NetScaler Gateway-Konfiguration für Web-/SaaS-Anwendungen
Gehen Sie wie folgt vor, um NetScaler Gateway für Web-/SaaS-Anwendungen zu erstellen:
-
Laden Sie das neueste Skript
*ns_gateway_secure_access.sh*.
von https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html herunter. -
Laden Sie diese Skripts auf den NetScaler-Computer hoch. Sie können die WinSCP-App oder den SCP-Befehl verwenden. Beispiel:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
.Beispiel:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
Hinweis:
- Es wird empfohlen, den NetScaler-Ordner /var/tmp zum Speichern temporärer Daten zu verwenden.
- Stellen Sie sicher, dass die Datei mit LF-Zeilenenden gespeichert ist. FreeBSD unterstützt CRLF nicht.
- Wenn Sie den Fehler sehen
-bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory
, bedeutet dies, dass die Zeilenenden falsch sind. Sie können das Skript mit einem beliebigen Rich-Text-Editor wie Notepad++ konvertieren.
- SSH zu NetScaler und wechseln Sie zur Shell (geben Sie ‘shell’ in der NetScaler CLI ein).
-
Machen Sie das hochgeladene Skript ausführbar. Verwenden Sie dazu den Befehl chmod.
chmod +x /var/tmp/ns_gateway_secure_access.sh
-
Führen Sie das hochgeladene Skript in der NetScaler-Shell aus.
-
Geben Sie N für den Parameter Enable TCP/UDP App type support ein, wenn Sie das Gateway nur für Web- und SaaS-Anwendungen konfigurieren möchten.
-
Geben Sie die erforderlichen Parameter ein. Eine Liste der Parameter finden Sie unter Voraussetzungen.
Für das Authentifizierungsprofil und das SSL-Zertifikat müssen Sie die Namen der vorhandenen Ressourcen auf NetScaler angeben.
Eine neue Datei mit mehreren NetScaler-Befehlen (die Standardeinstellung ist var/tmp/ns_gateway_secure_access) wird generiert.
Hinweis:
Während der Skriptausführung wird die Kompatibilität des NetScaler- und Secure Private Access-Plug-Ins überprüft. Wenn NetScaler das Secure Private Access-Plug-In unterstützt, ermöglicht das Skript NetScaler-Funktionen, Smart Access-Tags zu unterstützen, Verbesserungen zu senden und zu einer neuen Ablehnungsseite umzuleiten, wenn der Zugriff auf eine Ressource eingeschränkt ist. Einzelheiten zu Smarttags finden Sie unter Unterstützung für Smart Access-Tags.
Die Funktionen des Secure Private Access-Plug-Ins, die in der Datei /nsconfig/rc.netscaler enthalten sind, ermöglichen es, sie auch nach dem Neustart von NetScaler aktiviert zu lassen.
-
Wechseln Sie zur NetScaler-CLI und führen Sie die resultierenden NetScaler-Befehle aus der neuen Datei mit dem Batch-Befehl aus. Zum Beispiel;
batch -fileName /var/tmp/ns_gateway_secure_access -outfile
/var/tmp/ns_gateway_secure_access_output
NetScaler führt die Befehle aus der Datei nacheinander aus. Schlägt ein Befehl fehl, wird mit dem nächsten Befehl fortgefahren.
Ein Befehl kann fehlschlagen, wenn eine Ressource vorhanden ist oder einer der in Schritt 6 eingegebenen Parameter falsch ist.
- Stellen Sie sicher, dass alle Befehle erfolgreich ausgeführt wurden.
Hinweis:
Wenn ein Fehler auftritt, führt NetScaler immer noch die verbleibenden Befehle aus und erstellt/aktualisiert/bindet Ressourcen teilweise. Wenn Sie also einen unerwarteten Fehler sehen, weil einer der Parameter falsch ist, wird empfohlen, die Konfiguration von Anfang an zu wiederholen.
Aktualisieren Sie die vorhandene NetScaler Gateway-Konfiguration für Web- und SaaS-Apps
Sie können das Skript ns_gateway_secure_access_update.sh
auf einem vorhandenen NetScaler Gateway verwenden, um die Konfiguration für Web- und SaaS-Apps zu aktualisieren. Wenn Sie die vorhandene Konfiguration (NetScaler Gateway-Version 14.1—4.42 und höher) jedoch manuell aktualisieren möchten, verwenden Sie die Beispielbefehle, um eine vorhandene NetScaler Gateway-Konfiguration zu aktualisieren. Außerdem müssen Sie die Einstellungen für virtuelle NetScaler Gateway-Server- und Sitzungsaktionen aktualisieren.
Hinweis:
Ab NetScaler Gateway 14.1—25.56 und höher können Sie das Secure Private Access Plug-In auf NetScaler Gateway mithilfe der NetScaler Gateway-CLI oder der GUI aktivieren. Einzelheiten finden Sie unter Aktivieren des Secure Private Access-Plug-Ins auf NetScaler Gateway.
Sie können die Skripts auch auf einem vorhandenen NetScaler Gateway verwenden, um Secure Private Access zu unterstützen. Das Skript aktualisiert jedoch nicht Folgendes:
- Bestehender virtueller NetScaler Gateway-Server
- Bestehende Sitzungsaktionen und Sitzungsrichtlinien, die an NetScaler Gateway gebunden sind
Stellen Sie sicher, dass Sie jeden Befehl vor der Ausführung überprüfen und Backups der Gateway-Konfiguration erstellen.
Einstellungen für den virtuellen NetScaler Gateway-Server
Wenn Sie den vorhandenen virtuellen NetScaler Gateway-Server hinzufügen oder aktualisieren, stellen Sie sicher, dass die folgenden Parameter auf die definierten Werte festgelegt sind. Beispielbefehle finden Sie unter Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration.
Fügen Sie einen virtuellen Server hinzu:
- tcpProfileName: nstcp_default_XA_XD_profile
- deploymentType: ICA_STOREFRONT (nur mit dem Befehl
add vpn vserver
verfügbar) - icaOnly: OFF
Aktualisieren Sie einen virtuellen Server:
- tcpProfileName: nstcp_default_XA_XD_profile
- icaOnly: OFF
Einstellungen für NetScaler Gateway-Sitzungsaktionen
Die Sitzungsaktion ist an einen virtuellen Gateway-Server mit Sitzungsrichtlinien gebunden. Wenn Sie eine Sitzungsaktion erstellen oder aktualisieren, stellen Sie sicher, dass die folgenden Parameter auf die definierten Werte gesetzt sind. Beispielbefehle finden Sie unter Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration.
-
transparentInterception
: AUS -
SSO
: AN -
ssoCredential
: PRIMÄR -
useMIP
: NS -
useIIP
: AUS -
icaProxy
: AUS -
wihome
:"https://storefront.mydomain.com/Citrix/MyStoreWeb"
- durch echte Store-URL ersetzen. Der Pfad zum Store/Citrix/MyStoreWeb
ist optional. -
ClientChoices
: AUS -
ntDomain
: mydomain.com - wird für SSO verwendet (optional) -
defaultAuthorizationAction
: ERLAUBEN -
authorizationGroup
: SecureAccessGroup (Stellen Sie sicher, dass diese Gruppe erstellt wurde. Sie wird verwendet, um Secure Private Access-spezifische Autorisierungsrichtlinien zu binden) -
clientlessVpnMode
: AN -
clientlessModeUrlEncoding
: TRANSPARENT -
SecureBrowse
: AKTIVIERT -
Storefronturl
:"https://storefront.mydomain.com"
-
sfGatewayAuthType
: Domäne
Beispielbefehle zum Aktualisieren einer vorhandenen NetScaler Gateway-Konfiguration
Um einen virtuellen Server hinzuzufügen/zu aktualisieren:
add vpn vserver SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF
set vpn vserver SecureAccess_Gateway -icaOnly OFF
So fügen Sie eine Sitzungsaktion hinzu:
add vpn sessionAction AC_OSspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
add vpn sessionAction AC_WBspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
So fügen Sie eine Sitzungsrichtlinie hinzu:
add vpn sessionPolicy PL_OSspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")" AC_OSspaonprem
add vpn sessionPolicy PL_WBspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\").NOT" AC_WBspaonprem
So binden Sie die Sitzungsrichtlinie an den virtuellen VPN-Server:
bind vpn vserver SecureAccess_Gateway -policy PL_OSspaonprem -priority 111 -gotoPriorityExpression NEXT -type REQUEST
bind vpn vserver SecureAccess_Gateway -policy PL_WBspaonprem -priority 110 -gotoPriorityExpression NEXT -type REQUEST
Einzelheiten zu den Parametern der Sitzungsaktion finden Sie unter vpn-sessionAction.
Weitere Informationen
Weitere Informationen zu NetScaler Gateway for Secure Private Access finden Sie in den folgenden Themen: