Citrix Gateway y Endpoint Management

Al configurar Citrix Endpoint Management para que use Citrix Gateway, debe establecer el mecanismo de autenticación para el acceso de dispositivos remotos a la red interna. Esta configuración permite a las aplicaciones de un dispositivo móvil acceder a los servidores de empresa ubicados en la intranet. Porque Endpoint Management crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo hasta Citrix Gateway.

Puede utilizar Citrix Gateway Servicio o un dispositivo Citrix Gateway local, también conocido como NetScaler Gateway. Para obtener información general sobre las dos soluciones de Citrix Gateway, consulte Configurar el uso de Citrix Gateway con Endpoint Management.

Configurar la autenticación para el acceso de dispositivos remotos a la red interna

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en Citrix Gateway. Aparecerá la página de Citrix Gateway. En el siguiente ejemplo, existe una instancia de Citrix Gateway.

    Pantalla de configuración de Citrix Gateway

  3. Configure estos parámetros:

    • Autenticación: Seleccione si quiere habilitar la autenticación. El valor predeterminado es .
    • Entregar certificado de usuario para autenticación: Seleccione si quiere que Endpoint Management comparta el certificado de autenticación con Secure Hub. Compartir el certificado permite a Citrix Gateway gestionar la autenticación de certificado del cliente. El valor predeterminado es NO.
    • Proveedor de credenciales: En la lista, haga clic en el proveedor de credenciales que se va a utilizar. Para obtener más información, consulte Proveedores de credenciales.
  4. Haga clic en Guardar.

Agregar una instancia de Citrix Gateway

Después de guardar los parámetros de autenticación, puede agregar una instancia de Citrix Gateway a Endpoint Management.

  1. En la consola de Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Se abrirá la página Parámetros.

  2. En Servidor, haga clic en Citrix Gateway. Aparecerá la página de Citrix Gateway.

  3. Puede agregar Citrix Gateway Service o un dispositivo Citrix Gateway local. Para agregar un dispositivo Gateway local, vaya directamente al paso siguiente. Para agregar Gateway Service, haga clic en Agregar y, a continuación, elija Agregar Gateway Service. Aparecerá la página Agregar Citrix Gateway Service. Complete esta configuración.

    Pantalla de configuración de Citrix Gateway

    • URL externa: Escriba la URL de acceso público de Citrix Gateway. Por ejemplo, https://url.com.
    • Definir como predeterminado: Seleccione si quiere usar esta instancia de Citrix Gateway como predeterminada. El valor predeterminado es .
    • Ubicación del recurso: Se necesita si utiliza Secure Mail. Especifique la ubicación del recurso para el servicio STA. La ubicación del recurso debe incluir un dispositivo Citrix Gateway configurado. Si más adelante quiere quitar la ubicación de un recurso configurada para Gateway Service, actualice este parámetro.

    Cuando lo complete, haga clic en Guardar. La nueva instancia de Citrix Gateway se agrega y aparece en la tabla. Para modificar o eliminar una instancia, haga clic en el nombre de esta en la lista.

  4. Para agregar un dispositivo Gateway local, haga clic en Agregar y, a continuación, elija Agregar dispositivo Gateway local. Aparecerá la página Agregar nuevo Citrix Gateway.

    Pantalla de configuración de Citrix Gateway

    Configure estos parámetros:

    • Nombre: Escriba un nombre para la instancia de Citrix Gateway.
    • Alias: Puede incluir un nombre como alias de Citrix Gateway.
    • URL externa: Escriba la URL de acceso público de Citrix Gateway. Por ejemplo, https://receiver.com.
    • Tipo de inicio de sesión: Haga clic en un tipo de inicio de sesión. Los tipos pueden ser: Dominio y token de seguridad, Certificado y dominio y Certificado y token de seguridad. Además, los valores predeterminados del campo Requerir código de acceso cambian en función del Tipo de inicio de sesión seleccionado. El valor predeterminado es Solo dominio.

    Si dispone de varios dominios, use Certificado y dominio. Para obtener más información, consulte Configurar la autenticación para varios dominios.

    Si utiliza la opción Certificado y token de seguridad, se necesita configuración adicional en Citrix Gateway para que admita Secure Hub. Para obtener información, consulte Configurar Endpoint Management para la autenticación con certificado y token de seguridad.

    Para obtener más información, consulte Autenticación en Deployment Handbook.

    • Requerir código de acceso: Seleccione si quiere que se solicite la contraseña para la autenticación. El valor predeterminado varía según el Tipo de inicio de sesión seleccionado.
    • Definir como predeterminado: Seleccione si quiere usar esta instancia de Citrix Gateway como predeterminada. El valor predeterminado es NO.
    • Exportar script de configuración: Haga clic en el botón para exportar un paquete de configuración que luego puede cargar en Citrix Gateway para configurarlo con Endpoint Management. Para obtener información, consulte “Configurar un Citrix Gateway local para usarlo con Endpoint Management” más adelante en este artículo.
  5. Haga clic en Guardar.

    La nueva instancia de Citrix Gateway se agrega y aparece en la tabla. Para modificar o eliminar una instancia, haga clic en el nombre de esta en la lista.

Configurar Citrix Gateway local para usarlo con Endpoint Management

Para configurar un Citrix Gateway local y usarlo con Endpoint Management, realice los siguientes pasos generales, descritos en este artículo:

  1. Descargue un script y los archivos relacionados desde el servidor Endpoint Management. Consulte el archivo Léame suministrado con el script para ver instrucciones detalladas actualizadas.

  2. Compruebe que su entorno cumple los requisitos previos.

  3. Actualice el script para su entorno.

  4. Ejecute el script en Citrix Gateway.

  5. Pruebe la configuración.

El script configura los parámetros de Citrix Gateway que necesita Endpoint Management:

  • Servidores virtuales de Citrix Gateway necesarios para MAM y MDM
  • Directivas de sesión para los servidores virtuales de Citrix Gateway
  • Detalles del servidor Endpoint Management
  • Equilibrador de carga proxy para la validación de certificados
  • Acciones y directivas de autenticación para el servidor virtual NetScaler Gateway (NSG). El script describe los parámetros de configuración de LDAP.
  • Directivas y acciones de tráfico de red para el servidor proxy
  • Perfil de acceso sin cliente
  • Registro de DNS local estático en Citrix Gateway
  • Otros enlaces: directiva de servicio, certificado de CA

El script no se ocupa de la siguiente configuración:

  • Equilibrio de carga de Exchange
  • Equilibrio de carga de Citrix Files
  • Configuración del proxy ICA
  • Descarga de SSL

Requisitos previos para utilizar el script de configuración de Citrix Gateway

Si quiere configurar un dispositivo Citrix Gateway local para usarlo con Endpoint Management, exporte un script desde Endpoint Management. A continuación, ejecute el script en Citrix Gateway.

Requisitos para un dispositivo Citrix Gateway local:

  • Citrix Gateway (versión mínima 11.0, compilación 70.12)
  • La dirección IP de Citrix Gateway está configurada y tiene conectividad con el servidor LDAP, a menos que LDAP tenga la carga equilibrada.
  • La dirección IP de subred (SNIP) de Citrix Gateway está configurada, tiene conectividad con los servidores back-end necesarios y tiene acceso a la red pública por el puerto 8443/TCP.
  • DNS puede resolver dominios públicos.
  • Citrix Gateway tiene las licencias Platform, Universal o Trial. Para obtener información, consulte https://support.citrix.com/article/CTX126049.
  • Un certificado SSL de Citrix Gateway está cargado e instalado en Citrix Gateway. Para obtener más información, consulte https://support.citrix.com/article/CTX136023.

Requisitos de Endpoint Management:

  • El servidor LDAP está configurado.

Descargar el paquete del script y actualizarlo con los valores de su entorno

  1. Agregue un dispositivo Citrix Gateway a Endpoint Management:

    • Durante la incorporación en el asistente de configuración inicial .
    • Después de la incorporación en Configuración > Citrix Gateway.
  2. Para descargar el paquete de scripts, seleccione un dispositivo Citrix Gateway, haga clic en Exportar script de configuración y, a continuación, haga clic en Descargar.

    El botón Exportar script de configuración también aparece en la página donde se agrega un Citrix Gateway.

    El paquete del script incluye:

    • Un archivo Léame con instrucciones detalladas
    • Un script que contiene los comandos de interfaz de línea de comandos de NetScaler que se usan para configurar los componentes necesarios en NetScaler
    • Certificado de CA raíz público y certificado de CA intermedio
    • Un script que contiene los comandos de interfaz de línea de comandos de NetScaler necesarios para quitar la configuración de NetScaler
  3. Cargue e instale los archivos de certificado (proporcionados en el paquete del script) en el dispositivo NetScaler, en el directorio /nsconfig/ssl/.

    Pantalla de configuración de Citrix Gateway

    En los siguientes ejemplos se muestra cómo instalar el certificado raíz.

    Pantalla de configuración de Citrix Gateway

    Pantalla de configuración de Citrix Gateway

    Pantalla de configuración de Citrix Gateway

    Pantalla de configuración de Citrix Gateway

    Debe instalar tanto el certificado raíz como el certificado intermedio.

  4. Modifique el script (OfflineNSGConfigtBundle_CREATESCRIPT) para reemplazar todos los marcadores de posición por los valores correspondientes a su implementación.

    Pantalla de configuración de Citrix Gateway

  5. Ejecute el script modificado en el bash shell de NetScaler, como se describe en el archivo Léame incluido en el paquete del script. Por ejemplo:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    Pantalla de configuración de Citrix Gateway

    Cuando el script se complete, aparecerán las siguientes líneas.

    Pantalla de operación correcta en Citrix Gateway

Probar la configuración

Para validar la configuración:

  1. Compruebe que el servidor virtual Citrix Gateway muestra el estado operativo ACTIVO.

    Pantalla de estado de Citrix Gateway

  2. Compruebe que el servidor virtual de equilibrio de carga proxy muestra el estado operativo (UP).

    Pantalla de estado de Citrix Gateway

  3. Abra un explorador web, conéctese a la URL de Citrix Gateway e intente autenticarse. Si la autenticación tiene éxito, se le redirigirá a un mensaje de página no encontrada: “HTTP Status 404 - Not Found” .

  4. Inscriba un dispositivo y compruebe que obtiene la inscripción en MDM y MAM.

Configurar la autenticación para varios dominios

Si tiene varias instancias de Endpoint Management (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar manualmente Citrix Gateway para los entornos adicionales (puede usar el asistente de NetScaler para XenMobile solamente una vez).

Configurar Citrix Gateway

Para configurar las directivas de autenticación de Citrix Gateway y una directiva de sesión para un entorno de varios dominios:

  1. En la herramienta de configuración de Citrix Gateway, en la ficha Configuración, expanda Citrix Gateway > Directivas > Autenticación.
  2. En el panel de navegación, haga clic en LDAP.
  3. Haga clic para modificar el perfil de LDAP. Cambie el Atributo de nombre de inicio de sesión del servidor a userPrincipalName o al atributo que quiera utilizar para las búsquedas. Tome nota del atributo que especifique. Proporciónelo cuando configure las opciones de LDAP en la consola de Endpoint Management.

    Pantalla de configuración de Citrix Gateway

  4. Repita estos pasos para cada directiva de LDAP. Se requiere una directiva de LDAP diferente para cada dominio.
  5. En la directiva de sesión vinculada al servidor virtual de Citrix Gateway, vaya a Modificar perfil de sesiones > Aplicaciones publicadas. Compruebe que la opción Single Sign-On Domain está en blanco.

Configurar Endpoint Management

Si quiere configurar LDAP para un entorno de Endpoint Management de varios dominios:

  1. En la consola de Endpoint Management, vaya a Parámetros > LDAP y agregue o modifique un directorio.

    Pantalla de parámetros LDAP en Endpoint Management

  2. Proporcione la información correspondiente.

    • En Alias de dominio, especifique los dominios que se utilizarán para la autenticación de usuarios. Separe los dominios con una coma y no introduzca espacios entre ellos. Por ejemplo: dominio1.com,dominio2.com,dominio3.com

    • Compruebe que el campo Buscar usuarios por coincide con el valor de Atributo de nombre de inicio de sesión del servidor especificado en la directiva de LDAP de Citrix Gateway.

    Pantalla de parámetros LDAP en Endpoint Management

Descartar solicitudes de conexión entrantes a direcciones URL específicas

Si Citrix Gateway en su entorno está configurado para la descarga de SSL, puede que prefiera que la puerta de enlace descarte las solicitudes de conexión entrantes para direcciones URL específicas. Si prefiere esa seguridad adicional, contacte con Citrix Cloud Operations y solicite que incluyan su IP en sus centros de datos locales.