Citrix Gateway

Kommunikationsfluss in einer Double-Hop-DMZ-Bereitstellung

Um die Konfigurationsprobleme einer Double-Hop-DMZ-Bereitstellung zu verstehen, müssen Sie über ein grundlegendes Verständnis darüber verfügen, wie die verschiedenen Komponenten von Citrix Gateway und Citrix Virtual Apps in einer Double-Hop-DMZ-Bereitstellung kommunizieren, um eine Benutzerverbindung zu unterstützen. Der Verbindungsprozess für StoreFront und das Webinterface ist derselbe.

Obwohl der Benutzerverbindungsprozess in einem kontinuierlichen Fluss stattfindet, sind die folgenden Schritte auf hoher Ebene in den Prozess involviert.

  • Benutzer authentifizieren
  • Erstellen Sie ein Sitzungsticket
  • Starten Sie die Citrix Workspace-App
  • Schließen Sie die Verbindung ab

Die folgende Abbildung zeigt die Schritte, die bei der Benutzerverbindung mit StoreFront oder dem Webinterface auftreten. Im sicheren Netzwerk führen Computer, auf denen Citrix Virtual Apps ausgeführt werden, auch die Secure Ticket Authority (STA), den XML-Dienst und veröffentlichte Anwendungen aus.

Verbindungsprozess in einer Double-Hop-DMZ

Prozess der Verbindung

Die Authentifizierung von Benutzern ist der erste Schritt des Benutzerverbindungsprozesses in einer Double-Hop-DMZ-Bereitstellung.

Die folgende Abbildung zeigt den Benutzerverbindungsprozess in dieser Bereitstellung.

Benutzerauthentifizierungsprozess in einer Double-Hop-DMZ

Während der Benutzerauthentifizierungsphase findet der folgende grundlegende Prozess statt:

  1. Ein Benutzer gibt die Adresse von Citrix Gateway ein, z. B. https://www.ng.wxyco.com in einem Webbrowser, um eine Verbindung zu Citrix Gateway in der ersten DMZ herzustellen. Wenn Sie die Authentifizierung der Anmeldeseite auf Citrix Gateway aktiviert haben, authentifiziert Citrix Gateway den Benutzer.
  2. Citrix Gateway in der ersten DMZ erhält die Anfrage.
  3. Citrix Gateway leitet die Webbrowser-Verbindung zum Webinterface um.
  4. Das Webinterface sendet die Benutzeranmeldeinformationen an den Citrix XML-Dienst, der in der Serverfarm im internen Netzwerk ausgeführt wird.
  5. Der Citrix XML-Dienst authentifiziert den Benutzer.
  6. Der XML-Dienst erstellt eine Liste der veröffentlichten Anwendungen, auf die der Benutzer zugreifen darf, und sendet diese Liste an das Webinterface.

    Hinweis:

    • Wenn Sie die Authentifizierung auf Citrix Gateway aktivieren, sendet das Gerät die Citrix Gateway-Anmeldeseite an den Benutzer. Der Benutzer gibt die Authentifizierungsanmeldeinformationen auf der Anmeldeseite ein und die Appliance authentifiziert den Benutzer. Citrix Gateway gibt dann die Benutzeranmeldeinformationen an das Webinterface zurück.

    • Wenn Sie die Authentifizierung nicht aktivieren, führt Citrix Gateway keine Authentifizierung durch. Die Appliance stellt eine Verbindung zum Webinterface her, ruft die Webinterface-Anmeldeseite ab und sendet die Webinterface-Anmeldeseite an den Benutzer. Der Benutzer gibt die Authentifizierungsanmeldeinformationen auf der Webinterface-Anmeldeseite ein und Citrix Gateway übergibt die Benutzeranmeldeinformationen zurück an das Webinterface.

    Das Erstellen des Sitzungsticket ist die zweite Phase des Benutzerverbindungsprozesses in einer Double-Hop-DMZ-Bereitstellung.

    Während der Erstellungsphase des Sitzungsticket findet der folgende grundlegende Prozess statt:

  7. Das Webinterface kommuniziert sowohl mit dem XML-Dienst als auch mit der Secure Ticket Authority (STA) im internen Netzwerk, um Sitzungstickets für jede der veröffentlichten Anwendungen zu erstellen, auf die der Benutzer zugreifen darf. Das Sitzungsticket enthält eine Aliasadresse für den Computer, auf dem Citrix Virtual Apps ausgeführt wird und der eine veröffentlichte Anwendung hostet.
  8. Die STA speichert die IP-Adressen der Server, die die veröffentlichten Anwendungen hosten. Die STA sendet dann die angeforderten Sitzungstickets an das Webinterface. Jedes Sitzungsticket enthält einen Alias, der die IP-Adresse des Servers darstellt, der die veröffentlichte Anwendung hostet, jedoch nicht die tatsächliche IP-Adresse.
  9. Das Webinterface generiert eine ICA-Datei für jede der veröffentlichten Anwendungen. Die ICA-Datei enthält das von der STA ausgestellte Ticket. Das Webinterface erstellt und füllt dann eine Webseite mit einer Liste von Links zu den veröffentlichten Anwendungen und sendet diese Webseite an den Webbrowser auf dem Benutzergerät.

    Das Starten der Citrix Workspace-App ist die dritte Stufe des Benutzerverbindungsprozesses in einer Double-Hop-DMZ-Bereitstellung. Der grundlegende Prozess ist wie folgt:

  10. Der Benutzer klickt im Webinterface auf einen Link zu einer veröffentlichten Anwendung. Das Webinterface sendet die ICA-Datei für diese veröffentlichte Anwendung an den Browser für das Benutzergerät.

    Die ICA-Datei enthält Daten, die den Webbrowser anweisen, Receiver zu starten.

    Die ICA-Datei enthält auch den vollqualifizierten Domänennamen (FQDN) oder den Domänennamensystem (DNS) -Namen des Citrix Gateway in der ersten DMZ.

  11. Der Webbrowser startet Receiver und der Benutzer stellt eine Verbindung zu Citrix Gateway in der ersten DMZ her, indem er den Namen Citrix Gateway in der ICA-Datei verwendet. Das anfängliche SSL/TLS-Handshaking erfolgt, um die Identität des Servers festzustellen, auf dem Citrix Gateway ausgeführt wird.

    Das Herstellen der Verbindung ist die vierte und letzte Phase des Benutzerverbindungsprozesses in einer Double-Hop-DMZ-Bereitstellung.

    Während der Verbindungsabschlussphase findet der folgende grundlegende Prozess statt:

    • Der Benutzer klickt im Webinterface auf einen Link zu einer veröffentlichten Anwendung.
    • Der Webbrowser erhält die vom Webinterface generierte ICA-Datei und startet die Citrix Workspace-App. Hinweis: Die ICA-Datei enthält Code, der den Webbrowser anweist, die Citrix Workspace-App zu starten.
    • Die Citrix Workspace-App initiiert in der ersten DMZ eine ICA-Verbindung zu Citrix Gateway.
    • Citrix Gateway in der ersten DMZ kommuniziert mit der Secure Ticket Authority (STA) im internen Netzwerk, um die Aliasadresse im Sitzungsticket auf die tatsächliche IP-Adresse eines Computers aufzulösen, auf dem Citrix Virtual Apps oder StoreFront ausgeführt wird. Diese Kommunikation wird vom Citrix Gateway-Proxy über die zweite DMZ geleitet.
    • Citrix Gateway in der ersten DMZ stellt die ICA-Verbindung zur Citrix Workspace-App her.
    • Die Citrix Workspace-App kann jetzt über beide Citrix Gateway-Appliances mit dem Computer kommunizieren, auf dem Citrix Virtual Apps im internen Netzwerk ausgeführt wird.

    Die detaillierten Schritte zum Abschließen des Benutzerverbindungsvorgangs lauten wie folgt:

  12. Die Citrix Workspace-App sendet das STA-Ticket für die veröffentlichte Anwendung an Citrix Gateway in der ersten DMZ.
  13. Citrix Gateway in der ersten DMZ kontaktiert die STA im internen Netzwerk zur Ticketvalidierung. Um die STA zu kontaktieren, baut Citrix Gateway eine SOCKS oder SOCKS mit SSL-Verbindung zum Citrix Gateway-Proxy in der zweiten DMZ auf.
  14. Der Citrix Gateway-Proxy in der zweiten DMZ leitet die Anforderung zur Ticketvalidierung an die STA im internen Netzwerk weiter. Die STA validiert das Ticket und ordnet es dem Computer zu, auf dem Citrix Virtual Apps ausgeführt wird, auf dem die veröffentlichte Anwendung gehostet wird.
  15. Die STA sendet eine Antwort an den Citrix Gateway-Proxy in der zweiten DMZ, die in der ersten DMZ an Citrix Gateway übergeben wird. Diese Antwort schließt die Ticketvalidierung ab und enthält die IP-Adresse des Computers, der die veröffentlichte Anwendung hostet.
  16. Citrix Gateway in der ersten DMZ integriert die Adresse des Citrix Virtual Apps-Servers in das Benutzerverbindungspaket und sendet dieses Paket an den Citrix Gateway-Proxy in der zweiten DMZ.
  17. Der Citrix Gateway-Proxy in der zweiten DMZ stellt eine Verbindungsanforderung an den im Verbindungspaket angegebenen Server.
  18. Der Server reagiert auf den Citrix Gateway-Proxy in der zweiten DMZ. Der Citrix Gateway-Proxy in der zweiten DMZ übergibt diese Antwort an Citrix Gateway in der ersten DMZ, um die Verbindung zwischen dem Server und Citrix Gateway in der ersten DMZ herzustellen.
  19. Citrix Gateway in der ersten DMZ vervollständigt den SSL/TLS-Handshake mit dem Benutzergerät, indem das endgültige Verbindungspaket an das Benutzergerät übergeben wird. Die Verbindung vom Benutzergerät zum Server wird hergestellt.
  20. Der ICA-Verkehr fließt zwischen dem Benutzergerät und dem Server über Citrix Gateway in der ersten DMZ und den Citrix Gateway-Proxy in der zweiten DMZ.
Kommunikationsfluss in einer Double-Hop-DMZ-Bereitstellung