Citrix Gateway

Checkliste für Gateway-Vorinstallation

Die Checkliste besteht aus einer Liste von Aufgaben und Planungsinformationen, die Sie vor der Installation von Citrix Gateway ausführen müssen.

Es ist Platz vorhanden, damit Sie jede Aufgabe abhaken und sich Notizen machen können. Citrix empfiehlt, dass Sie sich die Konfigurationswerte notieren, die Sie während des Installationsvorgangs und während der Konfiguration von Citrix Gateway eingeben müssen.

Schritte zum Installieren und Konfigurieren von Citrix Gateway finden Sie unter Installieren von Citrix Gateway.

Benutzergeräte

Citrix Gateway grundlegende Netzwerkkonnektivität

Citrix empfiehlt, Lizenzen und signierte Serverzertifikate zu beziehen, bevor Sie mit der Konfiguration der Appliance beginnen.

  • Identifizieren und notieren Sie den Hostnamen von Citrix Gateway. Hinweis: Dies ist nicht der vollqualifizierte Domainname (FQDN). Der FQDN ist im signierten Serverzertifikat enthalten, das an den virtuellen Server gebunden ist.
  • Beziehen Sie Universal-Lizenzen von der Citrix Website
  • Generieren Sie eine Certificate Signing Request (CSR) und senden Sie sie an eine Zertifizierungsstelle (CA). Geben Sie das Datum ein, an dem Sie die CSR an die Zertifizierungsstelle senden.
  • Notieren Sie die System-IP-Adresse und die Subnetzmaske.
  • Notieren Sie die Subnetz-IP-Adresse und die Subnetzmaske.
  • Notieren Sie sich das Administratorkennwort. Das Standardkennwort, das mit Citrix Gateway geliefert wird, lautet nsroot.
  • Notieren Sie sich die Portnummer, auf der Citrix Gateway auf sichere Benutzerverbindungen wartet. Der Standardwert ist TCP-Port 443. Dieser Port muss an der Firewall zwischen dem ungesicherten Netzwerk (Internet) und der DMZ geöffnet sein.
  • Notieren Sie sich die standardmäßige Gateway-IP-Adresse.
  • Notieren Sie die IP-Adresse und Portnummer des DNS-Servers. Die Standardportnummer ist 53. Wenn Sie den DNS-Server direkt hinzufügen, müssen Sie außerdem ICMP (Ping) auf der Appliance konfigurieren.
  • Notieren Sie die erste IP-Adresse und den Hostnamen des virtuellen Servers.
  • Notieren Sie die IP-Adresse und den Hostnamen des zweiten virtuellen Servers (falls zutreffend).
  • Notieren Sie die IP-Adresse des WINS-Servers (falls zutreffend).

Interne Netzwerke, die über Citrix Gateway zugänglich sind

  • Notieren Sie die internen Netzwerke, auf die Benutzer über Citrix Gateway zugreifen können. Beispiel: 10.10.0.0/24
  • Geben Sie alle internen Netzwerke und Netzwerksegmente ein, auf die Benutzer zugreifen müssen, wenn sie mit Citrix Secure Access Agent eine Verbindung über Citrix Gateway herstellen.

Hohe Verfügbarkeit

Wenn Sie über zwei Citrix Gateway-Appliances verfügen, können Sie sie in einer Hochverfügbarkeitskonfiguration bereitstellen, in der ein Citrix Gateway Verbindungen akzeptiert und verwaltet, während ein zweites Citrix Gateway das erste Gerät überwacht. Wenn das erste Citrix Gateway aus irgendeinem Grund keine Verbindungen mehr akzeptiert, übernimmt das zweite Citrix Gateway die Kontrolle und beginnt aktiv Verbindungen zu akzeptieren.

  • Notieren Sie sich die Versionsnummer der Citrix Gateway-Software.
  • Die Versionsnummer muss auf beiden Citrix Gateway-Appliances identisch sein.
  • Notieren Sie sich das Administratorkennwort (nsroot). Das Kennwort muss auf beiden Geräten gleich sein.
  • Notieren Sie die primäre Citrix Gateway-IP-Adresse und -ID. Die maximale ID-Nummer beträgt 64.
  • Notieren Sie die sekundäre Citrix Gateway IP-Adresse und ID.
  • Besorgen und installieren Sie die Universal-Lizenz auf beiden Geräten.
  • Installieren Sie dieselbe Universal-Lizenz auf beiden Appliances.
  • Notieren Sie sich das RPC-Knotenkennwort.

Authentifizierung und Autorisierung

Citrix Gateway unterstützt verschiedene Authentifizierungs- und Autorisierungstypen, die in verschiedenen Kombinationen verwendet werden können. Ausführliche Informationen zur Authentifizierung und Autorisierung finden Sie unter Authentifizierung und Autorisierung.

LDAP-Authentifizierung

Wenn Ihre Umgebung einen LDAP-Server enthält, können Sie LDAP für die Authentifizierung verwenden.

  • Notieren Sie die IP-Adresse und den Port des LDAP-Servers.

    Wenn Sie unsichere Verbindungen zum LDAP-Server zulassen, ist der Standardport 389. Wenn Sie Verbindungen zum LDAP-Server mit SSL verschlüsseln, ist der Standardport 636.

  • Notieren Sie sich den Sicherheitstyp.

    Sie können die Sicherheit mit oder ohne Verschlüsselung konfigurieren.

  • Notieren Sie den Administrator-Bind-DN.

    Wenn Ihr LDAP-Server eine Authentifizierung erfordert, geben Sie den Administrator-DN ein, den Citrix Gateway zur Authentifizierung verwenden muss, wenn Sie Abfragen an das LDAP-Verzeichnis stellen. Ein Beispiel ist cn=Administrator, CN=Users, dc=ace, dc=com.

  • Notieren Sie sich das Administratorkennwort.

    Das Kennwort ist mit dem Administrator-Bind-DN verknüpft.

  • Notieren Sie den Basis-DN.

    DN (oder Verzeichnisebene), unter dem sich Benutzer befinden; zum Beispiel ou=users, dc=ace, dc=com.

  • Notieren Sie das Attribut für den Serveranmeldenamen.

    Geben Sie das LDAP-Verzeichnis Personenobjektattribut ein, das den Anmeldenamen eines Benutzers angibt. Der Standardwert ist sAMAccountName. Wenn Sie Active Directory nicht verwenden, lauten die üblichen Werte für diese Einstellung cn oder uid. Weitere Informationen zu LDAP-Verzeichniseinstellungen finden Sie unter Konfigurieren der LDAP-Authentifizierung

  • Notieren Sie das Gruppenattribut. Geben Sie das LDAP-Verzeichnis Personenobjektattribut ein, das die Gruppen angibt, zu denen ein Benutzer gehört. Die Standardeinstellung ist MemberOf. Mit diesem Attribut kann Citrix Gateway die Verzeichnisgruppen identifizieren, zu denen ein Benutzer gehört.
  • Notieren Sie den Namen des Unterattributs.

RADIUS-Authentifizierung und Autorisierung

Wenn Ihre Umgebung einen RADIUS-Server enthält, können Sie RADIUS für die Authentifizierung verwenden. Die RADIUS-Authentifizierung umfasst RSA SecurID-, SafeWord- und Gemalto Protiva-Produkte.

  • Notieren Sie die IP-Adresse und den Port des primären RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie das primäre RADIUS-Server-Secret (Shared Secret).
  • Notieren Sie die IP-Adresse und den Port des sekundären RADIUS-Servers. Der Standardport ist 1812.
  • Notieren Sie das sekundäre RADIUS-Server-Secret (Shared Secret)
  • Notieren Sie sich die Art der Kennwortkodierung (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

SAML-Authentifizierung

Die Security Assertion Markup Language (SAML) ist ein XML-basierter Standard für den Austausch von Authentifizierung und Autorisierung zwischen Identity Providern (IdP) und Service Providern.

  • Besorgen und installieren Sie auf Citrix Gateway ein sicheres IdP-Zertifikat.
  • Notieren Sie sich die Umleitungs-URL.
  • Notieren Sie sich das Benutzerfeld.
  • Notieren Sie den Namen des Signaturzertifikats.
  • Notieren Sie den Namen des SAML-Ausstellers.
  • Notieren Sie die Standardauthentifizierungsgruppe.

Ports durch die Firewalls öffnen (Single-Hop-DMZ)

Wenn Ihre Organisation das interne Netzwerk mit einer einzigen DMZ schützt und Sie das Citrix Gateway in der DMZ bereitstellen, öffnen Sie die folgenden Ports durch die Firewalls. Wenn Sie zwei Citrix Gateway-Appliances in einer Double-Hop-DMZ-Bereitstellung installieren, lesen Sie Öffnen der entsprechenden Ports auf den Firewalls.

Auf der Firewall zwischen dem ungesicherten Netzwerk und der DMZ

  • Öffnen Sie einen TCP/SSL-Port (Standard 443) auf der Firewall zwischen dem Internet und Citrix Gateway. Benutzergeräte stellen über diesen Port eine Verbindung zu Citrix Gateway her.

Auf der Firewall zwischen dem gesicherten Netzwerk

  • Öffnen Sie einen oder mehrere geeignete Ports an der Firewall zwischen der DMZ und dem gesicherten Netzwerk. Citrix Gateway stellt eine Verbindung zu einem oder mehreren Authentifizierungsservern oder zu Computern her, auf denen Citrix Virtual Apps and Desktops im gesicherten Netzwerk an diesen Ports ausgeführt wird.
  • Notieren Sie die Authentifizierungsports.

    Öffnen Sie nur den für Ihre Citrix Gateway-Konfiguration geeigneten Port.

    • Für LDAP-Verbindungen ist der Standardwert TCP-Port 389.
    • Für eine RADIUS-Verbindung ist der Standardwert der UDP-Port 1812. Notieren Sie die Ports für Citrix Virtual Apps and Desktops.
  • Wenn Sie Citrix Gateway mit Citrix Virtual Apps and Desktops verwenden, öffnen Sie den TCP-Port 1494. Wenn Sie die Sitzungszuverlässigkeit aktivieren, öffnen Sie den TCP-Port 2598 anstelle von 1494. Citrix empfiehlt, diese beiden Ports offen zu halten.

Citrix Virtual Desktops, Citrix Virtual Apps, das Webinterface oder StoreFront

Führen Sie die folgenden Aufgaben aus, wenn Sie Citrix Gateway bereitstellen, um Zugriff auf Citrix Virtual Apps and Desktops über das Webinterface oder StoreFront zu gewähren. Citrix Secure Access Agent ist für diese Bereitstellung nicht erforderlich. Benutzer greifen über Citrix Gateway auf veröffentlichte Anwendungen und Desktops zu, indem sie nur Webbrowser und Citrix Receiver verwenden.

  • Notieren Sie den FQDN oder die IP-Adresse des Servers, auf dem das Webinterface oder StoreFront ausgeführt wird.
  • Notieren Sie den FQDN oder die IP-Adresse des Servers, auf dem die Secure Ticket Authority (STA) ausgeführt wird (nur für das Webinterface).

Citrix Endpoint Management

Führen Sie die folgenden Aufgaben aus, wenn Sie Citrix Endpoint Management in Ihrem internen Netzwerk bereitstellen. Wenn Benutzer über ein externes Netzwerk wie das Internet eine Verbindung zu Endpoint Management herstellen, müssen Benutzer eine Verbindung zu Citrix Gateway herstellen, bevor sie auf Mobil-, Web- und SaaS-Apps zugreifen können.

  • Notieren Sie den FQDN oder die IP-Adresse von Endpoint Management.
  • Identifizieren Sie Web-, SaaS- und mobile iOS- oder Android-Anwendungen, auf die Benutzer zugreifen können.

Double-Hop-DMZ-Bereitstellung mit Citrix Virtual Apps

Führen Sie die folgenden Aufgaben aus, wenn Sie zwei Citrix Gateway-Appliances in einer Double-Hop-DMZ-Konfiguration bereitstellen, um den Zugriff auf Server zu unterstützen, auf denen Citrix Virtual Apps ausgeführt wird.

Citrix Gateway in der ersten DMZ

Die erste DMZ ist die DMZ am äußersten Rand Ihres internen Netzwerks (am nächsten zum Internet oder unsicherem Netzwerk). Clients verbinden sich in der ersten DMZ über die Firewall, die das Internet von der DMZ trennt, mit Citrix Gateway. Sammeln Sie diese Informationen, bevor Sie Citrix Gateway in der ersten DMZ installieren.

  • Füllen Sie die Elemente im Abschnitt Citrix Gateway Basic Network Connectivity dieser Checkliste für dieses Citrix Gateway aus.

    Wenn diese Elemente abgeschlossen sind, verbindet Interface 0 dieses Citrix Gateway mit dem Internet und Interface 1 verbindet dieses Citrix Gateway mit Citrix Gateway in der zweiten DMZ.

  • Konfigurieren Sie die zweiten DMZ-Appliance-Informationen auf dem primären Gerät.

    Um Citrix Gateway als ersten Hop in der Double-Hop-DMZ zu konfigurieren, müssen Sie den Hostnamen oder die IP-Adresse von Citrix Gateway in der zweiten DMZ auf dem Gerät in der ersten DMZ angeben. Nachdem Sie im ersten Hop angegeben haben, wann der Citrix Gateway-Proxy auf dem Gerät konfiguriert ist, binden Sie ihn global an Citrix Gateway oder an einen virtuellen Server.

  • Notieren Sie das Verbindungsprotokoll und den Port zwischen Geräten.

    Um Citrix Gateway als ersten Hop in der doppelten DMZ zu konfigurieren, müssen Sie das Verbindungsprotokoll und den Port angeben, auf dem Citrix Gateway in der zweiten DMZ auf Verbindungen wartet. Das Verbindungsprotokoll und der Port sind SOCKS mit SSL (Standardport 443). Das Protokoll und der Port müssen durch die Firewall geöffnet sein, die die erste DMZ und die zweite DMZ trennt.

Citrix Gateway in der zweiten DMZ

Die zweite DMZ ist die DMZ, die Ihrem internen, sicheren Netzwerk am nächsten liegt. Citrix Gateway, das in der zweiten DMZ bereitgestellt wird, dient als Proxy für ICA-Verkehr und durchquert die zweite DMZ zwischen den externen Benutzergeräten und den Servern im internen Netzwerk.

  • Schließen Sie die Aufgaben im Abschnitt Citrix Gateway Basic Network Connectivity dieser Checkliste für dieses Citrix Gateway ab.

    Wenn diese Elemente fertiggestellt werden, verbindet Interface 0 dieses Citrix Gateway mit Citrix Gateway in der ersten DMZ. Schnittstelle 1 verbindet dieses Citrix Gateway mit dem gesicherten Netzwerk.