RDP-Proxy überprüft der STA-Server das STA-Ticket, das vom RDP-Client gesendet wird, um die RDP-Target/RDPUser -Informationen zu erhalten.

    Das RDPServer-Profil wird auf dem virtuellen VPN-Server mit folgendem Befehl konfiguriert:

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
    

    Warnung Sobald das RDPServerProfile auf dem vpn vserver konfiguriert ist, kann es nicht geändert werden. Außerdem kann das gleiche ServerProfile nicht auf einem anderen vpn vserver wiederverwendet werden.

Der Befehl rdp profile wurde in RdpClient-Profil umbenannt und weist neue Parameter auf. Der Befehl MultiMonitorSupport wurde hinzugefügt. Außerdem wurde eine Option zum Konfigurieren benutzerdefinierter Parameter hinzugefügt, die nicht als Teil des RDP-Clientprofils unterstützt werden. Der ClientSSL-Parameter wurde entfernt, da die Verbindung immer gesichert ist. Das Client-Profil wird auf dem Authenticator Gateway konfiguriert.

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]

        [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

        [-rdpCookieValidity <positive_integer>][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams <string>] Die -rdpHost Konfiguration wird in einer einzelnen Gateway-Bereitstellung verwendet.
  • Ordnen Sie das RDP-Profil dem virtuellen VPN-Server zu.

Dies kann entweder durch Konfigurieren von sessionAction+sessionPolicy oder durch Festlegen des globalen vpn Parameters erfolgen.

Beispiel

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

ODER

set vpn parameter –rdpClientprofile <name>

Verbindungszähler

Ein neuer Verbindungszähler ns_rdp_tot_curr_active_conn wurde hinzugefügt, der die Anzahl der aktiven Verbindungen aufzeichnet. Es kann als Teil des nsconmsg Befehls auf NetScaler Shell angesehen werden. Später werden wir einen neuen CLI-Befehl zur Verfügung stellen, um diese Leistungsindikatoren anzuzeigen.

Verbindungsablauf

Der RDP-Proxyfluss ist mit zwei Verbindungen verbunden. Die erste Verbindung besteht aus der SSL-VPN-Verbindung des Benutzers zum Citrix Gateway VIP und der Aufzählung der RDP-Ressourcen.

Die zweite Verbindung ist die native RDP-Clientverbindung mit dem RDP-Listener (konfiguriert mit rdpIP und rdpPort) in Citrix Gateway und anschließendes Proxying des RDP-Clients an Serverpakete sicher.

lokalisiertes Bild

  1. Der Benutzer stellt eine Verbindung zum Authenticator Gateway VIP her und stellt seine Anmeldeinformationen bereit.

  2. Nach erfolgreicher Anmeldung beim Gateway wird der Benutzer zum Homepage/externen Portal umgeleitet, in dem die Remote-Desktop-Ressourcen aufgelistet werden, auf die der Benutzer zugreifen kann.

  3. Sobald der Benutzer eine RDP-Ressource ausgewählt hat, erhält der Authenticator Gateway VIP eine Anforderung in dem Format, https://AGVIP/rdpproxy/ip:port/rdptargetproxydas die veröffentlichte Ressource angibt, auf die der Benutzer geklickt hat. Diese Anforderung enthält die Informationen über die IP und den Port des RDP-Servers, die der Benutzer ausgewählt hat.

  4. Die Anforderung /rdpproxy/ wird vom Authenticator Gateway verarbeitet. Da der Benutzer bereits authentifiziert ist, kommt diese Anforderung mit einem gültigen Gateway-Cookie.

  5. Die RDPtarget und RDPUser Informationen werden auf dem STA-Server gespeichert und ein STA Ticket generiert. Die Informationen werden als XML-Blob gespeichert, das optional mit dem konfigurierten vorgeteilten Schlüssel verschlüsselt wird. Bei verschlüsselter Verschlüsselung wird das Blob base64 codiert und gespeichert. Das Authenticator Gateway verwendet einen der STA-Server, der auf dem Gateway Vserver konfiguriert ist.

  6. Das XML-BLOB hat das folgende Format

    <Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>\n

    <Value name=”Username”>username</Value>\n<Value name=”Password”>pwd</Value>

  7. Der in der /rdpproxy/ -Anfrage erhaltene “rdptargetproxy” wird als “fulladdress” gesetzt und das STA Ticket (vorab mit der STA AuthID versehen) wird als “loadbalanceinfo” in die RDP-Datei gesetzt.

  8. Die RDP-Datei wird an den Client-Endpunkt zurückgesendet.

  9. Der native RDP-Client startet und stellt eine Verbindung mit dem RDPListener Gateway her. Es sendet das STA-Ticket im anfänglichen x.224-Paket.

  10. Das RDPListener Gateway validiert das STA-Ticket und ruft die RDPTarget und RDPUser Informationen ab. Der zu verwendende STA-Server wird mit der “authID” abgerufen, die im loadbalanceinfo vorhanden ist.

  11. Eine Gateway-Sitzung wird zum Speichern von Berechtigungs- und Überwachungsrichtlinien erstellt. Wenn für den Benutzer bereits eine Sitzung vorhanden ist, wird sie wiederverwendet.

  12. Das RDPListener Gateway stellt eine Verbindung mit dem RDPTarget her und Single Signs über CREDSSP.

Kompatibilität mit einem Gateway

Wenn die RDP-Datei mit der URL /rdpproxy/rdptarget/rdptargetproxy generiert wird, werden wir ein STA Ticket generieren, andernfalls wird die aktuelle Methode der “loadbalanceinfo”, die sich direkt auf die Sitzung bezieht, verwendet.

lokalisiertes Bild

Im Falle einer einzelnen Gateway-Bereitstellung wird die URL /rdpproxy zum Authenticator Gateway selbst aufgerufen. Ein STA-Server ist nicht erforderlich. Das Authenticator-Gateway kodiert das RDPtarget und das AAA-Sitzungscookie sicher und sendet dies als “loadbalanceinfo” in der RDP-Datei. Wenn der RDP-Client dieses Token im x.224-Paket sendet, dekodiert das Authenticator-Gateway die RDPtarget-Informationen, sucht die Sitzung nach und stellt eine Verbindung mit dem RDPtarget her.

Upgrade-Hinweise

Frühere Konfiguration funktioniert nicht mit dieser neuen Version, da die Parameter rdpIP und rdpPort, die zuvor auf vpn vserver konfiguriert wurden, aktualisiert wurden, um Teil des RDPServerProfile zu sein und ‘rdp Profile’ wurde in ‘rdp ClientProfile’ umbenannt und der alte Parameter ClientSSL wurde entfernt.

RDP-Serverprofil erstellen

  1. Gehen Sie zu Citrix Gateway > Richtlinien > RDP.

    lokalisiertes Bild

  2. Wechseln Sie zur Registerkarte Serverprofile und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

  3. Geben Sie die folgenden Informationen ein, um das RDP-Serverprofil zu erstellen.

    lokalisiertes Bild

Konfigurieren des RDP-Clientprofils

  1. Gehen Sie zu Citrix Gateway > Richtlinien > RDP

    lokalisiertes Bild

  2. Wechseln Sie zur Registerkarte Client-Profile und klicken Sie auf Hinzufügen.

    lokalisiertes Bild

  3. Geben Sie die folgenden Informationen ein, um das RDP-Serverprofil zu konfigurieren.

    lokalisiertes Bild

Einrichten eines virtuellen Servers

  1. Wechseln Sie zu Citrix Gateway > Virtueller Server.

    lokalisiertes Bild

  2. Klicken Sie auf Hinzufügen, um einen neuen RDP-Server zu erstellen.

    lokalisiertes Bild

  3. Füllen Sie die Daten auf dieser Seite “Grundeinstellungen” aus, und klicken Sie auf “ OK “.

    lokalisiertes Bild

  4. Klicken Sie auf den Bleistift, um die Seite zu bearbeiten.

    lokalisiertes Bild

Stateless RDP-Proxy