Connector de Citrix Gateway

Citrix Gateway Connector es un componente de Citrix que sirve como canal de comunicación entre los servicios en la nube (Citrix Gateway Service, ADM, etc.) y los componentes locales, como los servidores web. Es un dispositivo virtual compatible con Citrix Hypervisor, VMware ESXi y Microsoft Hyper-V con un factor de forma pequeño. Citrix Gateway Connector facilita el acceso remoto a las aplicaciones web empresariales.

Funcionamiento

Citrix Gateway Connector autentica y cifra todas las comunicaciones entre Citrix Cloud y sus ubicaciones de recursos. La comunicación entre Citrix Gateway Connector y Citrix Cloud es saliente. Todas las conexiones se establecen desde el conector de Citrix Gateway a la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se aceptan conexiones entrantes. El puerto TCP 443, con los siguientes FQDN, se permite la salida:

  • *.nssvc.net
  • *.netscalermgmt.net
  • *.citrixworkspacesapi.net
  • *.citrixnetworkapi.net
  • *.citrix.com
  • *.servicebus.windows.net
  • *.adm.cloud.com

Importante:

Si hay dispositivos de interceptación SSL en el centro de datos local donde se debe implementar Citrix Gateway Connector, el registro del conector no se realiza correctamente si la interceptación SSL está habilitada para estos FQDN. La intercepción SSL debe estar inhabilitada para estos FQDN para el registro correcto del conector.

Funciones de Citrix Gateway Connector

Las siguientes son algunas de las capacidades de Citrix Gateway Connector.

  • Actúa como proxy inverso: Citrix Gateway Connector actúa como proxy inverso para las aplicaciones web empresariales. Los puertos de aplicaciones web necesarios deben abrirse desde el conector de puerta de enlace a las aplicaciones.
  • Habilita el inicio de sesión único: Citrix Gateway Connector proporciona las siguientes funciones de inicio de sesión único con el Citrix Gateway Service.
    • SSO básico
    • Kerberos
    • Basado en formularios
    • SAML
    • Sin SSO
  • Permite la aplicación de directivas de seguridad opcionales mediante Secure Workspace Access: el conector de Citrix Gateway proporciona capacidades de seguridad mejoradas a través del servicio Citrix Secure Workspace Access. Por ejemplo:
    • Restringir acceso al portapapeles
    • Restringir impresión
    • Restringir navegación
    • Restringir descargas
    • Mostrar marca de agua
    • Directivas de protección de aplicaciones
    • Aplicar la directiva en dispositivos móviles

Para obtener más información, consulte Compatibilidad con aplicaciones web empresariales y Soporte para aplicaciones de software como servicio.

Requisitos del sistema

Citrix Gateway Connector es un dispositivo virtual. Los requisitos mínimos del sistema para Citrix Gateway Connector son los siguientes:

  • El número de vCPU debe ser exactamente 2.
  • 4 GB de RAM como mínimo.

    Importante:

    El nuevo requisito mínimo del sistema para la memoria RAM ha cambiado. Si ya tiene un conector de Citrix Gateway, actualice la memoria del sistema de sus máquinas virtuales para que coincida con el nuevo requisito de 4 GB de RAM.

Para obtener más información, consulte Actualizar la memoria del sistema de las máquinas virtuales de Citrix Gateway Connector.

  • 1 adaptador de red (NIC virtual). Puede agregar una NIC virtual adicional según sea necesario.
  • Firewall:

    • Puerto UDP 53 al servidor DNS
    • Puerto TCP y UDP 389 para controladores de dominio de Active Directory (* - * opcional se describe al final de la página)
    • Puerto TCP 636 para controladores de dominio de Active Directory (opcional *)
    • Puerto TCP 3268 para controladores de dominio de Active Directory (opcional *)
    • Puerto TCP 3269 para controladores de dominio de Active Directory (opcional *)
    • El puerto TCP 443, con los siguientes FQDN, se permite la salida:
      • *.nssvc.net
      • *.netscalermgmt.net
      • *.citrixworkspacesapi.net
      • *.citrixnetworkapi.net
      • *.citrix.com
      • *.servicebus.windows.net
      • *.adm.cloud.com
    • Puertos TCP (**) a servidores web a los que se accede mediante Citrix Gateway Connector
    • Puerto abierto 8443 entrante para administración basada en web

      * - Necesario para realizar un inicio de sesión único basado en dominios en aplicaciones web **- Puertos determinados por el entorno del cliente: los puertos 80 y 443 son típicos

Recomendado: Red con DHCP habilitado para simplificar la configuración inicial.

Formas de instalar Citrix Gateway Connector

Citrix Gateway Connector se puede instalar de una de las siguientes formas.

En ambos casos, debe crear una nueva máquina virtual tal y como se describe en la siguiente sección.

Crear una nueva máquina virtual

  1. Inicie sesión en Citrix Cloud.
  2. En el menú de la esquina superior izquierda, seleccione Ubicaciones de recursos.
    • Si no tiene ubicaciones de recursos, haga clic en Descargar en la página Ubicaciones de recursos. Cuando se le solicite, guarde el archivo cwcconnector.exe. Para obtener más información, consulte Instalación de Cloud Connector.
    • Si dispone de una ubicación de recursos, pero no tiene Cloud Connectors instalados en ella, haga clic en la barra de Cloud Connectors y haga clic en Descargar. Cuando se le solicite, guarde el archivo cwcconnector.exe.
  3. Haga clic en Conectores de gateway

    Conector new

  4. Seleccione el hipervisor y haga clic en Descargar imagen. Importe la imagen descargada localmente en el hipervisor y cree una nueva máquina virtual (Citrix Gateway Connector).

    Descargar imagen

  5. Haga clic en Obtener código de activación.

    Obtener código de activación

  6. El código de activación se genera de la siguiente manera.

    Código de activación

  7. Una vez finalizada la instalación, haga clic en Detectar.

    Detectar conector

Instalar Citrix Gateway Connector mediante la interfaz de usuario de Citrix Cloud

A continuación se indican los pasos para configurar una ubicación de recursos e instalar Citrix Gateway Connector mediante la interfaz de usuario de Citrix Cloud:

  1. En la parte superior izquierda de la pantalla de Citrix Cloud, haga clic en el icono de hamburguesa y seleccione Ubicaciones de recursos. Haga clic en el icono más situado junto a Ubicaciones de recursos.

    Ubicación de recursos

  2. Indique un nombre para la ubicación del recurso y haga clic en Guardar.

    Nombre de la ubicación

  3. Haga doble clic en el icono más situado junto a Citrix Gateway Connectors en la ubicación de recursos recién creada.

    Conector new

  4. Complete los pasos descritos en Crear una nueva máquina virtual.

Instalar Citrix Gateway Connector al agregar una aplicación web empresarial

Al agregar una aplicación web empresarial mediante la interfaz de usuario del Citrix Gateway Service, puede configurar una nueva ubicación de recursos y descargar conectores. Para obtener más información sobre cómo agregar una aplicación web empresarial, consulte Compatibilidad con aplicaciones web empresariales.

Para configurar una ubicación de recursos y conectores de descarga, lleve a cabo los siguientes pasos:

  1. En la sección Conectividad de aplicaciones web, seleccione el botón de opción Crear nuevo . Indique un nombre para la ubicación del recurso y haga clic en Guardar.

    Nueva ubicación de recursos

  2. Haga clic en Instalar conector Citrix Gateway.

    Instale el conector

  3. Complete los pasos descritos en Crear una nueva máquina virtual.

Acceda a la interfaz de usuario de Citrix Gateway Connector mediante la URL

Puede acceder a la interfaz de usuario de Citrix Gateway Connector mediante la dirección URL que aparece en uno de los mensajes de la máquina virtual de Citrix Gateway Connector recién instalada. También puede iniciar sesión en la CLI de Citrix Gateway Connector como administrador y ejecutar el show ipcomando para ver la dirección IP asignada al conector de Citrix Gateway a través de DHCP. A continuación, puede abrir https://<IP address>:8443 en su explorador para acceder a la interfaz de usuario de administración de Citrix Gateway Connector.

Importante:

En el caso de Azure, Citrix recomienda que los clientes accedan a la interfaz de usuario de Citrix Gateway Connector desde la red virtual de Azure.

Inicie sesión y configure el conector de Citrix Gateway

Una vez finalizada la instalación de Citrix Gateway Connector, busque el siguiente mensaje en la máquina virtual recién instalada (Citrix Gateway Connector).

Después de la instalación del conector

Escriba la URL mencionada en un explorador para acceder a la interfaz de usuario de Citrix Gateway Connector. También puede iniciar sesión en la CLI de Citrix Gateway Connector como administrador y ejecutar el show ipcomando. El comando muestra la dirección IP asignada al conector de Citrix Gateway a través de DHCP. A continuación, abra <https://IP address:8443> en el explorador para acceder a la interfaz de usuario de administración de Citrix Gateway Connector.

  1. El nombre de usuario y la contraseña de la siguiente pantalla son administrator para el usuario por primera vez.

    credenciales de inicio de sesión

  2. Cambie la contraseña introduciendo una contraseña de su elección en la sección Establecer contraseña de administrador y haga clic en Continuar.

  3. Introduzca los siguientes detalles de configuración en la sección Configuración del sistema y haga clic en Continuar.
    • Dirección IP del conector: dirección IP del conector de puerta de enlace.
    • Máscara de subred: Máscara de subred de la dirección IP del conector de puerta de enlace.
    • Puerta de enlace predeterminada: Dirección IP de la puerta de enlace predeterminada.
    • Servidor DNS: Dirección IP del servidor DNS. A partir de la versión 13.0 de Citrix Gateway Connector, se ha producido un cambio en la configuración del servidor DNS. Para obtener más información, consulte la sección Cambios en la configuración del servidor DNS.
    • IP del proxy: La dirección IP del servidor proxy interno.
    • Puerto proxy: Puerto del servidor proxy.

    Configuración del sistema

    Cambios en la configuración del servidor DNS:

    A partir de Citrix Gateway Connector 13.0.400.xxx, la configuración DNS para los protocolos UDP y TCP del dispositivo conector se actualiza automáticamente cuando se establece en la sección Configuración del sistema . Sin embargo, si actualiza el conector de versiones anteriores, debe eliminar manualmente la configuración DNS y leerla de nuevo. Para ello, realice lo siguiente.

    1. Vaya al panel de control de Citrix Gateway Connector > Modificar configuración.
    2. Haga clic en el icono de eliminar situado junto al primer campo Servidor DNS y haga clic en Continuar.
    3. Vaya a la página Modificar configuración, lea el mismo servidor DNS y haga clic en Continuar.
    4. Repita los pasos para el segundo servidor DNS. Nota:
      • No tiene que realizar estos pasos para las nuevas instancias de Citrix Gateway Connector 13.0.
      • No es necesario realizar los pasos mencionados anteriormente inmediatamente después de la actualización. No hay pérdida de funcionalidad si no se hace esto. Estos pasos deben llevarse a cabo para los clientes empresariales que necesitan la funcionalidad DNS sobre TCP para que las aplicaciones web empresariales funcionen correctamente.
  4. En la sección Single Sign-On, marque Habilitar inicio de sesión único de Kerberos para obtener capacidades más allá de la autenticación básica.

    El dominio de Active Directory es el dominio global y se establece como el dominio de la cuenta KCD. Si quiere anular el dominio global del usuario, puede utilizar el siguiente comando en el conector. SSH al conector de puerta de enlace con las mismas credenciales que utiliza para iniciar sesión en la página de configuración del conector. Escriba el siguiente comando:

    set kcdaccount ngs_kcdaccount -userRealm <value>
    <!--NeedCopy-->
    

    Ejemplo: En este ejemplo, el dominio aaa.local es el dominio global y bbb.local es el dominio de usuario anulado.

    ssh kcdaccount
      KCD Account : ngs_kcdaccount
      Keytab :
      Realm : AAA.LOCAL
      User Realm : BBB.LOCAL
      DelegatedUser :
      User Certificate :
      CA Certificate :
    Done
    <!--NeedCopy-->
    

    Puede validar los detalles de Kerberos de dos formas: modo de solo territorio y delegación restringida completa de Kerberos (KCD).

    Importante:

    Para utilizar KCD en un conector de Citrix Gateway, primero debe configurar KCD en el centro de datos antes de configurar KCD en un conector de Citrix Gateway. Para obtener más información, consulte Requisitos previos para configurar KCD en el centro de datos antes de configurar KCD en Citrix Gateway Connector.

    Puede utilizar la opción Test para depurar. Por ejemplo, si los detalles de Kerberos no están configurados correctamente y si se agrega una aplicación, se produce un error en el inicio de sesión de la app.

    1. Para el modo solo dominio, seleccione Habilitar inicio de sesión único de Kerberos, introduzca los siguientes detalles y, a continuación, haga clic en Probar Kerberos.
      • Dominio de Active Directory: Dominio de Active Directory para que se conceda acceso a los usuarios.
      • FQDN de servicio: FQDN del servicio (el FQDN del servicio al que el usuario debe acceder mediante la configuración de aplicaciones web).
      • Nombre de usuario: Nombre de usuario del usuario que ha iniciado sesión.
      • Contraseña: Contraseña del usuario que ha iniciado sesión.

      Sin validación kerberos

    2. Para la delegación restringida completa de Kerberos, seleccione Delegación restringida de Kerberos, introduzca los siguientes detalles y, a continuación, haga clic en Probar Kerberos.
      • Dominio de Active Directory: Dominio de Active Directory para que se conceda acceso a los usuarios.
      • Nombre de usuario de cuenta de servicio: Nombre de usuario de la cuenta de servicio utilizado para la delegación Para obtener más información, consulte Requisitos previos para configurar KCD en el centro de datos antes de configurar KCD en Citrix Gateway Connector.
      • Contraseña de la cuenta de servicio: Contraseña del nombre de usuario de la cuenta de servicio utilizado para la delegación.
      • FQDN de servicio: FQDN del servicio (el FQDN del servicio al que el usuario debe acceder mediante la configuración de aplicaciones web).
      • Nombre de usuario: Nombre de usuario del usuario que ha iniciado sesión.

      Validación Kerberos

    En ambos casos, en función de si la validación se ha realizado correctamente o no, aparece el mensaje correspondiente. En la siguiente ilustración se muestra un ejemplo de mensaje de error de validación. Mensaje de error de validación de Kerberos

  5. Introduzca el código de activación para registrar el conector en Citrix Cloud. Haga clic en Guardar y finalizar.

  6. Haga clic en Prueba de conectividad. (Este paso es opcional)

    Probar conectividad

    La opción Prueba de conectividad permite confirmar que no hay errores en la configuración del conector de puerta de enlace y que el conector de puerta de enlace puede conectarse a las direcciones URL. Este paso es opcional. Puede omitir este paso y continuar con la activación del conector de puerta de enlace.

    • Al hacer clic en Prueba de conectividad, se ejecuta un conjunto de URL en el back-end para garantizar que el conector pueda conectarse a esas URL. Si todas las URL se ejecutan correctamente, aparece el mensaje de éxito de la prueba de conectividad. Los siguientes FQDN se ejecutan al hacer clic en Prueba de conectividad.

      • agent.netscalermgmt.net
      • agent.netscalermgmt.net
      • trust.citrixnetworkapi.net
      • download.citrixnetworkapi.net
      • web-reg.c.nssvc.net
      • agent.adm.cloud.com
      • anse.agent.adm.cloud.com
      • railay.agent.adm.cloud.com
      • agent.netscalermgmt.net
      • evergreen.citrixnetworkapi.net
      • agenthub.citrixworkspacesapi.net
      • callhome.citrix.com
    • Si alguna de estas URL no responde, aparece un mensaje de error y se muestra la URL correspondiente. Los mensajes de error se clasifican en tres categorías.

      • Error DNS
      • Error del servidor
      • Excepción SSL

    En las imágenes siguientes se muestran ejemplos de mensajes de error.

    Mensaje de prueba de conectividad 1

    Mensaje de prueba de conectividad 2

  7. Por último, introduzca el código de activación para registrar el conector en Citrix Cloud y haga clic en Guardar y finalizar.

    Para obtener información detallada sobre cómo obtener el código de activación, consulte Crear una nueva máquina virtual.

Guardar y finalizar

Requisitos previos para configurar KCD en el centro de datos antes de configurar KCD en Citrix Gateway Connector

  1. Cree una cuenta de usuario en el directorio activo que se debe utilizar para la delegación.

    Crear cuenta en active directory

  2. Utilice el siguiente comando para agregar un nombre principal de servicio (SPN) para el servidor web que debe utilizar KCD.

    setspn -A http://<webserver fqdn> <domain\Kerberos user>
    <!--NeedCopy-->
    
  3. Confirme los SPN del usuario Kerberos mediante el siguiente comando.

    setspn –l <Kerberos user>
    <!--NeedCopy-->
    

    En el siguiente ejemplo, se agrega un SPN para un servidor web al que debe acceder la cuenta KCD.

    Agregar un ejemplo de SPN para servidores web

    Observe que la ficha Delegación aparece después de ejecutar el comando setspn.

    Ficha Delegación tras ejecutar el comando SPN

  4. Seleccione Confiar en este usuario para delegar únicamente en servicios especificados y Usar cualquier protocolo de autenticación.

  5. Agregue el servidor web para el que necesita el SSO de Kerberos y seleccione el tipo de servicio como http.

    Configuración de la ficha delegación

Nota:

Ahora puede utilizar esta cuenta de usuario al configurar KCD en un conector de Citrix Gateway. Esta cuenta de usuario debe agregarse como nombre de usuario de la cuenta de servicio.

Solucionar problemas de registro de Citrix Gateway Connector

Puede utilizar la función Seguimiento y la función Descargar registros para solucionar problemas de registro de Citrix Gateway Connector.

Función Trace

Al registrar Citrix Gateway Connector, es posible que se encuentre con problemas debido a que el registro no se realiza correctamente. Para solucionar estos problemas, puede utilizar el enlace Información de seguimiento que aparece la primera vez que registra el conector. Puede descargar los archivos de seguimiento y compartirlos con los administradores para solucionar problemas. Los archivos de rastreo están en formato cifrado. El enlace Información de seguimiento también está disponible en el panel de control de Gateway Connector incluso después del registro. También puede capturar y descargar archivos de seguimiento desde el panel de control para problemas de depuración.

Cómo descargar archivos de traza

  1. Haga clic en Información de seguimiento.

    Enlace de información de seguimiento

  2. En el cuadro de diálogo Trazado, seleccione la duración en la que quiere ejecutar el trazado y, a continuación, haga clic en Iniciar. El cuadro de diálogo Trazado muestra el progreso.

    Diálogo Trazar

  3. Puede detener el rastreo que está en curso antes de que se complete. A continuación, puede descargar los archivos de seguimiento haciendo clic en el botón Descargar . También puede iniciar un nuevo trazado desde el cuadro de diálogo.

    Descargar trace

Nota: En caso de errores de registro de depuración, primero inicie un seguimiento con un intervalo preestablecido determinado, introduzca el código de activación y envíelo para el registro.

  • Si se produce un error en el registro, puede hacer clic en el enlace Información de seguimiento para volver a abrir el cuadro de diálogo Seguimiento, detener el seguimiento y, a continuación, descargar los archivos de seguimiento.
  • Si el registro se realiza correctamente, aparece la consola Dashboard y el seguimiento se detiene automáticamente en segundo plano.

Importante:

  • Cerrar la ventana Seguimiento antes de que se complete el seguimiento no detiene el seguimiento. El trazado sigue ejecutándose en segundo plano hasta que se completa.
  • Si actualiza o cierra el explorador cuando el seguimiento está en curso, debe detener manualmente el seguimiento haciendo clic en el enlace Información de seguimiento para evitar que el seguimiento se ejecute indefinidamente. En este caso, el enlace Información de seguimiento muestra solo el botón Detener y no el botón Descargar . Por lo tanto, no se puede descargar la traza capturada. Para volver a capturar el trazado, haga clic en Iniciar nuevo seguimiento.

Descargar registros

La opción Descargar registros está disponible en Gateway Connector a partir de la versión 401.251. Si tiene una versión anterior del conector y actualiza el conector a la versión 401.251, no podrá descargar los registros aunque el enlace Descargar registros esté disponible.

Cómo descargar registros

  1. Haga clic en Descargar registros.

    El enlace Descargar registros está disponible incluso durante el primer uso para ayudar a configurar el conector.

    Se genera un archivo de registro. La generación del archivo de registro lleva algún tiempo. Una vez generado el archivo de registro, aparece un mensaje con el enlace al archivo de descarga.

  2. Haga clic en Download. Se descarga un archivo.tgz.

Todos los archivos de la carpeta de descargas están en formato cifrado. Póngase en contacto con el equipo de soporte de Citrix Cloud para obtener ayuda.

Eliminar un conector de Citrix Gateway

Realice lo siguiente para eliminar un conector de Citrix Gateway.

  1. Inicie sesión en Citrix Cloud.

  2. Seleccione Ubicaciones de recursos en el menú de la parte superior izquierda de la pantalla.

  3. En la página Ubicaciones de recursos, haga clic en Conectores de Gateway para una ubicación de recurso específica.

    Ubicación del recurso: seleccionar conector

  4. Seleccione el conector de puerta de enlace que desee eliminar y haga clic en el menú de puntos suspensivos.

    Eliminar conector

  5. Seleccione Quitar conector.

    Aparecerá un cuadro de diálogo de confirmación.

  6. Haga clic en OK.

    Nota: Es posible que el conector de puerta de enlace demore un par de minutos en eliminarse de la página Ubicaciones de recursos. Además, puede tomar algún tiempo para que el conector de Gateway anule su registro en el Controller de Gateway.

Actualizar la memoria del sistema de las máquinas virtuales Citrix Gateway Connector

El tamaño de RAM del conector de puerta de enlace es de 2 GB de forma predeterminada. Por lo tanto, se recomienda aumentar el tamaño de la memoria RAM a 4 GB para obtener un rendimiento óptimo. Esta recomendación se aplica a las instalaciones de conectores nuevas o existentes.

Si tiene dos conectores por ubicación de recursos para obtener alta disponibilidad, realice lo siguiente para actualizar las máquinas virtuales del conector.

  1. En el hipervisor, apague una de las máquinas virtuales del conector.
  2. Modifique la configuración del hardware o la configuración de la máquina virtual según el tipo de hipervisor.
  3. Vaya a la ficha Memoria.
  4. Si el tamaño de la memoria RAM es de 2.048 MB, aumente a 4096 MB y guarde la configuración.
  5. Encienda la máquina virtual.
  6. Repita estos pasos también en la segunda máquina virtual del conector.

Importante:

Asegúrese de actualizar un conector a la vez para evitar interrupciones.

Disponibilidad continua del conector de Citrix Gateway

Siempre y cuando garantice la disponibilidad continua del conector de Citrix Gateway en cada ubicación de recursos, podrá administrar las máquinas en las que están instaladas una a la vez para evitar períodos de interrupción.

Para una disponibilidad continua, instale varios conectores de Citrix Gateway en cada una de las ubicaciones de recursos. Citrix recomienda al menos dos (2) conectores de Citrix Gateway en cada ubicación de recursos. Si un conector de Citrix Gateway no está disponible en cualquier momento, los demás conectores de Citrix Gateway pueden mantener la conexión. Mientras haya un conector de Citrix Gateway disponible, no habrá pérdida de comunicación con Citrix Cloud. Se puede restringir la actualización de Citrix Gateway Connectors durante un período de mantenimiento específico cada 24 horas, controlado por ubicación de recursos.

Administración de carga

Administre la carga instalando varios conectores de Citrix Gateway en cada ubicación de recursos. Dado que cada conector de Citrix Gateway no tiene estado, la carga se puede distribuir entre todos los conectores Citrix Gateway disponibles. No es necesario configurar la función de equilibrio de carga. Es automática.