XenMobile NetScaler Connector

XenMobile NetScaler Connector ofrece un servicio de autorización a NetScaler en el nivel de dispositivos de los clientes ActiveSync, por lo que actúa como proxy inverso para el protocolo de Exchange ActiveSync. La autorización se controla mediante una combinación de directivas que se definen en XenMobile y unas reglas definidas localmente por XenMobile NetScaler Connector.

Para obtener más información, consulte ActiveSync Gateway.

Para obtener un diagrama detallado con una arquitectura como referencia, consulte Arquitectura.

La versión actual de XenMobile NetScaler Connector es 8.5.1.11.

Novedades en esta versión

  • Cambio en los requisitos del sistema: La versión actual de NetScaler Connector requiere Microsoft .NET Framework 4.5.

  • Respaldo para Google Analytics: Nos gustaría saber cómo usa XenMobile NetScaler Connector para centrarnos en dónde mejorar el producto.

  • Respaldo para TLS 1.1 y 1.2: Debido a la poca seguridad que ofrece, PCI Council ha decretado TLS 1.0 como obsoleto. Se ha agregado respaldo para TLS 1.1 y 1.2 a XenMobile NetScaler Connector.

Supervisión de XenMobile NetScaler Connector

La herramienta de configuración de XenMobile NetScaler Connector ofrece un registro detallado para, entre otros, consultar todo el tráfico que pasa por el servidor Exchange que Secure Mobile Gateway permite o bloquea.

Use la ficha Log para ver el historial de las solicitudes de ActiveSync que NetScaler ha reenviado a XenMobile NetScaler Connector para la autorización.

Además, para comprobar que el servicio Web de XenMobile NetScaler Connector se está ejecutando, puede cargar la siguiente URL en un explorador Web presente en el servidor XenMobile NetScaler Connector: http://<host:port>/services/ActiveSync/Version. Si la dirección URL devuelve la versión de producto como una cadena, el servicio Web funciona.

Para simular tráfico de ActiveSync con XenMobile NetScaler Connector

Puede utilizar XenMobile NetScaler Connector para hacer una simulación del aspecto que presentaría el tráfico de ActiveSync en combinación con las directivas. En la herramienta de configuración de XenMobile NetScaler Connector, seleccione la ficha Simulator. Los resultados muestran la manera en que se aplicarán las directivas en función de las reglas que haya configurado.

Selección de filtros para XenMobile NetScaler Connector

Los filtros de XenMobile NetScaler Connector analizan un dispositivo para detectar la infracción de una directiva concreta o un parámetro de propiedad. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista de dispositivos, Device List, no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Los siguientes filtros están disponibles para XenMobile NetScaler Connector en XenMobile. Las dos opciones para cada filtro son Permitir o Denegar.

  • Dispositivos anónimos: Permite o deniega aquellos dispositivos inscritos en XenMobile cuya identidad de usuario es desconocida. Por ejemplo, puede tratarse de un usuario que se haya inscrito, pero cuyas contraseñas de Active Directory estén caducadas, o bien un usuario que se ha inscrito con credenciales desconocidas.
  • Atestación de Samsung KNOX fallida: Los dispositivos Samsung tienen la funcionalidad de seguridad y diagnósticos. Este filtro proporciona la confirmación de que el dispositivo está configurado para KNOX. Para obtener más información, consulte el artículo de XenMobile Service sobre Samsung KNOX.
  • Aplicaciones prohibidas: Permite o deniega dispositivos basándose en la lista de dispositivos definida por las directivas de aplicaciones prohibidas y la presencia de esas aplicaciones.
  • Permitir / Denegar implícitamente: Crea una lista de todos los dispositivos que no cumplen ninguno de los demás criterios de regla o filtro, y permite o deniega en función de esa lista. La opción “Permitir / Denegar implícitamente” garantiza que se habilite el estado de XenMobile NetScaler Connector en la ficha “Dispositivos”, y muestra el estado de XenMobile NetScaler Connector para los dispositivos. La opción “Permitir / Denegar implícitamente” también controla todos los demás filtros de XenMobile NetScaler Connector que no se han seleccionado. Por ejemplo, XenMobile NetScaler Connector denegará (bloqueará) las aplicaciones prohibidas (en lista negra), mientras que el resto de los filtros las permitirán porque la opción “Permitir / Denegar implícitamente” está establecida en Permitir.
  • Dispositivos inactivos: Crea una lista de los dispositivos que no se han comunicado con XenMobile durante un período de tiempo específico. Estos dispositivos se consideran inactivos. El filtro permite o niega esos dispositivos basándose en este filtro.
  • Aplicaciones obligatorias que faltan: Cuando un usuario se inscribe, el usuario recibe una lista de las aplicaciones obligatorias que debe instalarse. El filtro “Aplicaciones obligatorias que faltan” indica que una o varias de esas aplicaciones ya no están presentes; por ejemplo, el usuario eliminó una o varias aplicaciones.
  • Aplicaciones no sugeridas: Cuando un usuario se inscribe, recibe una lista de las aplicaciones que debería instalar. El filtro “Aplicaciones no sugeridas” examina el contenido del dispositivo en busca de las aplicaciones que no están en esa lista.
  • Contraseña no conforme: Crea una lista de todos los dispositivos que no tienen código de acceso en el dispositivo.
  • Dispositivos no conformes: Permite o deniega los dispositivos que cumplen los criterios propios del departamento interno de TI. La conformidad es un valor arbitrario definido por la propiedad de dispositivo denominada “No conforme”, un marcador booleano que puede ser verdadero o falso. (Puede crear esta propiedad de forma manual y establecer su valor, o puede usar las acciones automatizadas para crear esta propiedad en un dispositivo en función de si este cumple un criterio específico.)
    • No conforme = Verdadero. Si el dispositivo no cumple los estándares de cumplimiento ni las definiciones de directivas establecidas por el departamento de TI, el dispositivo no cumple los requisitos.
    • No conforme = falso. Si el dispositivo cumple los estándares de cumplimiento y las definiciones de directivas establecidas por el departamento de TI, el dispositivo cumple los requisitos.
  • Estado revocado: Crea una lista de todos los dispositivos y permite o prohíbe dispositivos según el estado de revocación.
  • Dispositivos Android o iOS liberados por root/jailbreak. Crea una lista de todos los dispositivos marcados como liberados por rooting y permite o deniega el acceso en función de ese estado.
  • Dispositivos no administrados. Crea una lista de todos los dispositivos de la base de datos de XenMobile. Mobile Application Gateway debe implementarse en un modo de bloqueo.

Para configurar una conexión a XenMobile NetScaler Connector

XenMobile NetScaler Connector se comunica con XenMobile y otros proveedores remotos de configuración a través de servicios Web seguros.

  1. En la herramienta de configuración de XenMobile NetScaler Connector, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Config Providers, en Name, escriba un nombre de usuario que tenga privilegios de administrador. Este usuario se utilizará para la autorización HTTP básica en el servidor XenMobile.
  3. En Url, introduzca la dirección Web del servicio GCS de XenMobile. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. El nombre MagConfigService distingue mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización básica de HTTP con el servidor de XenMobile.
  5. En Managing Host, escriba el nombre del servidor de XenMobile NetScaler Connector.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde Device Manager, de un conjunto de reglas dinámicas actualizadas.
  7. En Delta interval, especifique un período de tiempo para la extracción de una actualización de reglas dinámicas.
  8. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  9. En Config Provider, seleccione si la instancia de servidor del proveedor de configuración proporciona la configuración de directivas.
  10. En Events Enabled, habilite esta opción si quiere que XenMobile NetScaler Connector notifique a XenMobile cuando un dispositivo se bloquea. Se requiere esta opción si se utilizan reglas de XenMobile NetScaler Connector en alguna de las acciones automatizadas de XenMobile.
  11. Haga clic en Save y, a continuación, haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  12. Si la conexión se realiza correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.

Al agregar un nuevo proveedor de configuración, XenMobile NetScaler Connector crea automáticamente una o más directivas asociadas a ese proveedor. Estas directivas se definen mediante una plantilla contenida en config\policyTemplates.xml, en la sección NewPolicyTemplate. Se crea una nueva directiva por cada elemento de Policy definido en esta sección.

El operador puede agregar, quitar o modificar los elementos de directiva si el elemento de Policy corresponde con la definición de esquema y las cadenas de sustitución estándar (entre llaves) no se modifican. Luego, agregue nuevos grupos para el proveedor y actualice la directiva para incluir los nuevos grupos.

Para importar una directiva desde XenMobile

  1. En la herramienta de configuración de XenMobile NetScaler Connector, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Config Providers, en Name, escriba un nombre de usuario que se utilizará para la autorización HTTP básica con el servidor XenMobile y que tiene privilegios de administrador.
  3. En Url, introduzca la dirección Web del servicio Gateway Configuration Service de XenMobile. Por norma general, en el formato: https://<xdmHost>/xdm/services/<MagConfigService>. El nombre MagConfigService distingue mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización HTTP básica en el servidor XenMobile.
  5. Haga clic en Test Connectivity para probar la conectividad entre la puerta de enlace y el proveedor de configuración. Si se produce un error de conexión, compruebe que la configuración del firewall local permite la conexión o póngase en contacto con el administrador.
  6. Cuando la conexión se realice correctamente, desmarque la casilla Disabled y, a continuación, haga clic en Save.
  7. En Managing Host, deje el nombre DNS predeterminado del equipo host local. Este parámetro se utiliza para coordinar la comunicación con XenMobile cuando hay varios servidores de Forefront Threat Management Gateway (TMG) configurados en una matriz.

    Después de guardar la configuración, abra GCS.

Configuración del modo de directiva de XenMobile NetScaler Connector

XenMobile NetScaler Connector puede ejecutarse en los siguientes seis modos:

  • Allow All. Este modo de directiva concede acceso a todo el tráfico que pasa por XenMobile NetScaler Connector. No se utiliza ninguna otra regla de filtrado.
  • Deny All. Este modo de directiva bloquea el acceso a todo el tráfico que pasa por XenMobile NetScaler Connector. No se utiliza ninguna otra regla de filtrado.
  • Static Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de denegar o bloquear al final. XenMobile NetScaler Connector bloquea aquellos dispositivos que otras reglas de filtrado no permitan.
  • Static Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta reglas estáticas con la instrucción implícita de permitir al final. XenMobile NetScaler Connector permite aquellos dispositivos que otras reglas de filtrado no bloqueen o denieguen.
  • Static + ZDM Rules: Block Mode (Modo de bloqueo). Este modo de directiva ejecuta primero las reglas estáticas, seguidas de las reglas dinámicas de XenMobile con una instrucción implícita de denegar o bloquear al final. Los dispositivos se permiten o deniegan según los filtros definidos y las reglas de Device Manager. Los dispositivos que no coincidan con las reglas y los filtros definidos se bloquean.
  • Static + ZDM Rules: Permit Mode (Modo de permiso). Este modo de directiva ejecuta primero las reglas estáticas, seguidas de las reglas dinámicas de XenMobile con una instrucción implícita de permitir al final. Los dispositivos se permiten o deniegan en función de los filtros definidos y las reglas de XenMobile. Los dispositivos que no coincidan con las reglas y los filtros definidos se permiten.

El proceso de XenMobile NetScaler Connector permite o bloquea reglas dinámicas en función de identificadores únicos de ActiveSync para dispositivos iOS y dispositivos móviles de Windows recibidos desde XenMobile. El comportamiento de los dispositivos Android difiere según el fabricante y algunos no exponen con facilidad un ID único de ActiveSync. Para compensar, XenMobile envía información de ID del usuario de los dispositivos Android para la decisión de permitir o bloquear. Como resultado, si un usuario tiene un solo dispositivo Android, las acciones de permitir y bloquear funcionan de la manera habitual. En cambio, si el usuario dispone de varios dispositivos Android, se permiten todos los dispositivos porque los dispositivos Android no se pueden diferenciar. Puede configurar la puerta de enlace para bloquear estáticamente esos dispositivos en función de su ActiveSyncID, si este se conoce. Esta puerta también se puede configurar para bloquear según el tipo de dispositivo o el agente de usuario.

Para especificar el modo de directiva, en la herramienta de configuración del controlador SMG, realice lo siguiente:

  1. Haga clic en la ficha Path Filters y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Path Properties, seleccione un modo de directiva de la lista Policy y, a continuación, haga clic en Save.

Puede revisar las reglas en la ficha Policies de la herramienta de configuración. En XenMobile NetScaler Connector, las reglas se procesan de arriba a abajo. Las directivas permitidas (Allow) se muestran con una marca de verificación verde. Las directivas denegadas (Deny) se muestran con un círculo rojo atravesado por una línea. Para actualizar la pantalla y ver las reglas actualizadas, haga clic en Refresh. También puede modificar el orden de las reglas en el archivo config.xml.

Para probar las reglas, haga clic en la ficha Simulator. Especifique los valores de los campos. Estos también se pueden obtener a partir de los registros. Aparecerá un mensaje de resultados con la especificación Allow o Block.

Para configurar reglas estáticas

Introduzca reglas estáticas con valores que lean los filtros ISAPI de las solicitudes HTTP de conexión ActiveSync. Con las reglas estáticas, XenMobile NetScaler Connector puede permitir o bloquear el tráfico mediante los criterios siguientes:

  • User. XenMobile NetScaler Connector usa la estructura del nombre y el valor del usuario autorizado capturado durante la inscripción del dispositivo. Generalmente, se encuentra como dominio\nombre_de_usuario, como consta en el servidor que ejecuta XenMobile conectado a Active Directory a través de LDAP. La ficha Log que contiene la herramienta de configuración de XenMobile NetScaler Connector mostrará los valores que pasan a través de XenMobile NetScaler Connector. Los valores pasan si la estructura de esos valores es diferente o debe determinarse.
  • Deviceid (ActiveSyncID). También conocido como ActiveSyncID del dispositivo conectado. Este valor se suele encontrar en la página de propiedades del dispositivo específico, en la consola de XenMobile. Este valor también se puede consultar desde la ficha Log, en la utilidad de configuración XenMobile NetScaler Connector.
  • DeviceType. XenMobile NetScaler Connector puede determinar si el dispositivo es un iPhone, un iPad, o cualquier otro tipo de dispositivo; puede permitirlos o bloquearlos basándose en esos criterios. En cuanto a otros valores, la herramienta de configuración de XenMobile NetScaler Connector puede revelar todos los tipos de dispositivos conectados que se están procesando para la conexión ActiveSync.
  • UserAgent. Contiene información sobre el cliente de ActiveSync que se utiliza. En la mayoría de los casos, el valor especificado corresponde a una versión y compilación determinadas de sistema operativo para la plataforma del dispositivo móvil.

La herramienta de configuración de XenMobile NetScaler Connector que se ejecuta en el servidor siempre administra las reglas estáticas.

  1. En la herramienta de configuración del controlador SMG, haga clic en la ficha Static Rules y, a continuación, haga clic en Add.
  2. En el cuadro de diálogo Static Rule Properties, especifique los valores a usar como criterios. Por ejemplo, puede indicar un usuario al que permitir el acceso si escribe el nombre del usuario (por ejemplo, AllowedUser) y si, a continuación, desmarca la casilla Disabled.
  3. Haga clic en Guardar.

    La regla estática está ahora activada. Además, puede usar expresiones regulares para definir los valores, pero debe habilitar el modo de procesamiento de reglas en el archivo config.xml.

Para configurar reglas dinámicas

En Device Manager, las directivas y las propiedades de dispositivo definen las reglas dinámicas. Esas reglas pueden activar un filtro dinámico de XenMobile NetScaler Connector. La activación ocurre en caso de infracción de una directiva o un parámetro de propiedad. Los filtros de XenMobile NetScaler Connector analizan un dispositivo para detectar la infracción de una directiva concreta o un parámetro de propiedad. Si el dispositivo cumple los criterios, se coloca en Device List. Esta lista Device List no es una lista de dispositivos permitidos ni bloqueados. Es una lista de los dispositivos que cumplen los criterios definidos. Con las siguientes opciones de configuración, puede definir si quiere permitir o denegar los dispositivos de Device List mediante XenMobile NetScaler Connector.

Nota:

Debe usar la consola de XenMobile para configurar las reglas dinámicas.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en ActiveSync Gateway. Aparecerá la página ActiveSync Gateway.

  3. En Activar las reglas siguientes, seleccione las reglas que quiera activar.

  4. En “Solo Android”, haga clic en en Enviar usuarios de dominio Android a ActiveSync Gateway para que XenMobile envíe información de dispositivos Android a Secure Mobile Gateway.

    Si esta opción está habilitada, XenMobile envía información de dispositivos Android a XenMobile NetScaler Connector en el caso de que XenMobile no disponga del identificador de ActiveSync correspondiente al usuario del dispositivo Android.

Para configurar directivas personalizadas mediante la modificación del archivo XML de XenMobile NetScaler Connector

En la herramienta de configuración de XenMobile NetScaler Connector, puede ver las directivas básicas en la configuración predeterminada de la ficha Policies. Si quiere crear directivas personalizadas, puede modificar el archivo de configuración XML de XenMobile NetScaler Connector (config\config.xml).

  1. Busque la sección PolicyList en el archivo y, a continuación, agregue un nuevo elemento Policy.
  2. Si también se requiere un nuevo grupo (por ejemplo, otro grupo estático un grupo para respaldar otro proveedor GCP), agregue el nuevo elemento Group a la sección GroupList.
  3. Si quiere, puede cambiar el orden de los grupos dentro de una directiva existente. Para ello, reorganice los elementos de GroupRef.

Configuración del archivo XML de XenMobile NetScaler Connector

XenMobile NetScaler Connector usa un archivo de configuración XML para indicar las acciones de XenMobile NetScaler Connector. Entre otras entradas, en el archivo se especifica el grupo de archivos y las acciones asociadas que el filtro tendrá en cuenta y realizará al evaluar solicitudes HTTP. De forma predeterminada, el archivo se denomina config.xml y se encuentra en la siguiente ubicación: ..\Archivos de programa\Citrix\XenMobile NetScaler Connector\config.

Nodos GroupRef

Los nodos de GroupRef definen los nombres de los grupos lógicos. Los valores predeterminados son AllowGroup y DenyGroup.

Nota:

Es importante el orden de aparición de los nodos GroupRef en el nodo GroupRefList.

El valor de ID de un nodo GroupRef identifica un contenedor lógico o una colección de miembros, que se utilizan para hacer coincidir dispositivos o cuentas de usuario específicos. Los atributos de la acción especifican cómo tratará el filtro a un miembro que coincida con una regla de la colección. Por ejemplo, un dispositivo o cuenta de usuario que coincida con una regla del conjunto AllowGroup podrá “pasar”. En este caso, “pasar” significa que se le permitirá acceder a Exchange CAS. En cambio, un dispositivo o cuenta de usuario que coincida con una regla del conjunto DenyGroup será “rechazada”. En este caso, “rechazar” significa que no se le permitirá acceder a Exchange CAS.

Cuando un dispositivo o una cuenta de usuario determinados, o bien una combinación, cumplen las reglas de ambos grupos, se usa una convención de precedencia para dirigir el resultado de la solicitud. La precedencia se expresa en el orden de los nodos GroupRef en el archivo config.xml de arriba a abajo. Los nodos GroupRef están clasificados por orden de prioridad. Las reglas de una condición determinada del grupo Allow (Permitir) siempre prevalecerán sobre las reglas de la misma condición en el grupo Deny (Denegar).

Nodos Group

Además, el archivo config.xml define los nodos Group. Estos nodos enlazan los contenedores lógicos AllowGroup y DenyGroup a archivos XML. Las entradas almacenadas en los archivos externos forman la base de las reglas de filtrado.

Nota:

En esta versión, solo se admiten los archivos XML externos.

La instalación predeterminada implementa dos archivos XML en la configuración: allow.xml y deny.xml.

Configuración de XenMobile NetScaler Connector

Puede configurar XenMobile NetScaler Connector para bloquear o permitir solicitudes de ActiveSync de forma selectiva, en función de las siguientes propiedades: Active Sync Service ID, Device type, User Agent (sistema operativo del dispositivo), Authorized user, y ActiveSync Command.

La configuración predeterminada admite una combinación de grupos estáticos y dinámicos. Debe mantener grupos estáticos mediante la herramienta de configuración del controlador SMG. Los grupos estáticos pueden constar solo de las categorías conocidas de los dispositivos, como, por ejemplo, todos los dispositivos con un agente determinado de usuario.

Una fuente externa, llamada Gateway Configuration Provider (Proveedor de configuración de la puerta de enlace) mantiene los grupos dinámicos. XenMobile NetScaler Connector conecta los grupos de forma periódica. Con XenMobile puede exportar grupos de dispositivos y usuarios permitidos y bloqueados a XenMobile NetScaler Connector.

Los grupos dinámicos se mantienen mediante un recurso externo llamado Gateway Configuration Provider (proveedor de configuración de puerta de enlace). XenMobile NetScaler Connector recopila esos grupos de forma periódica. Con XenMobile puede exportar grupos de dispositivos y usuarios permitidos y bloqueados a XenMobile NetScaler Connector.

Una directiva es una lista ordenada de grupos, donde cada grupo tiene asociada una acción (permitir o bloquear), además de una lista de los miembros del grupo. Una directiva puede tener una cantidad infinita de grupos. El orden de los grupos en una directiva es importante porque, cuando se encuentra una coincidencia, se realiza la acción del grupo, y los demás grupos no se evalúan.

Un miembro define la manera de coincidir con las propiedades de una solicitud. Se puede coincidir con una sola propiedad, como ID de dispositivo, o con varias propiedades, como el tipo de dispositivo y el agente de usuario.

Elección de un modelo de seguridad para XenMobile NetScaler Connector

Establecer un modelo de seguridad es esencial para una buena implementación de dispositivos móviles en organizaciones de cualquier tamaño. Es frecuente utilizar un control de red protegida o en cuarentena para permitir el acceso a un usuario, un equipo o un dispositivo de forma predeterminada. Sin embargo, esta práctica no es siempre la más adecuada. Cada organización que administra la seguridad de TI puede tener un enfoque diferente o adaptado a la seguridad de los dispositivos móviles.

La misma lógica se aplica a la seguridad de los dispositivos móviles. Utilizar un modelo permisivo es una mala elección debido a la gran cantidad de: dispositivos móviles y sus tipos, dispositivos móviles por usuario, así como aplicaciones y plataformas de sistemas operativos disponibles. En la mayoría de las organizaciones, el modelo restrictivo sería la elección más lógica.

Los tipos de configuración que permite Citrix para integrar XenMobile NetScaler Connector con XenMobile son:

Modelo permisivo (Permit mode)

El modelo de seguridad permisivo estipula que, de forma predeterminada, se permite o se concede acceso a todo. Solo se bloqueará el acceso a algo y se aplicará una restricción si existen reglas y filtros. El modelo de seguridad permisivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente laxo. Ese modelo solo aplica controles restrictivos para denegar el acceso cuando corresponda (si falla una regla de directiva).

Modelo restrictivo (Block Mode)

El modelo de seguridad restrictivo estipula que, de forma predeterminada, no se permite o no se concede acceso a nada. Todo lo que pasa por el punto de control de seguridad se filtra y se comprueba; se le deniega el acceso a menos que las reglas de acceso lo permitan. El modelo de seguridad restrictivo es una buena opción para organizaciones con un criterio de seguridad de dispositivos móviles relativamente estricto. Este modo solo concede acceso para uso y funciones con los servicios de red cuando todas las reglas de acceso lo permitan.

Administración de XenMobile NetScaler Connector

Puede usar XenMobile NetScaler Connector para crear reglas de control de acceso. Las reglas permiten o bloquean el acceso a las solicitudes de conexión de ActiveSync provenientes de los dispositivos administrados. El acceso se concede en función del estado del dispositivo, las aplicaciones permitidas o prohibidas u otras condiciones de cumplimiento.

Con la herramienta de configuración de XenMobile NetScaler Connector, puede generar reglas dinámicas y estáticas que apliquen directivas de correo electrónico de empresa, por lo que podrá bloquear a los usuarios que infrinjan las normas. También puede configurar el cifrado de datos adjuntos de correo electrónico, de modo que todos esos datos que pasen a través del servidor Exchange hacia los dispositivos administrados se cifren y solo se puedan ver en dispositivos administrados por usuarios autorizados.

Para desinstalar XenMobile NetScaler Connector

  1. Ejecute XncInstaller.exe con una cuenta de administrador.
  2. Siga las instrucciones que aparecen en la pantalla para completar la desinstalación.

Para instalar, actualizar o desinstalar XenMobile NetScaler Connector

  1. Ejecute XncInstaller.exe con una cuenta de administrador para instalar XenMobile NetScaler Connector (XNC) o para permitir la actualización o la eliminación de un XenMobile NetScaler Connector existente.
  2. Siga las instrucciones en pantalla para completar la instalación, la actualización o la desinstalación.

Después de instalar XenMobile NetScaler Connector, debe reiniciar manualmente el servicio de notificación y el servicio de configuración de XenMobile.

Instalación de XenMobile NetScaler Connector

Puede instalar XenMobile NetScaler Connector en su propio servidor o en el mismo servidor donde se ha instalado XenMobile.

Puede plantearse instalar XenMobile NetScaler Connector en su propio servidor (separado de XenMobile) por los siguientes motivos:

  • Si el servidor XenMobile está alojado de forma remota en la nube (ubicación física).
  • Si no quiere que XenMobile NetScaler Connector se vea afectado por los reinicios del servidor XenMobile (disponibilidad).
  • Si quiere que los recursos del sistema de un servidor se dediquen totalmente a XenMobile NetScaler Connector (rendimiento).

La carga de la CPU que pone XenMobile NetScaler Connector en un servidor depende de la cantidad de dispositivos administrados. Una regla general consiste en aprovisionar un núcleo de CPU adicional si XenMobile NetScaler Connector se implementa en el mismo servidor que XenMobile. En caso de una gran cantidad de dispositivos (más de 50 000), puede que necesite aprovisionar más núcleos si no dispone de un entorno en clústeres. La superficie de memoria de XenMobile NetScaler Connector no es lo suficientemente significativa como para garantizar una memoria adicional.

Requisitos del sistema para XenMobile NetScaler Connector

XenMobile NetScaler Connector se comunica con NetScaler a través de un puente SSL configurado en el dispositivo NetScaler. Ese puente permite al dispositivo pasar todo el tráfico seguro directamente a XenMobile. XenMobile NetScaler Connector requiere la siguiente configuración mínima de sistema:

Componente Requisito
Equipo y procesador Procesador Pentium III de 733 MHz o más. Procesador Pentium III de 2,0 GHz o más (recomendado)
NetScaler Dispositivo NetScaler con la versión 10 de software
Memoria 1 GB
Disco duro Partición local con formato NTFS, con 150 MB de espacio disponible en disco duro
Sistema operativo Microsoft Windows Server 2008 R2, Microsoft Windows Server 2008 SP2, Microsoft Windows Server 2012 R2
Otros dispositivos Un adaptador de red compatible con el sistema operativo del host para la comunicación con la red interna
Microsoft .NET Framework La versión 8.5.1.11 requiere Microsoft .NET Framework 4.5.
Mostrar Monitor VGA o de mayor resolución

El equipo host de XenMobile NetScaler Connector requiere el siguiente espacio mínimo disponible en el disco duro:

  • Aplicación: De 10 a 15 MB (se recomienda 100 MB)
  • Captura de registros: 1 GB (se recomienda 20 GB)

Para obtener más información acerca del respaldo de plataformas para XenMobile NetScaler Connector, consulte Sistemas operativos respaldados.

Clientes de correo electrónico del dispositivo

No todos los clientes de correo electrónico devuelven el mismo ID de ActiveSync para un dispositivo. Debido a que XenMobile NetScaler Connector espera un ID de ActiveSync único para cada dispositivo, solo se admiten los clientes de correo electrónico que generan constantemente el mismo y único ID de ActiveSync para cada dispositivo. Citrix ha realizado pruebas sin errores con estos clientes de correo electrónico:

  • Cliente de correo electrónico nativo de HTC
  • Cliente de correo electrónico nativo de Samsung
  • Cliente de correo electrónico nativo de iOS
  • TouchDown

Implementación de XenMobile NetScaler Connector

XenMobile NetScaler Connector permite utilizar NetScaler para redirigir mediante proxy y equilibrar la carga de la comunicación entre XenMobile y los dispositivos administrados. XenMobile NetScaler Connector se comunica de forma periódica con XenMobile para sincronizar las directivas. XenMobile NetScaler Connector y XenMobile se pueden agrupar en clústeres (ya sea en un mismo clúster o en clústeres diferentes), y NetScaler puede equilibrar su carga.

Componentes de XenMobile NetScaler Connector

  • Servicio de XenMobile NetScaler Connector: Este servicio ofrece una interfaz de servicio Web REST que se puede invocar mediante NetScaler para determinar si se autoriza una solicitud de ActiveSync desde un dispositivo.
  • Servicio de configuración de XenMobile: Este servicio se comunica con Device Manager para sincronizar los cambios de las directivas de Device Manager con XenMobile NetScaler Connector.
  • Servicio de notificaciones de XenMobile: Este servicio envía notificaciones a Device Manager acerca de accesos de dispositivos no autorizados. De esta forma, Device Manager puede tomar las medidas adecuadas, como notificar al usuario el motivo del bloqueo del dispositivo.
  • Herramienta de configuración de XenMobile NetScaler: Esta aplicación permite al administrador configurar y supervisar XenMobile NetScaler Connector.

Para configurar direcciones de escucha para XenMobile NetScaler Connector

Para que XenMobile NetScaler Connector reciba solicitudes desde NetScaler para autorizar el tráfico ActiveSync, debe: Especificar el puerto en el que XenMobile NetScaler Connector escucha las llamadas al servicio Web de NetScaler.

  1. En el menú Inicio, seleccione XenMobile NetScaler Configuration Utility.
  2. Haga clic en la ficha Web Service y, a continuación, escriba las direcciones de escucha para el servicio Web de XenMobile NetScaler Connector. Puede seleccionar HTTP, HTTPS o ambos. Si XenMobile NetScaler Connector y XenMobile están instalados en el mismo servidor, seleccione puertos que no entren en conflicto con XenMobile.
  3. Después de configurar los valores, haga clic en Save y, a continuación, haga clic en Start Service para iniciar el servicio Web.

Para configurar directivas de control de acceso de dispositivo en XenMobile NetScaler Connector

Para configurar la directiva de control de acceso que quiere aplicar a los dispositivos administrados, haga lo siguiente:

  1. En la herramienta de configuración de XenMobile NetScaler, haga clic en la ficha Path Filters.
  2. Seleccione la primera fila Microsoft-Server-ActiveSync is for ActiveSync y, a continuación, haga clic en Edit.
  3. En la lista Policy, seleccione la directiva pertinente. Para una directiva que incluya las directivas de XenMobile, seleccione Static + ZDM: Permit Mode o Static + ZDM: Block Mode. Estas directivas combinan reglas locales (o estáticas) con las reglas de XenMobile. El modo Permit Mode significa que se permite el acceso a ActiveSync por parte de todos los dispositivos no identificados específicamente mediante reglas. En cambio, el modo Block Mode significa que todos esos dispositivos serán bloqueados.
  4. Después de establecer las directivas, haga clic en Save.

Para configurar la comunicación con XenMobile

Especifique el nombre y las propiedades del servidor XenMobile (también llamado Config Provider) que quiere utilizar con NetScaler y XenMobile NetScaler Connector.

Nota: En esta tarea se presupone que usted ya tiene XenMobile instalado y configurado.

  1. En la herramienta de configuración de XenMobile NetScaler Connector, haga clic en la ficha Config Providers y, a continuación, haga clic en Add.
  2. Indique el nombre y la dirección URL del servidor XenMobile utilizado en esta implementación. Si dispone de varios servidores XenMobile implementados en una implementación multiarrendatario, este nombre debe ser único para cada instancia de servidor. Por ejemplo, en Name, podría escribir XMS.
  3. En Url, introduzca la dirección Web de GlobalConfig Provider (GCP) de XenMobile. Por norma general, en el formato: https://<FQDN>/<instanceName>/services/<MagConfigService>. El nombre MagConfigService distingue mayúsculas de minúsculas.
  4. En Password, introduzca la contraseña que se usará para la autorización básica de HTTP con el servidor Web de XenMobile.
  5. En Managing Host, introduzca el nombre del servidor donde se instaló XenMobile NetScaler Connector.
  6. En Baseline Interval, especifique un período de tiempo para la extracción, desde XenMobile, de un conjunto de reglas dinámicas actualizadas.
  7. En Request Timeout, especifique el intervalo de tiempo de espera para solicitudes del servidor.
  8. En Config Provider, seleccione si la instancia de servidor de Config Provider proporciona la configuración de directivas.
  9. Habilite la opción Events Enabled si quiere que Secure Mobile Gateway notifique a XenMobile cuando se bloquee un dispositivo. Se requiere esta opción si se utilizan reglas de Secure Mobile Gateway en alguna de las acciones automatizadas de Device Manager.
  10. Una vez configurado el servidor, haga clic en Test Connectivity para comprobar la conexión con XenMobile.
  11. Cuando se haya establecido la conectividad, haga clic en Save.

Implementación de XenMobile NetScaler Connector para redundancia y escalabilidad

Si quiere ampliar la implementación de XenMobile NetScaler Connector y XenMobile, puede instalar instancias de XenMobile NetScaler Connector en varios servidores Windows que señalen a la misma instancia de XenMobile y, a continuación, puede utilizar NetScaler para equilibrar la carga de los servidores.

Hay dos modos de configurar XenMobile NetScaler Connector.

  • En el modo no compartido (non-shared mode), cada instancia de XenMobile NetScaler Connector se comunica con un servidor XenMobile y mantiene su propia copia privada de la directiva resultante. Por ejemplo, si tiene un clúster de servidores XenMobile, puede ejecutar una instancia de XenMobile NetScaler Connector en cada servidor XenMobile, y XenMobile NetScaler Connector obtendría las directivas desde la instancia local de XenMobile.
  • En modo compartido (shared mode), un nodo de XenMobile NetScaler Connector se designa como el nodo principal y se comunica con XenMobile. La configuración resultante se comparte entre los demás nodos, ya sea mediante una replicación de Windows o un recurso compartido de red Windows (o de terceros).

Toda la configuración de XenMobile NetScaler Connector se encuentra en una carpeta (de varios archivos XML). El proceso de XenMobile NetScaler Connector detecta los cambios en los archivos de esta carpeta y vuelve a cargar automáticamente la configuración. No hay ninguna conmutación por error para el nodo principal en el modo compartido. Sin embargo, el sistema puede tolerar que el servidor principal esté inactivo durante unos minutos (por ejemplo, para reiniciarse) porque la última configuración válida conocida se almacena en caché en el proceso de XenMobile NetScaler Connector.