Proxy RDP
Descripción general y mejoras del proxy RDP a través de Citrix Gateway
Las siguientes funciones de proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de Citrix Gateway:
-
Proteja el tráfico RDP a través del modo VPN o ICA Proxy (sin túnel completo).
-
Inicio de sesión único (SSO) en servidores RDP a través de Citrix Gateway. También proporciona una opción para inhabilitar el inicio de usuario (SSO) si es necesario).
-
Función Aplicación (SmartAccess), en la que los administradores de Citrix ADC pueden inhabilitar determinadas capacidades de RDP mediante la configuración de Citrix Gateway.
-
Solución de puerta de enlace unida/sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).
-
Compatibilidad con el cliente nativo de Windows MSTSC para RDP sin necesidad de clientes personalizados.
-
Uso del cliente RDP proporcionado por Microsoft existente en Mac OS X, iOS y Android.
Descripción general de la implementación
La siguiente figura muestra una descripción general de la implementación:
La funcionalidad de proxy RDP se proporciona como parte de Citrix Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo Citrix Gateway se implementa dentro de la DMZ y el conjunto de servidores RDP se encuentra en la red corporativa interna. El usuario remoto se conecta a la dirección IP pública de Citrix Gateway, establece una conexión VPN SSL y se autentica automáticamente, después de lo cual el usuario puede acceder a los escritorios remotos a través del dispositivo Citrix Gateway.
La función RDP Proxy es compatible con los modos CVPN e ICA Proxy.
Nota: Citrix Gateway no admite sesiones RDP multiusuario de Host de sesión de Escritorio remoto (RDSH) /Aplicación remota/RDS.
Implementación a través de CVPN
En este modo, los enlaces RDP se publican en la página principal o portal de Gateway, como marcadores, a través de la configuración ‘add vpn url ‘o a través del portal externo. El usuario puede hacer clic en estos vínculos para obtener acceso al Escritorio remoto.
Implementación a través del proxy ICA
En este modo se configura una página de inicio personalizada en el Gateway VIP mediante el parámetro wihome. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en Citrix ADC o, si es externa, puede ser un iFrame en la página del portal de Gateway existente.
En cualquiera de los modos, después de que el usuario haga clic en el vínculo o icono de RDP aprovisionado, una solicitud HTTPS para el recurso correspondiente llega a Citrix Gateway.La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un oyente RDP en Gateway. Gateway realiza SSO en el servidor RDP mediante la compatibilidad con la aplicación (SmartAccess), en la que la puerta de enlace bloquea el acceso del cliente a determinadas funciones de RDP, según la configuración de Citrix ADC, y luego hace proxy el tráfico RDP entre el cliente RDP y el servidor.
Detalles de cumplimiento
El administrador de Citrix ADC puede configurar determinadas capacidades de RDP mediante la configuración de Citrix Gateway. Citrix Gateway proporciona la función de “cumplimiento de RDP” para parámetros importantes de RDP. Citrix ADC garantiza que el cliente no puede habilitar los parámetros bloqueados. Si los parámetros bloqueados están activados, la función de cumplimiento RDP sustituye a los parámetros habilitados por el cliente y no se respetan.
Parámetros RDP admitidos para la aplicación
Se admite la aplicación de los siguientes parámetros de redirección. Estos se pueden configurar como parte de un perfil de cliente RDP.
-
Redirección del Portapapeles
-
Redirección de impresoras
-
Redirección de unidades de disco
-
Redirección de puertos COM
-
Redirección de dispositivos pnp
Flujo de conexión
El flujo de conexión se puede dividir en dos pasos:
-
Enumeración de recursos RDP y descarga de archivos RDP.
-
Inicio de la conexión RDP.
Según el flujo de conexión anterior, existen dos soluciones de implementación:
-
Solución de Gateway sin estado (doble): La enumeración de recursos RDP y la descarga de archivos RDP ocurre a través de la Gateway de autenticador, pero el inicio de la conexión RDP ocurre a través de la Gateway de escucha de RDP.
-
Solución de Gateway única: La enumeración de recursos RDP, la descarga de archivos RDP y el lanzamiento de la conexión RDP se producen a través de la misma Gateway.
Compatibilidad con puerta de enlace sin estado (doble)
En la siguiente figura se muestra el implementación:
-
El usuario se conecta a la puerta de enlace de autenticación VIP y proporciona las credenciales.
-
Después de iniciar sesión correctamente en la puerta de enlace, el usuario se redirige a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.
-
Una vez que el usuario haya seleccionado un recurso RDP, la puerta de enlace de autenticación VIP recibe una solicitud en el formato
https://vserver-vip/rdpproxy/rdptarget/listener
que indica el recurso publicado en el que el usuario hizo clic. Esta solicitud tiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado. -
La solicitud /rdpproxy/ es procesada por la puerta de enlace de autenticación. Dado que el usuario ya está autenticado, esta solicitud viene con una cookie de Gateway válida.
-
La información RDPTarget y RDPuser se almacena en el servidor STA y se genera un Tíquet STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La Gateway de autenticación utiliza uno de los servidores STA configurados en el servidor virtual de puerta de enlace.
-
La información de “Listener” obtenida en la solicitud /rdpproxy/ se coloca en el archivo RDP como “fulladdress”, y el tíquet STA (pre-penado con STA authID) se coloca en el archivo RDP como “loadbalanceinfo”.
-
El archivo RDP se envía de nuevo al punto final del cliente.
-
El cliente RDP nativo se inicia y se conecta a la puerta de enlace RDPListener. Envía el tíquet STA en el paquete inicial.
La puerta de enlace RDPListener valida el vale STA y obtiene la información RDPTarget y RDPuser. El servidor STA que se va a utilizar se recupera mediante el ‘AuthID’ presente en loadbalanceinfo.
Compatibilidad con una puerta de enlace única
En la siguiente figura se muestra el implementación:
En el caso de una implementación de una puerta de enlace única, no se requiere el servidor STA. La Gateway del autenticador codifica la cookie de sesión RDPTarget y Citrix ADC AAA de forma segura y las envía como loadbalanceinfo en el archivo .rdp. Cuando el cliente RDP envía este token en el paquete inicial, la Gateway del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta al RDPTarget.
Requisitos de licencia para proxy RDP
Edición Premium, Edición avanzada
Nota: La función RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la edición Standard.
La función de proxy RDP tiene que estar habilitada para que el proxy RDP funcione.
enable feature rdpProxy
<!--NeedCopy-->
Pasos de configuración
Los pasos de configuración de alto nivel se enumeran de la siguiente manera:
- Habilitar la función
- Crear marcadores en el portal de puerta de enlace o utilizar un portal de puerta de enlace personalizado que enumera los recursos de RDP
- Configurar un perfil de cliente RDP
- Configurar un perfil de servidor RDP
Habilitar las funciones y modos necesarios
-
enable ns feature ssl
-
enable ns feature sslvpn
-
enable ns feature rdpproxy
-
enable mode usnip
Creación de marcadores
-
Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza con rdp: //).
-
Add vpn url
<urlName> <linkName> <actualURL>
- La dirección URL debe tener el siguiente formato:
rdp://<TargetIP:Port>
. -
Para el modo proxy RDP sin estado, la dirección URL debe tener el formato siguiente:
rdp://<TargetIP:Port>/<ListenerIP:Port>
- La URL se publica en el portal en el formato:
https://<VPN-VIP>/rdpproxy/<TargetIP:Port>
https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
- La dirección URL debe tener el siguiente formato:
-
Enlazar los marcadores al usuario, o grupo, o al servidor virtual vpn o vpn global.
Configuración de un Perfil de Cliente
Configure el perfil de cliente en la Gateway del autenticador. A continuación se muestra una configuración de ejemplo:
add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->
Asocie el perfil del cliente RDP con el vserver vpn.
Esto se puede hacer configurando una SessionAction+SessionPolicy o estableciendo el parámetro vpn global.
Ejemplo:
add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>
add vpn sessionpolicy <polname> NS_TRUE <actname>
bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
O BIEN
set vpn parameter –rdpClientprofile <name>
Configuración de un perfil de servidor
Configure el perfil del servidor en la Gateway del listener.
• add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>
El perfil RDPServer debe configurarse en el ‘servidor virtual vpn’.
• add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>
Configuración de ejemplo
-
Habilitar las funciones y modos necesarios
-
enable ns feature ssl
-
enable ns feature sslvpn
-
enable ns feature rdpproxy
-
enable mode usnip
-
-
Agregar URL VPN para el usuario con información de destino
add aaa user Administrator –password freebsd123$%^ add vpn url rdp RdpLink rdp://rdpserverinfo add dns addrec rdpserverinfo 10.102.147.132 bind aaa user Administrator –urlName rdp <!--NeedCopy-->
-
Configurar el perfil de cliente y servidor RDP para la conexión VPN
add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix add vpn vserver mygateway SSL 10.102.147.134 443 –rdpserverprofile p1 set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1 add ssl certKey gatewaykey -cert rdp_rootcert.pem -key rdp_rootkey bind ssl vserver mygateway -certkeyName gatewaykey <!--NeedCopy-->
-
ADD SNIP para la conexión desde Citrix ADC al destino
add ns ip 10.102.147.135 255.255.255.0 –type SNIP <!--NeedCopy-->
Opción para inhabilitar el inicio de usuario (SSO)
La función SSO (Single Sign-On) con proxy RDP se puede inhabilitar configurando directivas de tráfico de Citrix ADC para que el usuario siempre reciba credenciales. Cuando el SSO está inhabilitado, la aplicación RDP (SmartAccess) no funciona.
Ejemplo de configuración:
add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->
La directiva de tráfico se puede configurar según el requisito, a continuación se presentan dos ejemplos:
• Para inhabilitar el inicio de usuario único para todo el tráfico:
add vpn trafficpolicy <TrafficPolicyName> "url contains rdpproxy" <TrafficActionName>
<!--NeedCopy-->
• Para inhabilitar SSO basado en IP/FQDN de origen/destino
add vpn trafficPolicy <TrafficPolicyName> "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>
<!--NeedCopy-->
Compatibilidad con Single Listener
-
Listener único para tráfico RDP y SSL.
-
La descarga de archivos RDP y el tráfico RDP se pueden manejar a través de la misma tupla 2 (es decir, IP y Port) en Citrix ADC.
Marcador
Generación de enlaces RDP a través del Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando TARGIP:Port. Para la implementación de proxy RDP-sin estado, el administrador puede incluir información de escucha de RDP en formato FQDN: Puerto como parte del perfil de cliente de RDP. Esto se hace bajo la opción RDPListener. Esta configuración se utiliza para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.
Configuración del proxy RDP
Haga lo siguiente para configurar el proxy RDP:
-
Expanda Citrix Gateway, expanda Directivas, haga clic con el botón secundario en RDP y haga clic en Habilitar función.
-
Haga clic en RDP a la izquierda. A la derecha, cambie a la ficha Perfiles de cliente y haga clic en Agregar.
-
Asigne un nombre al perfil de cliente y configúrelo como quiera. Desplazarse hacia abajo
-
En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.
-
Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitas esto más tarde.
-
Asigne un nombre al perfil del servidor.
-
Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.
-
Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.
-
Si quiere colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursos y haga clic en Marcadores.
-
A la derecha, haz clic en Agregar.
-
Asigne un nombre al Marcador.
-
Para la dirección URL, escriba rdp://MyRDPServer mediante IP o DNS.
-
Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.
-
Cree más marcadores según quiera.
-
Cree o modifique un perfil o una directiva de sesión.
-
En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.
-
En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.
-
Si quiere utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen Activado.
-
En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.
-
Modifique o cree su servidor virtual de puerta de enlace.
-
En la sección Configuración básica, haga clic en Más.
-
Utilice la lista Perfil del servidor RDP para seleccionar el perfil del servidor RDP que creó anteriormente.
-
Desplácese hacia abajo. Asegúrese de que ICA Only no está marcada.
-
Enlazar un certificado.
-
Vincular directivas de autenticación.
-
Enlazar la directiva/perfil de sesión que tiene configurado el perfil de cliente RDP.
-
Puede enlazar marcadores al servidor virtual de Citrix Gateway o a un grupo de Citrix ADC AAA. Para enlazar con el servidor virtual de Citrix Gateway, a la derecha, en la sección Configuración avanzada, haga clic en Aplicaciones publicadas.
-
A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.
-
Enlazar tus marcadores.
-
Dado que ICA Only no está especificado para este servidor virtual de Citrix Gateway, asegúrese de que las licencias de Citrix Gateway Universal estén configuradas correctamente. A la izquierda, expanda Citrix Gateway y haga clic en Configuración global.
-
A la derecha, haz clic en Cambiar la configuración AAA de autenticación.
-
Cambie el número máximo de usuarios a su límite de licencia.
-
Si quiere conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración de tráfico > DNS > Servidores de nombres).
-
Si quiere utilizar los nombres cortos en lugar de FQDN, agregue unsufijo D NS (Administración de tráfico > DNS > Sufijo DNS).
-
Conéctese a su Gateway e inicie sesión.
-
Si ha configurado Marcadores, haga clic en el Marcador.
-
Puede cambiar la barra de direcciones a /rdpProxy/myRDPServer. Puede introducir una dirección IP (por ejemplo, rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).
-
Abra el archivo RDP descargado.
-
Para ver los usuarios conectados actualmente, vaya a Citrix Gateway Policies > RDP. A la derecha está la ficha Conexiones.
En este artículo
- Descripción general y mejoras del proxy RDP a través de Citrix Gateway
- Descripción general de la implementación
- Implementación a través de CVPN
- Implementación a través del proxy ICA
- Detalles de cumplimiento
- Parámetros RDP admitidos para la aplicación
- Compatibilidad con puerta de enlace sin estado (doble)
- Compatibilidad con una puerta de enlace única
- Requisitos de licencia para proxy RDP
- Configuración de un Perfil de Cliente
- Configuración de un perfil de servidor
- Configuración de ejemplo
- Opción para inhabilitar el inicio de usuario (SSO)
- Compatibilidad con Single Listener
- Marcador
- Configuración del proxy RDP