Citrix Gateway

Konfigurieren SmartControl

Mit SmartControl können Administratoren granulare Richtlinien definieren, um Benutzerumgebungsattribute für Citrix Virtual Apps and Desktops auf Citrix Gateway zu konfigurieren und durchzusetzen. SmartControl ermöglicht es Administratoren, diese Richtlinien von einem einzigen Standort aus zu verwalten, anstatt an jeder Instanz dieser Servertypen.

SmartControl wird durch ICA-Richtlinien auf Citrix Gateway implementiert. Jede ICA-Richtlinie ist eine Kombination aus Ausdruck und Zugriffsprofil, die auf Benutzer, Gruppen, virtuelle Server und global angewendet werden kann. ICA-Richtlinien werden ausgewertet, nachdem sich der Benutzer beim Sitzungsaufbau authentifiziert hat.

In der folgenden Tabelle sind die Attribute der Benutzerumgebung aufgeführt, die SmartControl erzwingen kann:

| | | | ———————————————————————————— | ————————————————————————————————————————————— | | ConnectClientDrives | Gibt die Standardverbindung zu den Clientlaufwerken an, wenn sich der Benutzer anmeldet. |ConnectClientLPTPorts|Gibt die automatische Verbindung von LPT-Ports vom Client an, wenn sich der Benutzer anmeldet. LPT-Ports sind die lokalen Druckeranschlüsse.| |ClientAudioRedirection|Gibt die auf dem Server gehosteten Anwendungen an, um Audio über ein auf dem Clientcomputer installiertes Soundgerät zu übertragen.| |ClientClipboardRedirection|Spezifiziert und konfiguriert den Zugriff auf die Zwischenablage auf dem Clientgerät und ordnet die Zwischenablage auf dem Server zu.| |ClientCOMPortRedirection|Gibt die COM-Port-Umleitung zum und vom Client an. COM-Ports sind die Communication-Ports. COM-Ports sind serielle Ports.| |ClientDriveRedirection|Gibt die Laufwerksumleitung zum und vom Client an.| |Multistream|Gibt die Multistream-Funktion für bestimmte Benutzer an.| |ClientUSBDeviceRedirection|Gibt die Umleitung von USB-Geräten zum und vom Client an (nur Workstation-Hosts).| |Localremotedata|Gibt die Funktion zum Hochladen von HTML5-Dateien für die Citrix Workspace-App an.| |ClientPrinterRedirection|Gibt die Clientdrucker an, die einem Server zugeordnet werden sollen, wenn sich ein Benutzer bei einer Sitzung anmeldet.| |Richtlinien|Aktion|Zugriffsprofile | |Hinzufügen|Bearbeiten|Löschen| |Bindungen anzeigen|Policy Manager|Aktion|

ICA-Richtlinien

Eine ICA-Richtlinie gibt eine Aktion, ein Zugriffsprofil, einen Ausdruck und optional eine Protokollaktion an. Auf der Registerkarte ICA-Richtlinien können Sie eine Richtlinie hinzufügen, bearbeiten, löschen, binden und Richtlinienbindungen anzeigen.

Erstellen einer ICA-Richtlinie

  1. Navigieren Sie zu Citrix Gateway > Richtlinien, und klicken Sie dann auf ICA.

  2. Klicken Sie im Detailbereich auf die Registerkarte ICA-Richtlinien, und klicken Sie dann auf Hinzufügen.

  3. Geben Sie in das Feld Name einen Namen für die Richtlinie ein.

    Richtlinienname

  4. Führen Sie neben Action einen der folgenden Schritte aus:

    • Klicken Sie auf das Symbol >, um eine bestehende Aktion auszuwählen.
    • Klicken Sie auf Hinzufügen, um eine Aktion zu erstellen.
  5. Erstellen Sie einen Ausdruck.

  6. Erstellen Sie eine Protokollaktion. Weitere Einzelheiten finden Sie unter Erstellen einer Protokollaktion.

  7. Geben Sie eine Nachricht in das Feld Kommentare ein. Der Kommentar schreibt in das Meldungslog. Das Feld ist optional.

  8. Klicken Sie auf Erstellen.

Hinzufügen einer Richtlinienbindung

  1. Navigieren Sie zu Citrix Gateway > Richtlinien, und klicken Sie dann auf ICA.

  2. Wählen Sie die ICA-Richtlinie aus der Liste aus, und klicken Sie auf Policy Manager

  3. Wählen Sie unter Bind Point eine der folgenden Richtlinien aus.

    • Global überschreiben
    • Virtueller VPN-Server
    • Virtueller Server für Cache-Umleitung
    • Standard Global
  4. Wählen Sie unter Connection Typeden Verbindungstyp aus.

    Hinweis: WENN Sie entweder den virtuellen VPN-Server oder den Bindepunkt für die Cache-Umleitung des virtuellen Servers auswählen, stellen Sie über das Menü eine Verbindung zum Server her.

  5. Klicken Sie auf Weiter.

    Seite ICA-Richtlinien

  6. Wählen Sie eine Richtlinie aus und klicken Sie auf Bindung hinzufügen.

    • Klicken Sie auf **>**, um eine vorhandene Richtlinie auszuwählen.
    • Klicken Sie auf Hinzufügen, um eine Richtlinie zu erstellen.

    Wichtig:

    Nachdem Sie die Richtlinie gebunden und die Priorität festgelegt haben und sobald die erste Übereinstimmung erreicht ist, werden die restlichen Richtlinien nicht ausgewertet. Standardmäßig ist der Wert Gehe zu Ausdruck auf END festgelegt.

Nächster Bindepunkt der ICA-Richtlinie

Hinweis:

  • Um die Bindung einer Richtlinie aufzuheben, wählen Sie die Richtlinie aus und klicken Sie auf die Schaltfläche Bindung aufheben.
  • Wählen Sie für eine Richtlinie, die keinen Bindepunkt erfordert, die Richtlinie aus und klicken Sie auf NOPOLICY binden.

    Bind-Richtlinie

Bearbeiten einer Bindung, einer Richtlinie oder einer Aktion auf der Registerkarte Richtlinien-Manager

Sie können die Bindung auf der Registerkarte Policy Manager bearbeiten.

  1. Wählen Sie die Richtlinie aus, die Sie bearbeiten möchten, und klicken Sie auf Richtlinienmanager.
  2. Klicken Sie auf Weiter.
  3. Wählen Sie unter Aktion auswählen die Aktion aus. Sie können eine Bindung, eine Richtlinie oder eine Aktion bearbeiten.
  4. Klicken Sie auf Fertig.

ICA-Aktion

Eine Aktion verbindet eine Richtlinie mit einem Zugriffsprofil. Sie können eine ICA-Aktion auf der Registerkarte ICA-Aktion hinzufügen, bearbeiten, löschen oder umbenennen:

Hinzufügen einer ICA-Aktion

  1. Navigieren Sie zu Citrix Gateway > ICA.

  2. Klicken Sie im Detailbereich auf der Registerkarte ICA-Aktion auf Hinzufügen.
  3. Geben Sie einen Namen für die ICA-Aktion ein.

    ICA-Aktion hinzufügen

  4. Klicken Sie auf das Symbol >, um ein vorhandenes ICA-Zugriffsprofil auszuwählen, oder klicken Sie auf Hinzufügen, um ein ICA-Zugriffsprofil hinzuzufügen
  5. Klicken Sie auf das Symbol >, um ein vorhandenes ICA-Latenzprofil auszuwählen, oder auf Hinzufügen, um ein ICA-Latenzprofil hinzuzufügen.

  6. Klicken Sie auf Erstellen.

Nachdem eine ICA-Aktion erstellt wurde, können Sie die Aktion auf der Registerkarte ICA-Aktion bearbeiten, löschen oder umbenennen.

Erstellen einer Protokollaktion

  1. Klicken Sie auf der Seite ICA-Richtlinie erstellen neben Protokollaktion auf Hinzufügen.

  2. Die Seite Aktion “Überwachungsnachricht erstellen “ wird angezeigt.

Aktion "Überprüfungsnachricht erstellen"

  1. Geben Sie einen Namen für die Überwachungsnachricht ein. Die Audit-Nachricht akzeptiert nur Zahlen, Buchstaben oder einen Unterstrich.

  2. Wählen Sie unter Protokollebenedie Protokollebene der Überwachung aus.

       
    Notfall Ereignisse, die auf eine unmittelbare Krise auf dem Server hindeuten.
    Alarm Ereignisse, die möglicherweise Maßnahmen erfordern.
    Kritisch Ereignisse, die auf eine bevorstehende Serverkrise hindeuten.
    Fehler Ereignisse, die auf eine Art von Fehler hinweisen.
    Warnung Ereignisse, die bald Maßnahmen erfordern.
    Beachten Ereignisse, über die der Administrator Bescheid wissen muss.
    Zur Information Alle außer Low-Level-Events.
    Debuggen Alle Ereignisse bis ins kleinste Detail.
  3. Geben Sie einen Ausdruck ein. Der Ausdruck definiert das Format und den Inhalt des Protokolls.

  4. Wählen Sie Anmelden newnslog aus, um die Nachricht an die neue nslog Datei zu senden.

  5. Klicken Sie auf Erstellen.

Auf Profile zugreifen

Ein ICA-Zugriffsprofil definiert die Einstellungen für Benutzerverbindungen.

Zugriffsprofile geben die Aktionen an, die auf die Citrix Virtual Apps and Desktops Umgebungs-ICA eines Benutzers angewendet werden, wenn das Benutzergerät die Bedingungen für den Richtlinienausdruck erfüllt. Sie können die GUI verwenden, um ICA-Profile getrennt von einer ICA-Richtlinie zu erstellen und das Profil dann für mehrere Richtlinien zu verwenden. Sie können nur ein Profil mit einer Richtlinie verwenden.

Sie können Zugriffsprofile unabhängig von einer ICA-Richtlinie erstellen. Wenn Sie die Richtlinie erstellen, können Sie das Zugriffsprofil auswählen, das an die Richtlinie angehängt werden soll. Ein Zugriffsprofil gibt die Ressourcen an, die einem Benutzer zur Verfügung stehen. Sie können ein Zugriffsprofil auf der Registerkarte Zugriffsprofile hinzufügen, bearbeiten oder löschen.

Ausdrücke

Die folgenden Ausdrücke sind die typischen ICA-Ausdrücke. Geben Sie für die HTTP-Ausdrücke den Namen mit dem “” ein und entfernen Sie ().

|                                                                                      |                                                                                                                                         |
| ------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| ICA.SERVER.PORT                                                                      | This expression checks that the port specified matches the port number on the Citrix Virtual Apps and Desktops that the user is attempting to connect. |
| ICA.SERVER.IP                                                                        | This expression checks that the IP specified matches the IP address on the Citrix Virtual Apps and Desktops that the user is attempting to connect.    |
| `AAA.USER.IS_MEMBER_OF(“”)`.NOT                                                 | This expression checks that the current connection is accessed by a user that is NOT a member of the specified group name.                |
| AAA.USER.IS_MEMBER_OF(“`group name`”)                                            | This expression checks that the user accessing the current connection is a member of the specified group.                               |
| AAA.USER.NAME.CONTAINS(“”).NOT                                                   | This expression checks that the user accessing the current connection is NOT a member of the specified group.                           |
| AAA.USER.NAME.CONTAINS(“enter `user name`”) Specifies the resources for a user name. | This expression checks that the current connection is accessed by the specified name.                                                     |
| CLIENT.IP.DST.EQ(enter the IP address here).NOT                                          | This expression checks that the destination IP of the current traffic is NOT equal to the specified IP address.                         |
| CLIENT.IP.DST.EQ(enter the IP address here)                                              | This expression checks that the destination IP of the current traffic is equal to the specified IP address.                             |
| CLIENT.TCP.DSTPORT.EQ (enter port number).NOT                                        | This expression checks that the destination port is NOT equal to the specified port number.                                             |
| CLIENT.TCP.DSTPORT.EQ (enter port number)                                            | This expression checks that the destination port is equal to the specified port number.                                                 |

Sie können auf der Seite ICA-Richtlinie erstellen auf den Link Ausdruckseditor klicken, um einen Ausdruck zu erstellen.

Hinweis: Um eine vorhandene Protokollaktion zu ändern, klicken Sie auf der Seite ICA-Richtlinie erstellen neben Protokollaktion auf Bearbeiten .

Konfigurieren der Vor- und Endpunktanalyse nach der Authentifizierung

Sie können Endpoint Analysis für die Vor- oder Nachauthentifizierung konfigurieren.

  • Für die Nachauthentifizierung müssen Sie den Endpoint Analysis-Ausdruck für eine oder mehrere Sitzungsrichtlinien konfigurieren. Um EPA nach der Authentifizierung mit SmartControl zu konfigurieren, verwenden Sie den Smartgroup Parameter aus der VPN-Sitzungsaktion. Der EPA-Ausdruck ist in der VPN-Sitzungsrichtlinie konfiguriert. Sie können einen Gruppennamen für den Smartgroup-Parameter angeben. Dieser Gruppenname kann eine beliebige Zeichenfolge sein. Der Gruppenname muss keine existierende Gruppe im Active Directory sein.

    Konfigurieren Sie die ICA-Richtlinie mit dem Ausdruck HTTP.REQ.IS_MEMBER_OF (“groupname”). Verwenden Sie den Gruppennamen, der zuvor für die Smartgroup angegeben wurde.

  • Für die Vorauthentifizierung müssen Sie einen Endpoint Analysis-Ausdruck in einer Vorauthentifizierungsrichtlinie konfigurieren. Um die Vorauthentifizierung von EPA mit SmartControl zu konfigurieren, verwenden Sie den Standard-EPA-Gruppenparameter aus dem Vorauthentifizierungsprofil. Der EPA-Ausdruck ist in der Vorauthentifizierungsrichtlinie konfiguriert. Sie können einen Gruppennamen für den Standard-EPA-Gruppenparameter angeben. Dieser Gruppenname kann eine beliebige Zeichenfolge sein. Der Gruppenname muss keine existierende Gruppe im Active Directory sein.

    Konfigurieren Sie die ICA-Richtlinie mit dem Ausdruck HTTP.REQ.IS_MEMBER_OF (“groupname”) und verwenden Sie den Gruppennamen, der zuvor für die Standard-EPA-Gruppe angegeben wurde.

Konfiguration nach der Authentifizierung

Gehen Sie wie folgt vor, um Smart Groups für die Konfiguration nach der Authentifizierung einzurichten.

  1. Navigieren Sie zu Citrix Gateway > Richtlinien > Sitzung.

  2. Klicken Sie auf Sitzungsprofileund dann auf Hinzufügen.

  3. Klicken Sie auf die Registerkarte Sicherheit.

    Sitzung hinzufügen

  4. Geben Sie einen Namen für Ihr Citrix Gateway-Profil ein (Aktion).

  5. Wählen Sie unter Standardautorisierungsaktiondie Aktion gemäß Ihrer Anforderung aus.

    Geben Sie die Netzwerkressourcen an, auf die Benutzer Zugriff haben, wenn sie sich am internen Netzwerk anmelden. Die Standardeinstellung für die Autorisierung besteht darin, den Zugriff auf alle Netzwerkressourcen zu verweigern. Citrix empfiehlt, die globale Standardeinstellung zu verwenden und dann Autorisierungsrichtlinien zu erstellen, um die Netzwerkressourcen zu definieren, auf die Benutzer zugreifen können. Wenn Sie die Standard-Autorisierungsrichtlinie auf DENY festlegen, müssen Sie den Zugriff auf jede Netzwerkressource explizit autorisieren, was die Sicherheit verbessert.

  6. Aktivieren oder deaktivieren Sie in Secure Browse das sichere Browsing gemäß Ihren Anforderungen.

    Ermöglichen Sie Benutzern die Verbindung über Citrix Gateway mit Netzwerkressourcen von iOS- und Android-Mobilgeräten mit der Citrix Workspace-App. Benutzer müssen keinen vollständigen VPN-Tunnel einrichten, um auf Ressourcen im sicheren Netzwerk zuzugreifen.

  7. Geben Sie in Smartgroup den Standardgruppennamen ein, der nach erfolgreicher Authentifizierung ausgewählt werden muss.

    Dies ist die Gruppe, in die der Benutzer platziert wird, wenn die mit dieser Sitzungsaktion verknüpfte Sitzungsrichtlinie erfolgreich ist. Die VPN-Sitzungsrichtlinie führt die EPA-Prüfung nach der Authentifizierung durch, und wenn die Prüfung erfolgreich ist, wird der Benutzer in die Gruppe aufgenommen, die mit einer Smartgroup angegeben wurde. Der Ausdruck is_member_of (aaa.user.is_member_of) kann dann mit Richtlinien verwendet werden, um zu überprüfen, ob die EPA den zu dieser intelligenten Gruppe gehörenden Benutzer weitergegeben hat.

  8. Klicken Sie auf Erstellen.

  9. Klicken Sie auf Sitzungsrichtlinien und dann auf Hinzufügen.

  10. Geben Sie den Namen für die neue Sitzungsrichtlinie ein, die angewendet wird, nachdem sich der Benutzer bei Citrix Gateway angemeldet hat.

  11. Wählen Sie über das Menü die Aktion Profil aus.

    Die Aktion, die von der neuen Sitzungsrichtlinie angewendet wird, wenn das Regelkriterium erfüllt ist.

    Hinweis: Wenn das gewünschte Profil erstellt werden muss, wählen Sie das + aus. Weitere Einzelheiten finden Sie unter Erstellen eines Citrix Gateway-Sitzungsprofils.

  12. Definieren Sie im Ausdruckden Ausdruck, der den Datenverkehr angibt, der der Richtlinie entspricht.

    Die maximale Länge einer literalen Zeichenfolge für den Ausdruck beträgt 255 Zeichen. Eine längere Zeichenfolge kann in kleinere Zeichenfolgen mit jeweils bis zu 255 Zeichen aufgeteilt werden, und die kleineren Zeichenfolgen werden mit dem Operator + verkettet. Beispielsweise können Sie eine Zeichenfolge mit 500 Zeichen wie folgt erstellen: ‘”” + “”’

    Die folgenden Anforderungen gelten nur für die Citrix ADC CLI:

    • Wenn der Ausdruck ein oder mehrere Leerzeichen enthält, schließen Sie den gesamten Ausdruck in doppelte Anführungszeichen ein.
    • Wenn der Ausdruck selbst doppelte Anführungszeichen enthält, entkommen Sie den Anführungszeichen mithilfe des Zeichens.* Alternativ können Sie einfache Anführungszeichen verwenden, um die Regel einzuschließen. In diesem Fall müssen Sie die doppelten Anführungszeichen nicht entkommen.

    Hinweis: Klassische Richtlinienausdrücke sind von Citrix ADC Version 13.1 und höher veraltet. Citrix empfiehlt die Verwendung erweiterter Richtlinien. Weitere Informationen finden Sie unter Erweiterte Richtlinien.

  13. Klicken Sie auf Erstellen.

  14. Wählen Sie auf der Seite Sitzungsrichtlinien die Sitzungsrichtlinie aus und klicken Sie im Menü Aktion auswählen auf Globale Bindungen .

  15. Klicken Sie unter Richtlinie auswählenauf **, um eine vorhandene Richtlinie auszuwählen oder eine neue Richtlinie hinzuzufügen.

  16. Geben Sie die Priorität ein und klicken Sie auf Binden.

  17. Klicken Sie auf Fertig.

Konfiguration vor der Authentifizierung

Gehen Sie wie folgt vor, um die Konfiguration vor der Authentifizierung einzurichten.

  1. Wechseln Sie zu Citrix Gateway > Richtlinien > Vorauthentifizierung.

  2. Wählen Sie die Registerkarte Vorauthentifizierungsprofile und wählen Sie Hinzufügen.

    Vorauthentifizierungsprofil hinzufügen

  3. Geben Sie den Namen für die Vorauthentifizierungsaktion ein.

    Der Name muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und darf nur aus Buchstaben, Zahlen und dem Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstrichen bestehen. Kann nicht geändert werden, nachdem eine Vorauthentifizierungsaktion erstellt wurde.

    Hinweis: Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, schließen Sie den Namen in doppelte oder einfache Anführungszeichen ein.

  4. Wählen Sie unter Aktioneine Anforderungsaktion aus, die die Richtlinie aufrufen soll, wenn eine Verbindung mit der Richtlinie übereinstimmt. Diese Option kann verwendet werden, um die Anmeldung nach Endpoint Analysis-Ergebnissen (EPA) zuzulassen oder zu verweigern.

  5. Geben Sie unter Zu stornierende Prozessedie Zeichenfolge der Prozesse ein, die das Endpoint Analysis (EPA) -Tool beenden muss.

  6. Geben Sie im Feld Zu löschende Dateiendie Zeichenfolge ein, die die Pfade und Namen der Dateien angibt, die das Endpoint Analysis (EPA) -Tool löschen muss.

  7. Geben Sie im Feld Standard-EPA-Gruppedie Standard-EPA-Gruppe ein, die ausgewählt werden muss, wenn die EPA-Prüfung erfolgreich ist.

  8. Klicken Sie auf Erstellen.

  9. Wählen Sie auf der Seite Vorauthentifizierungsrichtlinien die Vorauthentifizierungsrichtlinie aus und klicken Sie im Menü Aktion auswählen auf Globale Bindungen .

  10. Klicken Sie unter Richtlinie auswählenauf **, um eine vorhandene Richtlinie auszuwählen oder eine neue Richtlinie hinzuzufügen.

  11. Geben Sie die Priorität ein und klicken Sie auf Binden.

  12. Klicken Sie auf Fertig.

Konfigurieren SmartControl