Product Documentation

NetScaler Gateway und XenMobile

21. Februar 2018

Bei der Konfiguration von NetScaler Gateway mit XenMobile erstellen Sie die Authentifizierungsmethode für den Remote-Gerätezugriff auf das interne Netzwerk. Mit dieser Funktionalität können Apps auf einem Mobilgerät auf Unternehmensserver im Intranet zugreifen. XenMobile erstellt ein Micro-VPN von den Apps zu NetScaler Gateway.

Sie können NetScaler Gateway zur Verwendung mit XenMobile Server konfigurieren, indem Sie ein Skript aus XenMobile exportieren und auf NetScaler Gateway ausführen.

Voraussetzungen für die Verwendung des Skripts zur NetScaler Gateway-Konfiguration

Anforderungen für NetScaler:

  • NetScaler (mindestens Version 11.0 Build 70.12).
  • NetScaler-IP-Adresse ist konfiguriert und verfügt über Konnektivität mit dem LDAP-Server (es sei denn, für LDAP ist ein Lastausgleich eingerichtet).
  • NetScaler-Subnetz-IP-Adresse ist konfiguriert, verfügt über Konnektivität mit den erforderlichen Back-End-Servern und über Zugriff auf das öffentliche Netzwerk über Port 8443/TCP.
  • DNS kann öffentliche Domänen auflösen.
  • NetScaler ist per Plattform-/Universell- oder Testlizenz lizenziert. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX126049.
  • Ein NetScaler Gateway-SSL-Zertifikat wurde hochgeladen und in NetScaler installiert. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX136023.

Anforderungen für XenMobile:

  • XenMobile Server (Mindestversion 10.6).
  • LDAP-Server ist konfiguriert.

Konfigurieren der Authentifizierung für den Remotezugriff von Geräten auf das interne Netzwerk

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf NetScaler Gateway. Die Seite NetScaler Gateway wird angezeigt. In dem folgenden Beispiel ist eine NetScaler Gateway-Instanz vorhanden.

    Bild des NetScaler Gateway-Konfigurationsbildschirms

  3. Konfigurieren Sie folgende Einstellungen:

    • Authentifizierung: Wählen Sie aus, ob die Authentifizierung aktiviert werden soll. Der Standardwert ist EIN.
    • Benutzerzertifikat für Authentifizierung bereitstellen: Wählen Sie aus, ob XenMobile das Authentifizierungszertifikat zusammen mit Secure Hub verwenden soll, sodass NetScaler Gateway die Clientzertifikatauthentifizierung abwickelt. Der Standardwert ist AUS.
    • Anmeldeinformationsanbieter: Klicken Sie in der Liste auf den gewünschten Anmeldeinformationsanbieter. Weitere Informationen finden Sie unter Anmeldeinformationsanbieter.
  4. Klicken Sie auf Speichern.

Hinzufügen einer NetScaler Gateway-Instanz

Nach dem Speichern der Authentifizierungseinstellungen fügen Sie XenMobile eine NetScaler Gateway-Instanz hinzu.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf NetScaler Gateway. Die Seite NetScaler Gateway wird angezeigt.

  3. Klicken Sie auf Hinzufügen. Die Seite Neues NetScaler Gateway hinzufügen wird angezeigt.

    Bild des NetScaler Gateway-Konfigurationsbildschirms

  4. Konfigurieren Sie folgende Einstellungen:

    • Name: Geben Sie einen Namen für die NetScaler Gateway-Instanz ein.
    • Alias: Geben Sie optional einen Aliasnamen für NetScaler Gateway ein.
    • Externe URL: Geben Sie die öffentlich zugängliche URL für NetScaler Gateway ein. Beispiel: https://receiver.com.
    • Anmeldetyp: Wählen Sie einen Anmeldetyp. Zur Auswahl stehen Nur Domäne, Nur Sicherheitstoken, Domäne und Sicherheitstoken, Zertifikat, Zertifikat und Domäne und Zertifikat und Sicherheitstoken. Der Standardwert des Felds Kennwort erforderlich ändert sich je nach der Auswahl unter Anmeldetyp. Die Standardeinstellung ist Nur Domäne.

    Wenn Sie mehrere Domänen haben, verwenden Sie Zertifikat und Domäne.

    Wenn Sie Zertifikat und Sicherheitstoken verwenden, müssen Sie zur Unterstützung von Secure Hub einige zusätzliche Konfigurationen auf dem NetScaler Gateway ausführen. Weitere Informationen finden Sie unter Configuring XenMobile for Certificate and Security Token Authentication.

    Weitere Informationen finden Sie unter Authentifizierung im Bereitstellungshandbuch.

    • Kennwort erforderlich: Wählen Sie aus, ob die Kennwortauthentifizierung erzwungen werden soll. Der Standardwert variiert je nach gewähltem Anmeldetyp.
    • Als Standard setzen: Wählen Sie aus, ob die NetScaler Gateway-Instanz als Standard verwendet werden soll. Der Standardwert ist AUS.
    • Konfigurationsskript exportieren: Klicken Sie auf die Schaltfläche, um ein Konfigurationspaket zu exportieren, das Sie in NetScaler Gateway hochladen und zur Konfiguration der XenMobile-Einstellungen verwenden. Weitere Informationen finden Sie im Anschluss an diese Schritte unter “Konfigurieren eines NetScaler Gateway für XenMobile Server”.
    • Rückruf-URL und Virtuelle IP-Adresse: Speichern Sie die Einstellungen, bevor Sie diese Felder hinzufügen. Informationen finden Sie weiter unten unter Hinzufügen einer Rückruf-URL und einer virtuellen IP-Adresse für das NetScaler Gateway-VPN.
  5. Klicken Sie auf Speichern.

    Die neue NetScaler Gateway-Instanz wird hinzugefügt und in der Tabelle angezeigt. Zum Bearbeiten oder Löschen einer Instanz klicken Sie auf deren Namen in der Liste.

Konfigurieren eines NetScaler Gateway für XenMobile Server

Zum Konfigurieren eines lokalen NetScaler Gateway für XenMobile Server führen Sie die folgenden, im vorliegenden Artikel erläuterten allgemeinen Schritte aus:

  1. Laden Sie ein Skript und zugehörige Dateien von XenMobile Server herunter. Aktuelle und detaillierte Anweisungen finden Sie in der Readmedatei des Skripts.

  2. Vergewissern Sie sich, dass Ihre Umgebung die Voraussetzungen erfüllt.

  3. Aktualisieren Sie das Skript gemäß Ihrer Umgebung.

  4. Führen Sie das Skript auf NetScaler aus.

  5. Testen Sie die Konfiguration.

Mit dem Skript werden die folgenden, für XenMobile erforderlichen NetScaler Gateway-Einstellungen konfiguriert:

  • Virtuelle NetScaler Gateway-Server für MDM und MAM
  • Sitzungsrichtlinien für virtuelle NetScaler Gateway-Server
  • XenMobile Server-Daten
  • Authentifizierungsrichtlinien und Aktionen für den virtuellen NSG-Server Das Skript beschreibt die Einstellungen der LDAP-Konfiguration.
  • Datenverkehrsaktionen und Richtlinien für den Proxyserver
  • Profil für den clientlosen Zugriff
  • Lokaler, statischer DNS-Datensatz auf NetScaler
  • Andere Bindungen: Dienstrichtlinie, ZS-Zertifikat

Mit dem Skript wird folgende Konfiguration nicht erstellt:

  • Exchange-Lastausgleich
  • ShareFile-Lastausgleich
  • ICA-Proxykonfiguration
  • SSL-Offload

Herunterladen, Aktualisieren und Ausführen des Skripts

  1. Wenn Sie ein NetScaler Gateway hinzufügen, klicken Sie auf der Seite Neues NetScaler Gateway hinzufügen auf Konfigurationsskript exportieren.

    Bild des NetScaler Gateway-Konfigurationsbildschirms

    Wenn Sie eine NetScaler Gateway-Instanz hinzufügen, klicken Sie auf Speichern bevor Sie das Skript exportieren: Kehren Sie zur Seite Einstellungen > NetScaler Gateway zurück, wählen Sie die NetScaler-Instanz, klicken Sie auf Konfigurationsskript exportieren und klicken Sie dann auf Herunterladen.

    Bild des NetScaler Gateway-Konfigurationsbildschirms

    Nachdem Sie auf Konfigurationsskript exportieren geklickt haben, erstellt XenMobile ein TAR.GZ-Skriptpaket. Das Skriptpaket enthält Folgendes:

    • Infodatei mit detaillierten Anweisungen
    • Skript mit den NetScaler-CLI-Befehlen zum Konfigurieren der erforderlichen Komponenten in NetScaler
    • Öffentliches Stamm-ZS-Zertifikat und Zwischenzertifikat von XenMobile Server (diese Zertifikate für SSL-Offload werden im aktuellen Release nicht benötigt)
    • Skript mit den NetScaler-CLI-Befehlen zum Entfernen der NetScaler-Konfiguration
  2. Ersetzen Sie in dem Skript “NSGConfigBundle_CREATESCRIPT” alle Platzhalter durch die Daten Ihrer Umgebung.

    Abbildung der Beispielskriptdatei

  3. Führen Sie das bearbeitete Skript in der NetScaler-Bash-Shell gemäß den Anweisungen in der im Skriptpaket enthaltenen Readmedatei aus. Beispiel:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    Abbildung der NetScaler-Bash-Shell

    Nach Abschluss der Skriptausführung werden die folgenden Zeilen angezeigt:

    Abbildung der NetScaler-Bash-Shell

Testen der Konfiguration

  1. Überprüfen Sie, ob für den virtuellen NetScaler Gateway-Server der Zustand UP angezeigt wird.

    Abbildung des NetScaler VPX-Konfigurationsbildschirms

  2. Überprüfen Sie, ob für den virtuellen Lastausgleichsserver der Zustand UP angezeigt wird.

    Abbildung des NetScaler VPX-Konfigurationsbildschirms

  3. Öffnen Sie einen Webbrowser, stellen Sie eine Verbindung mit der NetScaler Gateway-URL her und versuchen Sie, sich zu authentifizieren. Wenn die Authentifizierung fehlschlägt, wird folgende Meldung angezeigt: HTTP Status 404 - Not Found

  4. Registrieren Sie ein Gerät für MDM und MAM.

Hinzufügen einer Rückruf-URL und einer virtuellen IP-Adresse für das NetScaler Gateway-VPN

Nach dem Hinzufügen der NetScaler Gateway-Instanz können Sie eine Callback-URL hinzufügen und eine virtuelle IP-Adresse für NetScaler Gateway angeben. Diese Einstellungen sind optional, können aber für zusätzliche Sicherheit konfiguriert werden, insbesondere dann, wenn XenMobile Server in der DMZ ist.

  1. Wählen Sie unter Einstellungen > NetScaler Gateway die NetScaler Gateway-Instanz und klicken Sie auf Bearbeiten.

  2. Klicken Sie in der Tabelle auf Hinzufügen.

  3. Geben Sie für Rückruf-URL den vollqualifizierten Domänennamen (FQDN) ein. Die Rückruf-URL dient zur Überprüfung, ob eine Anforderung von NetScaler Gateway stammt.

    Die Rückruf-URL muss in eine IP-Adresse aufgelöst werden, die XenMobile Server erreichen kann. Die Rückruf-URL kann eine externe NetScaler Gateway-URL oder eine andere URL sein.

  4. Geben Sie die Virtuelle IP für NetScaler Gateway ein und klicken Sie auf Speichern.