Product Documentation

XenMobile NetScaler Connector

18. Juni 2018

XenMobile NetScaler Connector bietet einen Authentifizierungsdienst auf Geräteebene für ActiveSync-Clients bei NetScaler, der als Reverseproxy für das Exchange ActiveSync-Protokoll fungiert. Die Autorisierung wird durch eine Kombination von Richtlinien, die Sie in XenMobile definieren, und lokal in XenMobile NetScaler Connector definierten Regeln gesteuert.

Weitere Informationen finden Sie unter ActiveSync-Gateway.

Ein detailliertes Architekturdiagramm finden Sie unter Architektur.

Die aktuelle Version von XenMobile NetScaler Connector ist Version 8.5.1.11.

Neue Funktionen im aktuellen Release

  • Geänderte Systemanforderungen: Die aktuelle Version von NetScaler Connector erfordert Microsoft .NET Framework 4.5.

  • Unterstützung von Google Analytics: Wir möchten wissen, wie Sie XenMobile NetScaler Connector verwenden, damit wir wissen, wo wir das Produkt verbessern können.

  • Unterstützung für TLS 1.1 und 1.2: Aufgrund der schwächer werdenden Sicherheit wird TLS 1.0 vom Payment Card Industry Security Standards Council abgelehnt. XenMobile NetScaler Connector unterstützt jetzt TLS 1.1 und 1.2.

Überwachen von XenMobile NetScaler Connector

Das XenMobile NetScaler Connector-Konfigurationsprogramm bietet eine detaillierte Protokollierung, anhand derer Sie den gesamten von Secure Mobile Gateway zugelassenen bzw. blockierten Datenverkehr über den Exchange-Server überwachen können.

Auf der Registerkarte Log wird der Verlauf der von NetScaler zur Autorisierung an XenMobile NetScaler Connector weitergeleiteten ActiveSync-Anforderungen angezeigt.

Vergewissern Sie sich außerdem, dass der XenMobile NetScaler Connector-Webdiensts ausgeführt wird, indem Sie die folgende URL in einen Browser auf dem XenMobile NetScaler Connector-Server eingeben: http://<host:port>/services/ActiveSync/Version. Wird die Produktversion als Zeichenfolge zurückgegeben, wird der Webdienst ausgeführt.

Simulieren von ActiveSync-Datenverkehr mit XenMobile NetScaler Connector

Sie können XenMobile NetScaler Connector zum Simulieren des ActiveSync-Datenverkehrs unter Ihren Richtlinien verwenden. Klicken Sie im XenMobile NetScaler Connector-Konfigurationsprogramm auf die Registerkarte Simulator. Das Ergebnis zeigt, wie Ihre Richtlinien nach den von Ihnen konfigurierten Regeln angewendet werden.

Auswählen von Filtern für XenMobile NetScaler Connector

XenMobile NetScaler Connector-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Die folgenden Filter stehen für XenMobile NetScaler Connector in XenMobile zur Verfügung. Die Optionen für jeden Filter sind Zulassen oder Verweigern.

  • Anonyme Geräte: dient zum Zulassen oder Blockieren von Geräten, die bei XenMobile registriert sind, bei denen die Identität des Benutzers jedoch unbekannt ist. Beispielsweise kann dies ein registrierter Benutzer sein, dessen Active Directory-Kennwort abgelaufen ist, oder ein Benutzer, der sich mit unbekannten Anmeldeinformationen registriert hat.
  • Samsung KNOX-Nachweisfehler: Samsung-Geräte besitzen Funktionen für Sicherheit und Diagnose. Dieser Filter erteilt die Bestätigung, dass das Gerät für KNOX eingerichtet ist. Einzelheiten finden Sie im XenMobile Service-Artikel zu Samsung KNOX.
  • Unzulässige Apps: Zulassen oder Blockieren von Geräten basierend auf Sperrlistenrichtlinien und dem Vorhandensein gesperrter Apps.
  • Implizit zulassen/verweigern: erstellt eine Liste aller Geräte, die keines der anderen Filterkriterien erfüllen, und lässt den Zugriff zu bzw. blockiert ihn für diese Geräte. Die Option “Implizit zulassen/verweigern” stellt sicher, dass der XenMobile NetScaler Connector-Status für die Registerkarte “Geräte” aktiviert ist und den XenMobile NetScaler Connector-Status für die Geräte anzeigt. Die Option “Implizit zulassen/verweigern” steuert auch alle anderen XenMobile NetScaler Connector-Filter, die nicht ausgewählt wurden. Beispielsweise werden bei Auswahl des entsprechenden Filters Geräte mit der Eigenschaft “Blacklisted Apps” von XenMobile NetScaler Connector blockiert, für alle anderen Filter gilt die Einstellung “Zulassen”, wenn die Option “Implizit zulassen/verweigern” auf Zulassen festgelegt wurde.
  • Inaktive Geräte: erstellt eine Liste von Geräten, die innerhalb eines bestimmten Zeitraums nicht mit XenMobile kommuniziert haben. Solche Geräte werden als inaktiv eingestuft. Der Filter lässt die Geräte zu oder verweigert sie entsprechend.
  • Fehlende Pflicht-Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der erforderlichen Apps, die installiert werden müssen. Der Filter für fehlende Plicht-Apps sucht Apps, die nicht mehr vorhanden sind (beispielsweise, weil sie vom Benutzer gelöscht wurden).
  • Nicht empfohlene Apps: Wenn sich ein Benutzer anmeldet, erhält er eine Liste der Apps, deren Installation empfohlen wird. Der Filter für nicht empfohlene Apps überprüft das Gerät auf Apps, die nicht auf dieser Liste stehen.
  • Nicht richtlinientreues Kennwort: erstellt eine Liste aller Geräte ohne Passcode.
  • Nicht richtlinientreue Geräte: ermöglicht das Zulassen bzw. Blockieren von Geräten auf der Basis der Einhaltung firmeninterner IT-Richtlinien. Die Richtlinientreue ist eine willkürliche Einstellung, die durch die Geräteeigenschaft “Out of Compliance” definiert ist, einem booleschen Flag, das entweder True oder False sein kann. (Sie können diese Eigenschaft manuell unter Auswahl des Werts erstellen oder mit automatischen Aktionen auf einem Gerät, wenn das Gerät die Kriterien erfüllt bzw. nicht erfüllt.)
    • Out of Compliance = True: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung nicht erfüllt, wird das Gerät als nicht richtlinientreu eingestuft.
    • Out of Compliance = False: Wenn ein Gerät die Vorgaben und Richtliniendefinitionen der IT-Abteilung erfüllt, wird das Gerät als richtlinientreu eingestuft.
  • Widerrufenstatus: erstellt eine Liste aller widerrufenen Geräte und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des Gerätestatus.
  • Android-Geräte mit Rooting/iOS-Geräte mit Jailbreak: erstellt eine Liste aller Geräte, die als gerootet markiert wurden, und lässt den Zugriff zu bzw. blockiert ihn auf der Basis des entsprechenden Gerätestatus.
  • Nicht verwaltete Geräte: erstellt eine Liste aller Geräte in der XenMobile-Datenbank. Das Mobile Application Gateway muss im Modus “Blockieren” bereitgestellt werden.

Konfigurieren einer Verbindung mit XenMobile NetScaler Connector

XenMobile NetScaler Connector kommuniziert mit XenMobile und anderen Remote-Konfigurationsanbietern über sichere Webdienste.

  1. Klicken Sie im XenMobile NetScaler Connector-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile Server verwendet wird.
  3. Geben Sie unter Url die Webadresse des XenMobile-GCS (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigservice wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Server verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des XenMobile NetScaler Connector-Servers ein.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von Device Manager der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Delta Interval einen Zeitraum für den Abruf aktualisierter dynamischer Regeln ein.
  8. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  9. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  10. Aktivieren Sie diese Option unter Events Enabled, wenn XenMobile NetScaler Connector XenMobile die Blockierung eines Geräts melden soll. Die Option ist erforderlich, wenn Sie XenMobile NetScaler Connector-Regeln in XenMobile für eine automatische Aktion verwenden.
  11. Klicken Sie auf Save und dann auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  12. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.

Wenn Sie einen neuen Konfigurationsanbieter hinzufügen, erstellt XenMobile NetScaler Connector automatisch eine oder mehrere diesem Anbieter zugeordnete Richtlinien. Diese Richtlinien werden durch eine Vorlagendefinition im Abschnitt “NewPolicyTemplate” der Datei config\policyTemplates.xml festgelegt. Für jedes Policy-Element in diesem Abschnitt wird eine neue Richtlinie erstellt.

Policy-Elemente können hinzugefügt, entfernt oder modifiziert werden, wenn folgende Voraussetzungen erfüllt sind: Das Policy-Element entspricht der Schemadefinition und die Standard-Ersatzzeichenfolgen (in geschweiften Klammern) werden nicht geändert. Fügen Sie als Nächstes neue Gruppen für den Anbieter hinzu und aktualisieren Sie die Richtlinie zur Berücksichtigung der neuen Gruppen.

Importieren einer Richtlinie aus XenMobile

  1. Klicken Sie im XenMobile NetScaler Connector-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie im Dialogfeld Config Providers unter Name den Benutzernamen eines Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile Server verwendet werden soll.
  3. Geben Sie unter Url die Webadresse von XenMobile Gateway Configuration Service (normalerweise im Format https://<xdmHost>/xdm/services/<MagConfigService>) ein. Bei dem Namen von MagConfigservice wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile Server verwendet werden soll.
  5. Klicken Sie auf Test Connectivity, um die Verbindung zwischen Gateway und Konfigurationsanbieter zu testen. Wenn die Verbindung fehlschlägt, überprüfen Sie, ob die lokalen Firewalleinstellungen die Verbindung gestatten, oder wenden Sie sich an den Administrator.
  6. Wenn die Verbindung erfolgreich ist, deaktivieren Sie das Kontrollkästchen Disabled und klicken Sie auf Save.
  7. Behalten Sie unter Managing Host den Standard-DNS-Namen des lokalen Hostcomputers bei. Diese Einstellung wird für die Koordination der Kommunikation mit XenMobile verwendet, wenn mehrere Forefront Threat Management Gateway-Server in einem Array konfiguriert sind.

    Nach dem Speichern der Einstellungen öffnen Sie Gateway Configuration Service.

Konfigurieren des Richtlinienmodus für XenMobile NetScaler Connector

XenMobile NetScaler Connector kann in folgenden sechs Modi ausgeführt werden:

  • Allow All: In diesem Richtlinienmodus erhält der gesamte XenMobile NetScaler Connector passierende Datenverkehr Zugriff. Es werden keine anderen Filterregeln verwendet.
  • Deny All: In diesem Richtlinienmodus wird der gesamte XenMobile NetScaler Connector passierende Datenverkehr blockiert. Es werden keine anderen Filterregeln verwendet.
  • Static Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. XenMobile NetScaler Connector blockiert Geräte, die nicht über andere Filterregeln zugelassen werden.
  • Static Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte, die nicht über andere Filterregeln blockiert werden, werden von XenMobile NetScaler Connector zugelassen.
  • Static + ZDM Rules: Block Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln mit einer impliziten Blockieren-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und Device Manager-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden blockiert.
  • Static + ZDM Rules: Permit Mode: In diesem Richtlinienmodus werden statische Regeln und anschließend dynamische Regeln mit einer impliziten Zulassen-Anweisung am Ende ausgeführt. Geräte werden basierend auf Filtern und XenMobile-Regeln zugelassen oder blockiert. Alle Geräte, die keinem Filter und keiner Regel entsprechen, werden zugelassen.

Die Ausführung dynamischer Regeln durch den XenMobile NetScaler Connector-Prozess basiert auf eindeutigen ActiveSync-Kennungen von iOS- und Windows-Mobilgeräten, die von XenMobile empfangen werden. Bei Android-Geräten ist das Verhalten je nach Hersteller unterschiedlich, einige stellen ihre eindeutige ActiveSync-ID nicht einfach zur Verfügung. Ersatzweise sendet XenMobile für Android-Geräte die Benutzer-ID, damit eine Entscheidung über Zulassen und Blockieren getroffen werden kann. Hat ein Benutzer nur ein Android-Gerät, funktioniert die Zugriffssteuerung daher ordnungsgemäß. Hat ein Benutzer mehrere Android-Geräte, werden alle Geräte zugelassen, da Android-Geräte nicht einzeln unterschieden werden können. Sie können festlegen, dass diese Geräte vom Gateway nach ActiveSync-ID statisch blockiert werden, sofern sie bekannt sind. Sie können das Gateway auch so konfigurieren, dass Geräte nach Gerätetyp oder Benutzeragent blockiert werden.

Zum Festlegen des Richtlinienmodus führen Sie im Konfigurationsprogramm des SMG-Controllers folgende Schritte aus:

  1. Klicken Sie auf die Registerkarte Path Filters und dann auf Add.
  2. Wählen Sie im Dialogfeld Path Properties aus der Liste Policy einen Richtlinienmodus aus und klicken Sie auf Save.

Sie können Regeln auf der Registerkarte Policies des Konfigurationsprogramms prüfen. Die Regeln werden in XenMobile NetScaler Connector der Reihe nach von oben nach unten verarbeitet. Die Richtlinien zum Zulassen werden mit einem grünen Häkchen angezeigt. Die Richtlinien zum Verweigern werden mit einem durchgestrichenen roten Kreis angezeigt. Zum Aktualisieren der Anzeige der Regeln klicken Sie auf Refresh. Sie können die Reihenfolge der Regeln auch in der Datei config.xml ändern.

Zum Testen von Regeln klicken Sie auf die Registerkarte “Simulator. Geben Sie Werte in den Feldern ein. Diese können auch aus den Protokollen bezogen werden. In einer Ergebnismeldung wird “Allow” oder “Block” angezeigt.

Konfigurieren von statischen Regeln

Geben Sie statische Regeln mit Werten ein, die von dem ISAPI-Filter der HTTP-Anforderungen der ActiveSync-Verbindung gelesen werden. Über statische Regeln kann XenMobile NetScaler Connector den Datenverkehr basierend auf folgenden Kriterien zulassen oder blockieren:

  • User: XenMobile NetScaler Connector verwendet die bei der Geräteregistrierung erfasste Struktur aus autorisiertem Benutzerwert und Namen. Dies ist normalerweise “domain\username” gemäß Verweis von dem XenMobile-Server, der mit Active Directory über LDAP verbunden ist. Auf der Registerkarte Log des XenMobile NetScaler Connector-Konfigurationsprogramms werden die durch XenMobile NetScaler Connector gesendeten Werte angezeigt. Die Werte werden gesendet, wenn die Wertstruktur ermittelt werden muss oder wenn sie sich unterscheidet.
  • Deviceid (ActiveSyncID): Wird auch als “ActiveSyncID” des verbundenen Geräts bezeichnet. Dieser Wert ist häufig auf der spezifischen Geräteeigenschaftenseite der XenMobile-Konsole. Er kann auch auf der Registerkarte Log des XenMobile NetScaler Connector-Konfigurationsprogramms gefunden werden.
  • DeviceType: XenMobile NetScaler Connector kann feststellen, ob es sich bei einem Gerät um ein iPhone, iPad oder einen anderen Gerätetyp handelt, und Geräte basierend auf diesem Kriterium blockieren oder zulassen. Wie bei anderen Werten kann das XenMobile NetScaler Connector-Konfigurationsprogramm alle verbundenen Gerätetypen, die für die ActiveSync-Verbindung verarbeitet werden, anzeigen.
  • UserAgent: Enthält Informationen zu dem verwendeten ActiveSync-Client. Meist entspricht der Wert einem bestimmten Betriebssystem-Build-/Versionspaar für die Mobilgeräteplattform.

Das XenMobile NetScaler Connector-Konfigurationsprogramm, das auf dem Server ausgeführt wird, verwaltet immer die statischen Regeln.

  1. Klicken Sie im Konfigurationsprogramm des Secure Mobile Gateway-Controllers auf die Registerkarte Static Rules und dann auf Add.
  2. Legen Sie im Dialogfeld Static Rule Properties die Werte fest, die Sie als Kriterien verwenden möchten. Beispiel: Um einen Benutzer für den Zugriff zuzulassen, geben Sie dessen Benutzernamen ein (z. B. AllowedUser) und deaktivieren Sie dann das Kontrollkästchen Disabled.
  3. Klicken Sie auf Speichern.

    Die statische Regel ist jetzt in Kraft. Zusätzlich können Sie reguläre Ausdrücke zum Definieren von Werten verwenden, Sie müssen jedoch den Regelverarbeitungsmodus in der Datei config.xml aktivieren.

Konfigurieren von dynamischen Regeln

Dynamische Regeln werden über Geräterichtlinien und -eigenschaften in Device Manager definiert und können einen dynamischen XenMobile NetScaler Connector-Filter auslösen. Die Filter werden bei einem Verstoß gegen eine Richtlinie oder Eigenschaft ausgelöst. XenMobile NetScaler Connector-Filter analysieren Geräte auf Verstöße gegen bestimmte Richtlinien oder Eigenschaften. Erfüllt ein Gerät die Kriterien, wird es in eine Geräteliste aufgenommen. Diese Geräteliste ist weder eine Liste zum Zulassen oder zum Blockieren. Es ist lediglich eine Liste der Geräte, die die Kriterien erfüllen. Über die folgenden Konfigurationsoptionen können Sie mithilfe von XenMobile NetScaler Connector festlegen, ob die Geräte in der Geräteliste zugelassen oder blockiert werden sollen.

Hinweis:

Sie müssen die XenMobile-Konsole verwenden, um dynamische Regeln zu konfigurieren.

  1. Klicken Sie in der XenMobile-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  2. Klicken Sie unter Server auf ActiveSync-Gateway. Die Seite “ActiveSync Gateway” wird angezeigt.

  3. Wählen Sie unter Folgende Regel(n) aktivieren eine oder mehrere Regeln aus, die Sie aktivieren möchten.

  4. Nur Android: Klicken Sie unter Send Android domain users to ActiveSync Gateway auf YES, um sicherzustellen, dass XenMobile Android-Geräteinformationen an das Secure Mobile Gateway sendet.

    Wenn diese Option aktiviert ist, sendet XenMobile Android-Geräteinformationen an den XenMobile NetScaler Connector, wenn XenMobile keine ActiveSync-ID für den Android-Gerätebenutzer hat.

Konfigurieren von benutzerdefinierten Richtlinien durch Bearbeiten der XML-Datei von XenMobile NetScaler Connector

Sie können die grundlegenden Richtlinien der Standardkonfiguration auf der Registerkarte Policies des XenMobile NetScaler Connector-Konfigurationsprogramms anzeigen. Zum Erstellen benutzerdefinierter Richtlinien können Sie die XML-Konfigurationsdatei von XenMobile NetScaler Connector (config\config.xml) bearbeiten.

  1. Suchen Sie in der Datei den Abschnitt PolicyList und fügen Sie diesem ein neues Policy-Element hinzu.
  2. Wenn eine neue Gruppe erforderlich wird, z. B. eine zusätzliche statische Gruppe oder eine Gruppe für eine zusätzliche GCP, fügen Sie das neue Group-Element dem Abschnitt GroupList hinzu.
  3. Falls gewünscht, können Sie die Reihenfolge der Gruppen in einer vorhandenen Richtlinie durch Umstellen der GroupRef-Elemente ändern.

Konfigurieren der XML-Datei von XenMobile NetScaler Connector

Die Aktionen von XenMobile NetScaler Connector werden über eine XML-Konfigurationsdatei gesteuert. Unter anderem enthält die Datei die Dateigruppe und zugehörige Aktionen für den Filter bei der Auswertung von HTTP-Anforderungen. Standardmäßig heißt die Datei config.xml und ist im Verzeichnis \Programme\Citrix\XenMobile NetScaler Connector\config.

GroupRef-Knoten

Die GroupRef-Knoten definieren die logischen Gruppennamen. Die Standardwerte sind “AllowGroup” und “DenyGroup”.

Hinweis:

Die Reihenfolge der GroupRef-Knoten im GroupRefList-Knoten spielt eine Rolle.

Der ID-Wert eines GroupRef-Knotens identifiziert einen logischen Container bzw. eine Mitgliedersammlung, der bzw. die für die Zuordnung spezifischer Benutzerkonten oder Geräte verwendet wird. Die Action-Attribute geben an, wie ein Mitglied zu behandeln ist, das einer Regel in der Sammlung entspricht. Beispielsweise wird ein Benutzerkonto oder Gerät, das einer AllowGroup-Regel entspricht, zugelassen. Dies bedeutet, es erhält Zugriff auf den Exchange-Clientzugriffsserver. Ein Benutzerkonto oder Gerät, das einer DenyGroup-Regel entspricht, wird abgelehnt. Dies bedeutet, es erhält keinen Zugriff auf den Exchange-Clientzugriffsserver.

Entspricht ein bestimmtes Benutzerkonto/Gerät oder eine Konto-/Gerätekombination Regeln beider Gruppen, erfolgt die Behandlung gemäß einer Rangfolgenkonvention. Die Rangfolge entspricht der Reihenfolge der GroupRef-Knoten in der Datei config.xml von oben nach unten. Die GroupRef-Knoten werden nach Priorität gewichtet. Regeln für eine bestimmte Bedingung in der Allow-Gruppe haben immer Vorrang vor Regeln für die gleiche Bedingung in Deny-Gruppe.

Gruppenknoten

In der Datei config.xml sind außerdem Gruppenknoten definiert. Diese Knoten verknüpfen die logischen Container “AllowGroup” und “DenyGroup” mit externen XML-Dateien. Einträge in den externen Dateien bilden die Basis für die Filterregeln.

Hinweis:

In diesem Release werden nur externe XML-Dateien unterstützt.

In der Standardinstallation sind zwei XML-Dateien in der Konfiguration implementiert: allow.xml und deny.xml.

Konfigurieren von XenMobile NetScaler Connector

Sie können XenMobile NetScaler Connector so konfigurieren, dass ActiveSync-Anforderungen basierend auf den folgenden Eigenschaften selektiv blockiert oder zugelassen werden: ActiveSync Service ID, Device type, User Agent (Geräte-OS), Authorized user und ActiveSync Command.

Die Standardkonfiguration unterstützt eine Kombination aus statischen und dynamischen Gruppen. Statische Gruppen werden mit dem Konfigurationsprogramm des Secure Mobile Gateway-Controllers verwaltet. Statische Gruppen können aus bekannten Gerätekategorien bestehen, z. B. alle Geräte mit einem bestimmten Benutzer-Agent.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt. XenMobile NetScaler Connector verbindet die Gruppen in regelmäßigen Abständen. XenMobile kann Gruppen zugelassener und blockierter Geräte und Benutzer in XenMobile NetScaler Connector exportieren.

Dynamische Gruppen werden von einer externen Quelle, dem Gateway-Konfigurationsanbieter, gepflegt und von XenMobile NetScaler Connector regelmäßig gesammelt. XenMobile kann Gruppen zugelassener und blockierter Geräte und Benutzer in XenMobile NetScaler Connector exportieren.

Eine Richtlinie ist eine sortierte Liste von Gruppen, in der jeder Gruppe eine Aktion (zulassen oder blockieren) zugeordnet ist, und eine Liste der Gruppenmitglieder. Eine Richtlinie kann beliebig viele Gruppen enthalten. Die Reihenfolge der Gruppen in einer Richtlinie ist wichtig, weil bei einer Übereinstimmung die Aktion der Gruppe erfolgt und nachfolgende Gruppen nicht ausgewertet werden.

Mitglieder sind eine Methode für die Zuordnung der Eigenschaften einer Anforderung. Sie können einer einzelnen Eigenschaft (z. B. Geräte-ID) oder mehreren Eigenschaften entsprechen (z. B. Gerätetyp und Benutzer-Agent).

Auswählen eines Sicherheitsmodells für XenMobile NetScaler Connector

Die Implementierung eines Sicherheitsmodells ist für eine erfolgreiche Mobilgerätebereitstellung in Organisationen jeder Größe wichtig. Häufig wird eine Netzwerksteuerung mit Schutz oder Quarantäne verwendet, um den Zugriff auf Benutzer, Computer oder Geräte standardmäßig zuzulassen. Dieses Verfahren ist jedoch nicht immer ideal. In jeder Organisation werden bei der Verwaltung der IT-Sicherheit andere ggf. maßgeschneiderte Methoden zum Schutz von Mobilgeräten eingesetzt.

Die gleiche Logik gilt für die Sicherheit von Mobilgeräten. Angesichts der Vielzahl verschiedener Mobilgerätetypen, der großen Zahl Mobilgeräte pro Benutzer und der Vielfalt an Betriebssystemen und Apps ist das permissive Modell keine gute Wahl. In den meisten Organisationen ist das restriktive Modell die beste Wahl.

Citrix lässt bei der Integration von XenMobile NetScaler Connector und XenMobile folgende Konfigurationsszenarios zu:

Permissives Modell (Zulassungsmodus)

Beim permissiven Sicherheitsmodell gilt, dass bei allem der Zugriff standardmäßig zugelassen ist. Nur durch Einsatz von Regeln und Filtern können Elemente blockiert und Beschränkungen angewendet werden. Das permissive Sicherheitsmodell ist für Organisationen geeignet, in denen keine strengen Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur dann verweigert, wenn eine Richtlinienregel verletzt wurde.

Restriktives Modell (Blockierungsmodus)

Beim restriktiven Sicherheitsmodell gilt, dass bei nichts der Zugriff standardmäßig zugelassen ist. Alle Elemente werden bei der Sicherheitsprüfung gefiltert und untersucht. Der Zugriff wird blockiert, außer wenn die Regeln für die Zulassung des Zugriffs erfüllt werden. Das restriktive Sicherheitsmodell ist für Organisationen geeignet, in denen relativ strenge Sicherheitsvorschriften hinsichtlich der Mobilgeräte herrschen. Bei diesem Modell wird der Zugriff nur gewährt, wenn alle Regeln für das Zulassen des Zugriffs erfüllt werden.

Verwalten von XenMobile NetScaler Connector

Mit XenMobile NetScaler Connector können Sie Regeln für die Zugriffssteuerung erstellen. Mit diesen Regeln wird der Zugriff verwalteter Geräte auf ActiveSync-Verbindungsanforderungen zugelassen oder blockiert. Der Zugriff basiert auf Gerätestatus, App-Sperrlisten bzw. App-Positivlisten und anderen Vorgaben zur Richtlinientreue.

Mit dem XenMobile NetScaler Connector-Konfigurationsprogramm können Sie dynamische und statische Regeln zum Erzwingen von Richtlinien für die Unternehmens-E-Mail erstellen, mit denen Benutzer, die die Richtlinien nicht einhalten, blockiert werden. Sie können außerdem die Verschlüsselung von E-Mail-Anlagen einrichten, sodass alle Anlagen, die über Exchange Server an verwaltete Geräte gesendet werden, verschlüsselt werden und nur von autorisierten Benutzern auf verwalteten Geräten angezeigt werden können.

Deinstallieren von XNC

  1. Führen Sie XncInstaller.exe als Administrator aus.
  2. Folgen Sie den Anweisungen zum Durchführen der Deinstallation.

Installieren, Aktualisieren und Deinstallieren von XenMobile NetScaler Connector

  1. Führen Sie XncInstaller.exe als Administrator aus, um XenMobile NetScaler Connector zu installieren bzw. vorhandene Versionen zu aktualisieren oder zu deinstallieren.
  2. Folgen Sie den angezeigten Anweisungen, um die Installation, das Upgrade oder die Deinstallation durchzuführen.

Nach der Installation von XenMobile NetScaler Connector müssen Sie den XenMobile-Konfigurationsdienst und den Benachrichtigungsdienst manuell neu starten.

Installieren von XenMobile NetScaler Connector

Sie können XenMobile NetScaler Connector auf einem eigenen Server oder auf demselben Server wie XenMobile installieren.

Die Installation von XenMobile NetScaler Connector auf einem eigenen Server könnte sich aus folgenden Gründen anbieten:

  • Der XenMobile Server wird remote in einer Cloud (physischer Speicherort) gehostet.
  • Sie möchten nicht, dass XenMobile NetScaler Connector durch Neustarts von XenMobile Server beeinträchtigt wird (Verfügbarkeit).
  • Sie möchten die Systemressourcen des Servers vollständig für XenMobile NetScaler Connector nutzen (Leistung).

Die CPU-Last, die XenMobile NetScaler Connector einem Server zuweist, hängt von der Anzahl der verwalteten Geräte ab. Als Faustregel gilt, dass ein weiterer CPU-Kern bereitzustellen ist, wenn XenMobile NetScaler Connector auf demselben Server wie XenMobile bereitgestellt wird. Bei hohen Gerätezahlen (über 50.000) müssen Sie möglicherweise weitere Kerne bereitstellen, wenn Sie keine Clusterumgebung haben. Der Speicherbedarf von XenMobile NetScaler Connector ist zu klein, als dass zusätzlicher Speicher erforderlich wäre.

Systemanforderungen für XenMobile NetScaler Connector

XenMobile NetScaler Connector kommuniziert mit NetScaler über eine auf dem NetScaler-Gerät konfigurierte SSL-Brücke. Über diese Brücke kann das Gerät sämtlichen sicheren Datenverkehr direkt an XenMobile übergeben. XenMobile NetScaler Connector erfordert die folgende Mindestsystemkonfiguration:

Komponente Anforderungen
Computer und Prozessor Pentium III-Prozessor, 733 MHz oder schneller; empfohlen: Pentium III-Prozessor, 2.0 GHz oder schneller
NetScaler NetScaler-Gerät mit Softwareversion 10
Speicher 1 GB
Festplatte NTFS-formatierte lokale Partition mit 150 MB freiem Speicherplatz
Betriebssystem Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008, oder Microsoft Windows Server 2012 R2.
Sonstige Geräte Mit dem Hostbetriebssystem kompatibler Netzwerkadapter für die Kommunikation mit dem internen Netzwerk
Microsoft .NET Framework Version 8.5.1.11 erfordert Microsoft .NET Framework 4.5.
Anzeigen VGA-Monitor oder höher

Auf dem Hostcomputer für XenMobile NetScaler Connector ist mindestens folgender freier Festplattenspeicher erforderlich:

  • Anwendung: 10–15 MB (100 MB empfohlen)
  • Protokollierung: 1 GB (20 GB empfohlen)

Informationen über unterstützte Plattformen für XenMobile NetScaler Connector finden Sie unter Unterstützte Gerätebetriebssysteme.

Geräte-E-Mail-Clients

Nicht alle E-Mail-Clients geben konstant dieselbe ActiveSync-ID für das Gerät zurück. Da XenMobile NetScaler Connector eine eindeutige ActiveSync-ID für jedes Gerät erwartet, werden nur E-Mail-Clients unterstützt, die konstant dieselbe eindeutige ActiveSync-ID für jedes Gerät generieren. Folgende E-Mail-Clients wurden von Citrix getestet und funktionieren ordnungsgemäß:

  • HTC-nativer E-Mail-Client
  • Samsung-nativer E-Mail-Client
  • iOS-nativer E-Mail-Client
  • TouchDown

Bereitstellen von XenMobile NetScaler Connector

Mit XenMobile NetScaler Connector können Sie NetScaler als Proxy und für den Lastausgleich bei der Kommunikation zwischen XenMobile Server und mit XenMobile verwalteten Geräten verwenden. XenMobile NetScaler Connector kommuniziert in regelmäßigen Abständen mit XenMobile zur Synchronisierung von Richtlinien. XenMobile NetScaler Connector und XenMobile lassen sich zusammen oder separat in Clustern zusammenfassen. Ein Lastausgleich ist mit NetScaler möglich.

XenMobile NetScaler Connector-Komponenten

  • XenMobile NetScaler Connector-Dienst Dieser Dienst bietet eine REST-Webdienstschnittstelle, die von NetScaler aufgerufen werden kann, um zu bestimmen, ob eine ActiveSync-Anforderung von einem Gerät autorisiert ist.
  • XenMobile-Konfigurationsdienst: Dieser Dienst kommuniziert mit Device Manager zur Synchronisierung von Device Manager-Richtlinienänderungen mit XenMobile NetScaler Connector.
  • XenMobile-Benachrichtigungsdienst: Dieser Dienst sendet Benachrichtigungen über unautorisierten Gerätezugriff an Device Manager. Device Manager kann dann die nötigen Schritte ergreifen und beispielsweise den Benutzer benachrichtigen, warum sein Gerät blockiert wurde.
  • XenMobile NetScaler-Konfigurationsprogramm Mit dieser Anwendung kann der Administrator XenMobile NetScaler Connector konfigurieren und überwachen.

Einrichten von Überwachungsadressen für XenMobile NetScaler Connector

Führen Sie folgende Schritte aus, damit XenMobile NetScaler Connector Anforderungen von NetScaler zur Autorisierung von ActiveSync-Datenverkehr empfangen kann. Geben Sie den Port an, den XenMobile NetScaler Connector auf Aufrufe des NetScaler-Webdiensts überwacht.

  1. Wählen Sie im Menü Start das XenMobile NetScaler-Konfigurationsprogramm.
  2. Klicken Sie auf die Registerkarte Web Service, und geben Sie die zu überwachenden Adressen für den XenMobile NetScaler Connector-Webdienst ein. Sie können HTTP und/oder HTTPS auswählen. Residiert XenMobile NetScaler Connector auf dem gleichen Server wie XenMobile, wählen Sie Ports aus, die keinen Konflikt mit denen von XenMobile auslösen.
  3. Wenn die Werte konfiguriert sind, klicken Sie auf Save und dann auf Start Service, um den Webdienst zu starten.

Konfigurieren von Richtlinien für die Gerätezugriffssteuerung in XenMobile NetScaler Connector

Zum Konfigurieren einer Zugriffssteuerungsrichtlinie für verwaltete Geräte gehen Sie folgendermaßen vor:

  1. Klicken Sie im XenMobile NetScaler-Konfigurationsprogramm auf die Registerkarte Patz Filters.
  2. Wählen Sie die erste Zeile Microsoft-Server-ActiveSync is for ActiveSync und klicken Sie auf Edit.
  3. Wählen Sie in der Liste Policy die gewünschte Richtlinie aus. Bei Richtlinien, die XenMobile-Richtlinien umfassen, wählen Sie Static + ZDM: Permit Mode oder Static + ZDM: Block Mode. Diese Richtlinien kombinieren lokale (statische) Regeln mit denen von XenMobile. Permit Mode bedeutet, dass alle Geräte, die nicht explizit durch die Regeln identifiziert werden, Zugriff auf ActiveSync erhalten. Block Mode bedeutet, dass solche Geräte blockiert werden.
  4. Klicken Sie nach dem Festlegen der Richtlinien auf Save.

Konfigurieren der Kommunikation mit XenMobile

Geben Sie Namen und Eigenschaften des XenMobile Servers (= “Config Provider”) an, den Sie mit XenMobile NetScaler Connector und NetScaler verwenden möchten.

Hinweis: Es wird davon ausgegangen, dass Sie XenMobile bereits installiert und konfiguriert haben.

  1. Klicken Sie im XenMobile NetScaler Connector-Konfigurationsprogramm auf die Registerkarte Config Providers und dann auf Add.
  2. Geben Sie den Namen und die URL des XenMobile Servers ein, den Sie in der Bereitstellung verwenden. Wenn Sie mehrere XenMobile Server in einer Bereitstellung mit mehreren Mandanten haben, muss der Name für jede Serverinstanz eindeutig sein. Geben Sie unter Name beispielsweise XMS ein.
  3. Geben Sie unter Url die Webadresse von XenMobile GlobalConfig Provider (normalerweise im Format https://<FQDN>/<instanceName>/services/<MagConfigService>) ein. Bei dem Namen von MagConfigservice wird Groß-/Kleinschreibung unterschieden.
  4. Geben Sie unter Password das Kennwort des Kontos mit Administratorrechten ein, das für die grundlegende HTTP-Autorisierung auf dem XenMobile-Webserver verwendet werden soll.
  5. Geben Sie unter Managing Host den Namen des Servers ein, auf dem Sie XenMobile NetScaler Connector installiert haben.
  6. Geben Sie unter Baseline Interval das Intervall ein, in dem von XenMobile der aktualisierte Satz dynamischer Regeln abgerufen werden soll.
  7. Geben Sie unter Request Timeout das Timeoutintervall für die Serveranforderungen an.
  8. Wählen Sie unter Config Provider, ob die Serverinstanz des Konfigurationsanbieters die Richtlinienkonfiguration bereitstellt.
  9. Aktivieren Sie die Option unter Events Enabled, wenn Secure Mobile Gateway die Blockierung eines Geräts an XenMobile melden soll. Die Option ist erforderlich, wenn Sie Secure Mobile Gateway-Regeln in Device Manager für eine automatische Aktion verwenden.
  10. Klicken Sie nach Abschluss der Konfiguration des Servers auf Test Connectivity, um die Verbindung mit XenMobile zu testen.
  11. Wenn die Verbindung hergestellt wird, klicken Sie auf Save.

Bereitstellen von XenMobile NetScaler Connector für Redundanz und Skalierbarkeit

Wenn Sie Ihre XenMobile NetScaler Connector- und XenMobile-Bereitstellung skalieren möchten, installieren Sie Instanzen von XenMobile NetScaler Connector auf mehreren Windows-Servern, die alle auf die gleiche XenMobile-Instanz verweisen, und führen Sie dann einen Lastausgleich der Server mit NetScaler aus.

Es gibt zwei Modi für die XenMobile NetScaler Connector -Konfiguration:

  • Im Modus ohne Freigabe kommuniziert jede XenMobile NetScaler Connector-Instanz mit einem XenMobile-Server und speichert eine eigene Kopie der daraus resultierenden Richtlinie. Beispiel: In einem XenMobile-Servercluster können Sie eine XenMobile NetScaler Connector-Instanz auf jedem XenMobile-Server ausführen. XenMobile NetScaler Connector erhält dann Richtlinien von der lokalen XenMobile-Instanz.
  • In Modus mit Freigabe wird ein XenMobile NetScaler Connector-Knoten als primärer Knoten festgelegt und kommuniziert mit XenMobile. Die resultierende Konfiguration wird dann per Windows-Netzwerkfreigabe oder per Windows-Replikation (bzw. per Drittanbieter-Replikation) an die anderen Knoten weitergegeben.

Die gesamte XenMobile NetScaler Connector-Konfiguration (bestehend aus einigen XML-Dateien) ist in einem einzigen Ordner. Der XenMobile NetScaler Connector-Prozess erkennt Änderungen an jeder Datei in diesem Ordner und lädt die Konfiguration dann automatisch neu. Im Modus mit Freigabe gibt kein Failover für den primären Knoten. Bei einem Ausfall des primären Servers (z. B. durch Neustart) besteht jedoch einige Minuten lang Fehlertoleranz, da die letzte funktionsfähige Konfiguration im XenMobile NetScaler Connector-Prozess zwischengespeichert ist.