Citrix Gateway

Konfigurieren von Always-On-VPN vor der Windows Anmeldung

In diesem Abschnitt werden die Details zur Konfiguration von Always On VPN vor der Windows-Anmeldung mithilfe einer erweiterten Richtlinie erfasst.

Voraussetzungen

  • Citrix Gateway und VPN-Plug-In müssen Version 13.0.41.20 und höher sein.
  • Citrix ADC Advanced Edition und höher ist erforderlich, damit die Lösung funktioniert.
  • Sie können die Funktionalität nur mithilfe erweiterter Richtlinien konfigurieren.
  • Der virtuelle VPN-Server muss betriebsbereit sein.

Hochrangige Konfigurationsschritte

Die Konfiguration “ Always On VPN vor der Windows-Anmeldung “ umfasst die folgenden Schritte auf hoher Ebene:

  1. Richten Sie einen Tunnel auf Maschinenebene ein
  2. Richten Sie einen Tunnel auf Benutzerebene ein (optional)
  3. Benutzerauthentifizierung aktivieren
    1. Konfigurieren Sie den virtuellen VPN-Server und binden Sie den Zertifikatsschlüssel an den virtuellen Server.
    2. Ein Authentifizierungsprofil erstellen
    3. Erstellen Sie einen virtuellen Authentifizierungsserver
    4. Erstellen von Authentifizierungsrichtlinien
    5. Binden Sie die Richtlinien an das Authentifizierungsprofil

Tunnel auf Maschinenebene

Der Tunnel auf Maschinenebene wird in Richtung Citrix Gateway mithilfe des Gerätezertifikats als Identität eingerichtet. Das Gerätezertifikat muss auf dem Clientcomputer unter dem Maschinenspeicher installiert sein. Dies gilt nur für den Dienst Always On vor dem Windows-Anmeldedienst.

Weitere Informationen zum Gerätezertifikat finden Sie unter Verwenden von Gerätezertifikaten für die Authentifizierung.

Wichtig:

Wenn der virtuelle VPN-Server auf der Citrix Gateway-Appliance auf einem nicht standardmäßigen Port (außer 443) konfiguriert ist, funktioniert der Tunnel auf Computerebene nicht wie vorgesehen.

Richten Sie den Tunnel auf Maschinenebene mithilfe des Gerätezertifikats ein

Konfiguration der gerätezertifikatbasierten Authentifizierung über die GUI

  1. Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
  2. Wählen Sie auf der Seite Citrix Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite VPN Virtual Server auf das Bearbeitungssymbol.
  4. Klicken Sie neben dem Abschnitt CA for Device Certificate auf Hinzufügen und dann auf OK.

    CA für Gerätezertifikat hinzufügen

    Hinweis: Aktivieren Sie nicht das Kontrollkästchen Gerätezertifikat aktivieren .

  5. Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt Zertifikat auf CA-Zertifikat. Klicken Sie auf der Seite SSL Virtual Server CA Certificate Binding auf Bindung hinzufügen.

    Hinweis:

    • Das Feld Subject Common Name (CN) des Gerätezertifikats darf nicht leer sein. Wenn ein Gerät versucht, sich mit leeren CN-Gerätezertifikaten anzumelden, wird seine VPN-Sitzung mit dem Benutzernamen als “anonym” erstellt. Wenn in IIP mehrere Sitzungen denselben Benutzernamen haben, werden frühere Sitzungen getrennt. Wenn IIP aktiviert ist, bemerken Sie die Auswirkungen auf die Funktionalität aufgrund eines leeren gebräuchlichen Namens.
    • Alle CA-Zertifikate (Root und Intermediate), die das an Clients ausgestellte Gerätezertifikat möglicherweise signieren können, müssen an den Abschnitt CA for Device Certificate sowie an den Abschnitt CA-Zertifikatbindung für virtuelle Server in den Schritten 4 und 5 gebunden sein. Weitere Informationen zum Verknüpfen von CA-Zertifikaten mit Zwischen-/Untergeordneten finden Sie unter Installieren, Verknüpfen und Aktualisieren von Zertifikaten.
      • Wenn mehrere Gerätezertifikate konfiguriert sind, wird das Zertifikat mit dem längsten Ablaufdatum für die VPN-Verbindung versucht. Wenn dieses Zertifikat den EPA-Scan erfolgreich zulässt, wird die VPN-Verbindung hergestellt. Wenn dieses Zertifikat beim Scanvorgang fehlschlägt, wird das nächste Zertifikat verwendet. Dieser Vorgang wird solange fortgeführt, bis alle Zertifikate ausprobiert wurden.
  6. Klicken Sie auf Klicken zum Auswählen, um das erforderliche Zertifikat auszuwählen.

    CA für Gerätezertifikat hinzufügen

  7. Wählen Sie das erforderliche CA-Zertifikat aus.

    CA für Gerätezertifikat hinzufügen

  8. Klicken Sie auf Bind.

  9. Erstellen Sie einen virtuellen Authentifizierungsserver.
    1. Klicken Sie auf der Seite Virtuelle VPN-Server unter Authentifizierungsprofilauf Hinzufügen.
    2. Geben Sie auf der Seite Authentifizierungsprofil erstellen einen Namen für das Authentifizierungsprofil an und klicken Sie auf Hinzufügen. Ein Authentifizierungsprofil erstellen
    3. Geben Sie auf der Seite Virtueller Authentifizierungsserver einen Namen für den virtuellen Authentifizierungsserver an. Wählen Sie den IP-Adresstyp als nicht adressierbar aus, und klicken Sie auf OK. Wählen Sie den nicht adressierbaren IP-Typ Hinweis: Der virtuelle Authentifizierungsserver bleibt immer im DOWN-Zustand.
  10. Erstellen Sie eine Authentifizierungsrichtlinie.
    1. Klicken Sie unter “Erweiterte Authentifizierungsrichtlinien” in die Authentifizierungsrichtlinie.
    2. Klicken Sie auf der Seite Policy Binding neben Richtlinie auswählen auf Hinzufügen.
    3. Auf der Seite Authentifizierungsrichtlinie erstellen;
      1. Geben Sie einen Namen für die erweiterte Authentifizierungsrichtlinie ein.
      2. Wählen Sie EPA aus der Liste Aktionstyp aus.
      3. Klicken Sie neben Aktion auf Hinzufügen. Wählen Sie den Aktionstyp EPA
    4. Auf der Seite “EPA-Aktion für Authentifizierung erstellen”;
      1. Geben Sie einen Namen für die zu erstellende EPA-Aktion ein.
      2. Geben Sie sys.client_expr("device-cert_0_0") in das Feld Ausdruck ein.
      3. Klicken Sie auf Erstellen.

    Erstellen Sie einen Ausdruck

  11. Auf der Seite Authentifizierungsrichtlinie erstellen;
    1. Geben Sie einen Namen für die Authentifizierungsrichtlinie ein.
    2. Geben Sie is_aoservice in das Feld Ausdruck ein.
    3. Klicken Sie auf Erstellen.

    Ausdruck erstellen2

  12. Geben Sie auf der Seite Policy Binding 100 in Priorität ein und klicken Sie auf Binden.

    Bind-Richtlinie

Konfiguration der gerätezertifikatbasierten Authentifizierung über die CLI

  1. Binden Sie ein CA-Zertifikat an den virtuellen VPN-Server.

    bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
    <!--NeedCopy-->
    

    Beispiel

    bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
    <!--NeedCopy-->
    
  2. Virtueller Server hinzufügen und authentifizieren.

    add authentication authnProfile <name>  {-authnVsName <string>}
    <!--NeedCopy-->
    

    Beispiel

    add authentication authnProfile always_on -authnVsName always_on_auth_server
    <!--NeedCopy-->
    
  3. Erstellen Sie eine EPA-Authentifizierungsaktion.

    add authentication epaAction <name> -csecexpr <expression>
    <!--NeedCopy-->
    

    Example

    ``` add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass ```

  4. Erstellen einer Authentifizierungsrichtlinie

    add authentication Policy <name> -rule <expression> -action <string>
    

    Beispiel:

    add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
    

Wichtig:

  • Die Tunnelkonfiguration auf Maschinenebene ist jetzt abgeschlossen. Informationen zum Einrichten des Tunnels auf Benutzerebene nach der Windows-Anmeldung finden Sie im Abschnitt Tunnel auf Benutzerebene.

  • Auf dem Clientcomputer ist das Gerätezertifikat im PFX-Format. Das PFX-Zertifikat ist auf dem Windows-Computer installiert, da Windows das PFX-Format versteht. Diese Datei enthält das Zertifikat und die Schlüsseldateien. Dieses Zertifikat muss derselben Domäne angehören, die an den virtuellen Server gebunden ist. Die PFX- und Serverzertifikate und -Schlüssel können mithilfe des Clientzertifikat-Assistenten generiert werden. Diese Zertifikate können zusammen mit der Zertifizierungsstelle verwendet werden, um die entsprechende PFX mit Serverzertifikat und Domäne zu generieren. Das Zertifikat .pfx ist im Computerkonto im persönlichen Ordner installiert. Der show aaa session Befehl zeigt den Gerätetunnel auf der Citrix ADC Appliance an.

Tunnel auf Benutzerebene

Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die GUI

Hinweis: Der Ausdruck is_aoservice.not gilt ab Citrix Gateway Version 13.0.41.20 und höher.

  1. Konfigurieren Sie eine Richtlinie für die Benutzerauthentifizierung.
    1. Navigieren Sie zu Citix Gateway > Virtuelle Server, und klicken Sie in den erweiterten Einstellungenauf Authentifizierungsprofil.
    2. Konfigurieren Sie das Authentifizierungsprofil.
    3. Klicken Sie auf der Seite Virtueller Authentifizierungsserver in die Authentifizierungsrichtlinie.
    4. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten, und ändern Sie GoTo-Ausdruck für die Richtlinienbindung in NEXT anstelle von END .

      Bind-Richtlinie

      Bind-Richtlinie

    5. Klicken Sie auf Binden und klicken Sie dann auf der Seite Authentifizierungsrichtlinie auf Bindung hinzufügen.

      Bind policy2

    6. Klicken Sie auf der Seite Policy Binding neben Richtlinie auswählen auf Hinzufügen. Bind policy2 Auf der Seite Authentifizierungsrichtlinie erstellen;
      1. Geben Sie einen Namen für die Richtlinie “Keine Authentifizierung” ein, die erstellt werden soll.
      2. Wählen Sie den Aktionstyp als NO_AuthN.
      3. Geben Sie is_aoservice.not in das Feld Ausdruck ein.
      4. Klicken Sie auf Erstellen. ! [No-auth-policy] (/en-us/citrix-gateway/media/aos-noauth-policy-7bb.png)
  2. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

    Edit-binding-user-tunnel

  3. Geben Sie auf der Seite Policy Binding 110 in Prioritätein. Klicken Sie neben “Nächsten Faktor auswählen” auf Hinzufügen.
    1. Geben Sie auf der Seite Authentifizierungsrichtlinienbezeichnung einen beschreibenden Namen für das Richtlinienlabel ein, wählen Sie das Anmeldeschema aus und klicken Sie auf Weiter.
    2. Klicken Sie unter Richtlinie auswählenauf Hinzufügen und erstellen Sie eine LDAP-Authentifizierungsrichtlinie.
    3. Klicken Sie auf Erstellen und dann auf Binden.
    4. Klicken Sie auf Fertig und dann auf Binden.

    Auf der Seite Authentifizierungsrichtlinie zeigt die Spalte Nächster Faktor die konfigurierte Richtlinie für den nächsten Faktor an.

    ! [Alwayson-complete-configuration] (/en-us/citrix-gateway/media/always-on-complete-policy-configuration.png)

  4. Sie können die LDAP-Richtlinie als nächsten Faktor der Authentifizierungsrichtlinie konfigurieren.
    1. Geben Sie auf der Seite Authentifizierungsrichtlinie erstellen einen Namen für die LDAP-Richtlinie ein.
    2. Wählen Sie Aktionstyp als LDAPaus.
    3. Geben Sie Action als konfigurierte LDAP-Aktion ein.

    Hinweis:

Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die CLI

  1. Binden einer Richtlinie an den virtuellen Authentifizierungsserver

    bind authentication vserver <name> -policy <name> -priority  <positive_integer> -gotoPriorityExpression <expression>
    

    Beispiel

    bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
    
    
  2. Fügen Sie eine Authentifizierungsrichtlinie mit dem Ausdruck Aktion als NO_AUTH und is_aoservice.not, und binden Sie sie an die Richtlinie.

    add authentication Policy <name> -rule <expression> -action <string>
    
    bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
    

    Beispiel

    add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN
    
    bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
    
  3. Fügen Sie einen nächsten Faktor hinzu und binden Sie die Policy Label an den nächsten Faktor.

    add authentication policylabel <labelName> -loginSchema <string>
    
    bind authentication  policylabel <string>  -policyName <string>  -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
    

    Beispiel

    add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson
    
    bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
    
  4. Konfigurieren Sie eine LDAP-Richtlinie und binden Sie sie an die Policy Label des Benutzertunnels.

    
    add authentication policy <name>  -rule <expression>  -action <string>
    
    bind authentication vserver <vserver_name> -policy <string>  -priorit < positive integer>  gotoPriorityExpression <string>
    

    Beispiel

    add authentication Policy LDAP_new -rule true -action LDAP_new
    
    bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
    

Clientseitige Konfiguration

AlwaysOn, locationDetection, and suffixList registries sind optional und nur erforderlich, wenn die Standorterkennungsfunktion benötigt wird.

Um auf Registrierungsschlüsseleinträge zuzugreifen, navigieren Sie zu folgendem Pfad: Computer> HKEY_LOCAL_MACHINE> Software> Citrix> Secure Access Client

Registrierungsschlüssel Registry-Typ Werte und Beschreibung
AlwaysOnService REG_DWORD 1 => Tunnel auf Maschinenebene einrichten, aber keinen Tunnel auf Benutzerebene; 2 => Tunnel auf Maschinenebene und Tunnel auf Benutzerebene einrichten
AlwaysOnURL REG SZ URL des virtuellen Citrix Gateway-Servers, mit dem der Benutzer eine Verbindung herstellen möchte. Beispiel: https://xyz.companyDomain.com Wichtig: Nur eine URL ist für den Tunnel auf Maschinenebene und den Tunnel auf Benutzerebene verantwortlich. Die AlwaysOnUrl-Registrierung hilft sowohl der Service- als auch der Benutzerebenen-Komponente, einen separaten Tunnel zu arbeiten und zu verbinden, dh einen Tunnel auf Maschinenebene und einen auf dem Design basierenden Tunnel auf Benutzerebene
AlwaysOn REG_DWORD 1 => Netzwerkzugriff bei VPN-Fehler zulassen; 2=> Netzwerkzugriff bei VPN-Fehler blockieren
AlwaysOnAllowlist REG_SZ Semikolon-getrennte Liste von IP-Adressen oder FQDNs, die auf die Positivliste gesetzt werden müssen, während der Computer im strikten Modus läuft. Beispiel: 8.8.8.8;linkedin.com
UserCertCAList REG_SZ Komma- oder Semikolon-getrennte Liste von Stamm-CA-Namen, das ist der Name des Ausstellers des Zertifikats. Wird im Kontext eines Always On Service verwendet, bei dem ein Kunde die Liste der Zertifizierungsstellen angeben kann, aus denen das Clientzertifikat ausgewählt werden soll. Beispiel: cgwsanity.net;xyz.gov.in
locationDetection REG_DWORD 1 => Um die Standorterkennung zu aktivieren; 0 => Um die Standorterkennung zu deaktivieren
suffixList REG SZ Kommagetrennte Liste von Domänen und ist dafür verantwortlich, zu überprüfen, ob sich die Maschine zu einem bestimmten Zeitpunkt im Intranet befindet oder nicht, wenn die Standorterkennung aktiviert ist. Beispiel: citrite.net,cgwsanity.net

Weitere Informationen zu diesen Registrierungseinträgen finden Sie unter Always On. ```

Konfigurieren von Always-On-VPN vor der Windows Anmeldung