Citrix Gateway

Traffic Richtlinien

Mit Verkehrsrichtlinien können Sie die folgenden Einstellungen für Benutzerverbindungen konfigurieren:

  • Erzwingen kürzerer Timeouts für sensible Anwendungen, auf die von nicht vertrauenswürdigen Netzwerken aus zugegriffen wird.
  • Umschalten des Netzwerkverkehrs zur Verwendung von TCP für einige Anwendungen. Wenn Sie TCP auswählen, müssen Sie Single Sign-On für bestimmte Anwendungen aktivieren oder deaktivieren.
  • Identifizieren von Situationen, in denen Sie andere HTTP-Funktionen für den Verkehr mit Citrix Secure Access Agent verwenden möchten
  • Definieren der Dateinamenerweiterungen, die mit der Dateitypzuordnung verwendet werden.

Erstellen Sie eine Verkehrsrichtlinie

Um eine Verkehrsrichtlinie zu konfigurieren, erstellen Sie ein Profil und konfigurieren die folgenden Parameter:

  • Protokoll (HTTP oder TCP)
  • Zeitüberschreitung der Anwendung
  • Einmaliges Anmelden bei Webanwendungen
  • Formular einmaliges Anmelden
  • Dateitypzuordnungen
  • Repeater-Plug-In
  • Kerberos Constrained Delegierte (KCD) Konten

Nachdem Sie die Verkehrsrichtlinie erstellt haben, können Sie die Richtlinie an virtuelle Server, Benutzer, Gruppen oder global binden.

Beispielsweise haben Sie die Webanwendung PeopleSoft Human Resources auf einem Server im internen Netzwerk installiert. Sie können eine Verkehrsrichtlinie für diese Anwendung erstellen, die die Ziel-IP-Adresse und den Zielport definiert, und Sie können festlegen, wie lange ein Benutzer bei der Anwendung angemeldet bleiben kann, z. B. 15 Minuten.

Wenn Sie andere Funktionen wie die HTTP-Komprimierung für eine Anwendung konfigurieren möchten, können Sie eine Verkehrsrichtlinie verwenden, um die Einstellungen zu konfigurieren. Verwenden Sie beim Erstellen der Richtlinie den HTTP-Parameter für die Aktion. Erstellen Sie im Ausdruck die Zieladresse für den Server, auf dem die Anwendung ausgeführt wird.

Konfigurieren einer Verkehrsrichtlinie über die GUI

  1. Erweitern Sie Citrix Gateway > Richtlinien und klicken Sie dann auf Verkehr.

  2. Klicken Sie im Detailbereich auf der Registerkarte Richtlinien auf Hinzufügen.

  3. Geben Sie im Dialogfeld Traffic Policy erstellen in das Feld Name einen Namen für die Richtlinie ein.

  4. Klicken Sie neben Profil anfordern auf Neu.

  5. Geben Sie im Feld Name einen Namen für das Profil ein.

  6. Wählen Sie im Protokollentweder HTTP oder TCPaus.

    Hinweis: Wenn Sie TCP als Protokoll auswählen, können Sie Single Sign-On nicht konfigurieren und die Einstellung ist im Profildialogfeld deaktiviert.

  7. Geben Sie in AppTimeout (Minuten)die Anzahl der Minuten ein. Diese Einstellung begrenzt die Zeit, die Benutzer bei der Webanwendung angemeldet bleiben können.

  8. Um Single Sign-on bei der Webanwendung zu aktivieren, wählen Sie unter Single Sign-On die Option ONaus.

    Hinweis: Wenn Sie formularbasiertes Single Sign-On verwenden möchten, können Sie die Einstellungen innerhalb des Verkehrsprofils konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von formularbasiertem Single Sign-On.

  9. Um eine Dateitypzuordnung anzugeben, wählen Sie unter Dateitypzuordnung die Option ON aus.

  10. Um das Repeater-Plug-In zur Optimierung des Netzwerkverkehrs zu verwenden, wählen Sie in Citrix SD-WAN ON aus, klicken Sie auf Erstellen und dann auf Schließen.

  11. Wenn Sie KCD auf der Appliance konfigurieren, wählen Sie im KCD-Konto das Konto aus.

    Weitere Informationen zur Konfiguration von KCD auf der Appliance finden Sie unter Konfigurieren von Kerberos Constrained Delegation auf einer NetScaler Appliance.

  12. Erstellen oder fügen Sie im Dialogfeld Traffic Policy erstellen einen Ausdruck hinzu, klicken Sie auf Erstellen und dann auf Schließen.

Konfigurieren Sie formularbasiertes einmaliges Anmelden

Formularbasiertes Single Sign-On ermöglicht es Benutzern, sich einmalig bei allen geschützten Anwendungen in Ihrem Netzwerk anzumelden. Wenn Sie formularbasiertes Single Sign-On in Citrix Gateway konfigurieren, können Benutzer auf Webanwendungen zugreifen, die eine formularbasierte HTML-Anmeldung erfordern, ohne ihr Kennwort erneut eingeben zu müssen. Ohne einmaliges Anmelden müssen sich Benutzer separat anmelden, um auf jede Anwendung zugreifen zu können.

Nachdem Sie das Profil für einmaliges Anmelden des Formulars erstellt haben, erstellen Sie dann ein Verkehrsprofil und eine Richtlinie, die das Profil für einmaliges Anmelden des Formulars enthält. Weitere Informationen finden Sie unter Erstellen einer Verkehrsrichtlinie.

Konfigurieren Sie formularbasiertes einmaliges Anmelden

  1. Erweitern Sie Citrix Gateway > Richtlinien, und klicken Sie dann auf Verkehr.

  2. Klicken Sie im Detailbereich auf die Registerkarte SSO-Profile für Formulare und dann auf Hinzufügen.

  3. Geben Sie im Feld Name einen Namen für das Profil ein.

  4. Geben Sie unter Aktions-URL die URL ein, an die das ausgefüllte Formular gesendet wird.

    Hinweis: Die URL ist die relative Stamm-URL.

  5. Geben Sie unter Benutzernameden Namen des Attributs für das Feld Benutzername ein.

  6. Geben Sie unter Kennwortden Namen des Attributs für das Kennwortfeld ein.

  7. Erstellen Sie in SSO Success Ruleeinen Ausdruck, der die Aktion beschreibt, die dieses Profil beim Aufrufen durch eine Richtlinie ausführt. Sie können den Ausdruck auch mithilfe der Schaltflächen Präfix, Hinzufügen und Operator unter diesem Feld erstellen.

    Diese Regel prüft, ob Single Sign-On erfolgreich ist oder nicht.

  8. Geben Sie unter Name Value Pairden Wert des Benutzernamens ein, gefolgt von einem kaufmännischen Und (&) und dann dem Wert des Kennwortfelds.

    Wertnamen werden durch ein kaufmännisches und (&) getrennt, wie name1=Wert1&name2=Wert2.

  9. Geben Sie unter Response Sizedie Anzahl Byte ein, um die vollständige Antwortgröße zu ermöglichen. Geben Sie die Anzahl der Byte in der Antwort ein, die für das Extrahieren der Formulare analysiert werden sollen.

  10. Wählen Sie unter Extraktionaus, ob das Name/Wert-Paar statisch oder dynamisch ist. Die Standardeinstellung ist Dynamisch.

  11. Wählen Sie unter Submit Methoddie HTTP-Methode aus, die vom Formular für einmaliges Anmelden verwendet wird, um die Anmeldeinformationen an den Anmeldeserver zu senden. Die Standardeinstellung ist “Hole”.

  12. Klicken Sie auf Erstellen, und klicken Sie dann auf Schließen.

Konfigurieren von SAML-Single-Sign-On

Sie können ein SAML 1.1- oder SAML 2.0-Profil für Single Sign-On (SSO) erstellen. Benutzer können eine Verbindung zu Webanwendungen herstellen, die das SAML-Protokoll für einmaliges Anmelden unterstützen. Citrix Gateway unterstützt das einmalige Anmelden des Identitätsanbieters (IdP) für SAML-Webanwendungen.

Konfigurieren von SAML-Single-Sign-On

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway\ > Richtlinien, und klicken Sie dann auf Verkehr.
  2. Klicken Sie im Detailbereich auf die Registerkarte SAML SSO-Profil.
  3. Klicken Sie im Detailbereich auf “Hinzufügen”.
  4. Geben Sie im Feld Name einen Namen für das Profil ein.
  5. Geben Sie unter Signaturzertifikatname den Namen des X.509-Zertifikats ein.
  6. Geben Sie unter ACS-URL den Assertion-Verbraucherdienst des Identitätsanbieters oder Dienstanbieters ein. Die assertionConsumerServiceURL (ACS-URL) bietet SSO-Funktionen für Benutzer.
  7. Erstellen Sie in Relay State Rule den Ausdruck für die Richtlinie aus Gespeicherten Richtlinienausdrücken und häufig verwendeten Ausdrücken. Wählen Sie aus der Liste Operator aus, um zu definieren, wie der Ausdruck ausgewertet wird. Um den Ausdruck zu testen, klicken Sie auf Evaluieren.
  8. Wählen Sie unter Kennwort senden ON oder OFF.
  9. Geben Sie unter Name des Ausstellers die Identität für die SAML-Anwendung ein.
  10. Klicken Sie auf Create und dann auf Close.

Binden Sie eine Verkehrsrichtlinie

Sie können Verkehrsrichtlinien an virtuelle Server, Gruppen, Benutzer und an Citrix Gateway Global binden. Sie können das Konfigurationsdienstprogramm verwenden, um eine Verkehrsrichtlinie zu binden.

Binden Sie eine Verkehrsrichtlinie global über die GUI

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway > Richtlinien, und klicken Sie dann auf Verkehr.
  2. Wählen Sie im Detailbereich eine Richtlinie aus und klicken Sie dann unter Aktionauf Globale Bindungen.
  3. Klicken Sie im Dialogfeld Traffic-Richtlinien binden/aufheben unter Details auf Richtlinie einfügen.
  4. Wählen Sie unter Richtlinienname die Richtlinie aus, und klicken Sie dann auf OK.

Verkehrsrichtlinien entfernen

Sie können entweder das Konfigurationsdienstprogramm verwenden, um Verkehrsrichtlinien von Citrix Gateway zu entfernen. Wenn Sie das Konfigurationsdienstprogramm verwenden, um eine Verkehrsrichtlinie zu entfernen, und die Richtlinie an die Benutzer-, Gruppen- oder virtuelle Serverebene gebunden ist, müssen Sie zuerst die Richtlinie aufheben. Dann können Sie die Richtlinie entfernen.

Entbinden einer Verkehrsrichtlinie über die GUI

  1. Erweitern Sie Citrix Gateway, und klicken Sie dann auf Virtuelle Server.
    • Erweitern Sie Citrix Gateway > Benutzerverwaltung und klicken Sie dann auf AAA-Gruppen.
    • Erweitern Sie Citrix Gateway > Benutzerverwaltung und klicken Sie dann auf AAA-Benutzer.
  2. Wählen Sie im Detailbereich einen virtuellen Server, eine Gruppe oder einen Benutzer aus und klicken Sie dann auf Öffnen.
  3. Klicken Sie im Dialogfeld Citrix Gateway Virtual Server konfigurieren, AAA-Gruppekonfigurieren oder AAA-Benutzerkonfigurieren auf die RegisterkarteRichtlinien .
  4. Klicken Sie auf Traffic, wählen Sie die Richtlinie aus, und klicken Sie dann auf Richtlinie aufheben.
  5. Klicken Sie auf OK, und klicken Sie dann auf Schließen.

Nachdem die Verkehrsrichtlinie nicht gebunden ist, können Sie die Richtlinie entfernen.

Entfernen einer Verkehrsrichtlinie über die GUI

  1. Erweitern Sie Citrix Gateway > Richtlinien, und klicken Sie dann auf Verkehr.
  2. Wählen Sie im Detailbereich auf der Registerkarte Richtlinien die Verkehrsrichtlinie aus, und klicken Sie dann auf Entfernen.
Traffic Richtlinien