Citrix Gateway

Proxy RDP

Descripción general y mejoras del proxy RDP a través de Citrix Gateway

Las siguientes funciones de proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de Citrix Gateway:

  • Proteja el tráfico RDP a través del modo VPN o ICA Proxy (sin túnel completo).

  • Inicio de sesión único (SSO) en servidores RDP a través de Citrix Gateway. También proporciona una opción para inhabilitar el inicio de usuario (SSO) si es necesario).

  • Función Aplicación (SmartAccess), en la que los administradores de Citrix ADC pueden inhabilitar determinadas capacidades de RDP mediante la configuración de Citrix Gateway.

  • Solución de puerta de enlace unida/sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).

  • Compatibilidad con el cliente nativo de Windows MSTSC para RDP sin necesidad de clientes personalizados.

  • Uso del cliente RDP proporcionado por Microsoft existente en Mac OS X, iOS y Android.

Descripción general de la implementación

La siguiente figura muestra una descripción general de la implementación:

Introducción al proxy RDP

La funcionalidad de proxy RDP se proporciona como parte de Citrix Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo Citrix Gateway se implementa dentro de la DMZ y el conjunto de servidores RDP se encuentra en la red corporativa interna. El usuario remoto se conecta a la dirección IP pública de Citrix Gateway, establece una conexión VPN SSL y se autentica automáticamente, después de lo cual el usuario puede acceder a los escritorios remotos a través del dispositivo Citrix Gateway.

La función RDP Proxy es compatible con los modos CVPN e ICA Proxy.

Nota: Citrix Gateway no admite sesiones RDP multiusuario de Host de sesión de Escritorio remoto (RDSH) /Aplicación remota/RDS.

Implementación a través de CVPN

En este modo, los enlaces RDP se publican en la página principal o portal de Gateway, como marcadores, a través de la configuración ‘add vpn url ‘o a través del portal externo. El usuario puede hacer clic en estos vínculos para obtener acceso al Escritorio remoto.

Implementación a través del proxy ICA

En este modo se configura una página de inicio personalizada en el Gateway VIP mediante el parámetro wihome. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en Citrix ADC o, si es externa, puede ser un iFrame en la página del portal de Gateway existente.

En cualquiera de los modos, después de que el usuario haga clic en el vínculo o icono de RDP aprovisionado, una solicitud HTTPS para el recurso correspondiente llega a Citrix Gateway.La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un oyente RDP en Gateway. Gateway realiza SSO en el servidor RDP mediante la compatibilidad con la aplicación (SmartAccess), en la que la puerta de enlace bloquea el acceso del cliente a determinadas funciones de RDP, según la configuración de Citrix ADC, y luego hace proxy el tráfico RDP entre el cliente RDP y el servidor.

Detalles de cumplimiento

El administrador de Citrix ADC puede configurar determinadas capacidades de RDP mediante la configuración de Citrix Gateway. Citrix Gateway proporciona la función de “cumplimiento de RDP” para parámetros importantes de RDP. Citrix ADC garantiza que el cliente no puede habilitar los parámetros bloqueados. Si los parámetros bloqueados están activados, la función de cumplimiento RDP sustituye a los parámetros habilitados por el cliente y no se respetan.

Parámetros RDP admitidos para la aplicación

Se admite la aplicación de los siguientes parámetros de redirección. Estos se pueden configurar como parte de un perfil de cliente RDP.

  • Redirección del Portapapeles

  • Redirección de impresoras

  • Redirección de unidades de disco

  • Redirección de puertos COM

  • Redirección de dispositivos pnp

Flujo de conexión

El flujo de conexión se puede dividir en dos pasos:

  • Enumeración de recursos RDP y descarga de archivos RDP.

  • Inicio de la conexión RDP.

Según el flujo de conexión anterior, existen dos soluciones de implementación:

  • Solución de Gateway sin estado (doble): La enumeración de recursos RDP y la descarga de archivos RDP ocurre a través de la Gateway de autenticador, pero el inicio de la conexión RDP ocurre a través de la Gateway de escucha de RDP.

  • Solución de Gateway única: La enumeración de recursos RDP, la descarga de archivos RDP y el lanzamiento de la conexión RDP se producen a través de la misma Gateway.

Compatibilidad con puerta de enlace sin estado (doble)

En la siguiente figura se muestra el implementación:

Compatibilidad con doble Gateway

  • El usuario se conecta a la puerta de enlace de autenticación VIP y proporciona las credenciales.

  • Después de iniciar sesión correctamente en la puerta de enlace, el usuario se redirige a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.

  • Una vez que el usuario haya seleccionado un recurso RDP, la puerta de enlace de autenticación VIP recibe una solicitud en el formato https://vserver-vip/rdpproxy/rdptarget/listener que indica el recurso publicado en el que el usuario hizo clic. Esta solicitud tiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado.

  • La solicitud /rdpproxy/ es procesada por la puerta de enlace de autenticación. Dado que el usuario ya está autenticado, esta solicitud viene con una cookie de Gateway válida.

  • La información RDPTarget y RDPuser se almacena en el servidor STA y se genera un Tíquet STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La Gateway de autenticación utiliza uno de los servidores STA configurados en el servidor virtual de puerta de enlace.

  • La información de “Listener” obtenida en la solicitud /rdpproxy/ se coloca en el archivo RDP como “fulladdress”, y el tíquet STA (pre-penado con STA authID) se coloca en el archivo RDP como “loadbalanceinfo”.

  • El archivo RDP se envía de nuevo al punto final del cliente.

  • El cliente RDP nativo se inicia y se conecta a la puerta de enlace RDPListener. Envía el tíquet STA en el paquete inicial.

    La puerta de enlace RDPListener valida el vale STA y obtiene la información RDPTarget y RDPuser. El servidor STA que se va a utilizar se recupera mediante el ‘AuthID’ presente en loadbalanceinfo.

Compatibilidad con una puerta de enlace única

En la siguiente figura se muestra el implementación:

Compatibilidad con una puerta de enlace única

En el caso de una implementación de una puerta de enlace única, no se requiere el servidor STA. La Gateway del autenticador codifica la cookie de sesión RDPTarget y Citrix ADC AAA de forma segura y las envía como loadbalanceinfo en el archivo .rdp. Cuando el cliente RDP envía este token en el paquete inicial, la Gateway del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta al RDPTarget.

Requisitos de licencia para proxy RDP

Edición Premium, Edición avanzada

Nota: La función RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la edición Standard.

La función de proxy RDP tiene que estar habilitada para que el proxy RDP funcione.

enable feature rdpProxy
<!--NeedCopy-->

Pasos de configuración

Los pasos de configuración de alto nivel se enumeran de la siguiente manera:

  1. Habilitar la función
  2. Crear marcadores en el portal de puerta de enlace o utilizar un portal de puerta de enlace personalizado que enumera los recursos de RDP
  3. Configurar un perfil de cliente RDP
  4. Configurar un perfil de servidor RDP

Habilitar las funciones y modos necesarios

  • enable ns feature ssl

  • enable ns feature sslvpn

  • enable ns feature rdpproxy

  • enable mode usnip

Creación de marcadores

  1. Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza con rdp: //).

  2. Add vpn url <urlName> <linkName>  <actualURL>

    • La dirección URL debe tener el siguiente formato: rdp://<TargetIP:Port>.
    • Para el modo proxy RDP sin estado, la dirección URL debe tener el formato siguiente: rdp://<TargetIP:Port>/<ListenerIP:Port>

    • La URL se publica en el portal en el formato: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Enlazar los marcadores al usuario, o grupo, o al servidor virtual vpn o vpn global.

Configuración de un Perfil de Cliente

Configure el perfil de cliente en la Gateway del autenticador. A continuación se muestra una configuración de ejemplo:

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->

Asocie el perfil del cliente RDP con el vserver vpn.

Esto se puede hacer configurando una SessionAction+SessionPolicy o estableciendo el parámetro vpn global.

Ejemplo:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

O BIEN

set vpn parameter –rdpClientprofile <name>

Configuración de un perfil de servidor

Configure el perfil del servidor en la Gateway del listener.

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

El perfil RDPServer debe configurarse en el ‘servidor virtual vpn’.

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Configuración de ejemplo

Configuración de ejemplo

  • Habilitar las funciones y modos necesarios

    • enable ns feature ssl

    • enable ns feature sslvpn

    • enable ns feature rdpproxy

    • enable mode usnip

  • Agregar URL VPN para el usuario con información de destino

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
     <!--NeedCopy-->
    
  • Configurar el perfil de cliente y servidor RDP para la conexión VPN

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
     <!--NeedCopy-->
    
  • ADD SNIP para la conexión desde Citrix ADC al destino

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
     <!--NeedCopy-->
    

Opción para inhabilitar el inicio de usuario (SSO)

La función SSO (Single Sign-On) con proxy RDP se puede inhabilitar configurando directivas de tráfico de Citrix ADC para que el usuario siempre reciba credenciales. Cuando el SSO está inhabilitado, la aplicación RDP (SmartAccess) no funciona.

Ejemplo de configuración:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->

La directiva de tráfico se puede configurar según el requisito, a continuación se presentan dos ejemplos:

• Para inhabilitar el inicio de usuario único para todo el tráfico:

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>
<!--NeedCopy-->

• Para inhabilitar SSO basado en IP/FQDN de origen/destino

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>
<!--NeedCopy-->

Compatibilidad con Single Listener

  • Listener único para tráfico RDP y SSL.

  • La descarga de archivos RDP y el tráfico RDP se pueden manejar a través de la misma tupla 2 (es decir, IP y Port) en Citrix ADC.

Marcador

Generación de enlaces RDP a través del Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando TARGIP:Port. Para la implementación de proxy RDP-sin estado, el administrador puede incluir información de escucha de RDP en formato FQDN: Puerto como parte del perfil de cliente de RDP. Esto se hace bajo la opción RDPListener. Esta configuración se utiliza para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.

Marcador

Configuración del proxy RDP

Haga lo siguiente para configurar el proxy RDP:

  1. Expanda Citrix Gateway, expanda Directivas, haga clic con el botón secundario en RDP y haga clic en Habilitar función.

    Habilitar función

  2. Haga clic en RDP a la izquierda. A la derecha, cambie a la ficha Perfiles de cliente y haga clic en Agregar.

    Crear perfil de cliente

  3. Asigne un nombre al perfil de cliente y configúrelo como quiera. Desplazarse hacia abajo

    Agregar nombre para el perfil

  4. En el campo Host de RDP, introduzca el FQDN que se resuelve en el listener de proxy RDP, que suele ser el mismo FQDN que el FDQN del dispositivo de Citrix Gateway.

  5. Cerca de la parte inferior hay una clave previamente compartida. Escriba una contraseña y haga clic en Aceptar. Necesitas esto más tarde.

    Contraseña de clave previamente compartida

  6. Asigne un nombre al perfil del servidor.

  7. Introduzca la dirección IP del servidor virtual de puerta de enlace que va a vincular esto.

  8. Introduzca la misma clave previamente compartida que configuró para el perfil de cliente de RDP. Haga clic en Crear.

    Volver a introducir la contraseña de clave previamente compartida

  9. Si quiere colocar marcadores RDP en la página del portal de acceso sin cliente, a la izquierda, expanda Citrix Gateway, expanda Recursos y haga clic en Marcadores.

    Agregar marcador

  10. A la derecha, haz clic en Agregar.

    Agregar marcador2

  11. Asigne un nombre al Marcador.

  12. Para la dirección URL, escriba rdp://MyRDPServer mediante IP o DNS.

  13. Marque la casilla situada junto a Usar Citrix Gateway como proxy inverso y haga clic en Crear.

  14. Cree más marcadores según quiera.

    Agregar varios marcadores

  15. Cree o modifique un perfil o una directiva de sesión.

  16. En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. También puede utilizar las directivas de autorización para controlar el acceso.

    Establecer la acción de autenticación predeterminada

  17. En la ficha Escritorio remoto, seleccione el perfil de cliente de RDP que creó anteriormente.

    Seleccionar perfil de cliente RDP

  18. Si quiere utilizar Marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen Activado.

    Establecer acceso sin cliente en Activado

  19. En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA está desactivado.

    Establecer proxy ICA en Desactivado

  20. Modifique o cree su servidor virtual de puerta de enlace.

  21. En la sección Configuración básica, haga clic en Más.

    Establecer la configuración básica

  22. Utilice la lista Perfil del servidor RDP para seleccionar el perfil del servidor RDP que creó anteriormente.

    Usar perfil de servidor RDP

  23. Desplácese hacia abajo. Asegúrese de que ICA Only no está marcada.

    Establecer ICA solo en desactivada

  24. Enlazar un certificado.

  25. Vincular directivas de autenticación.

  26. Enlazar la directiva/perfil de sesión que tiene configurado el perfil de cliente RDP.

    Vincular directiva de sesión

  27. Puede enlazar marcadores al servidor virtual de Citrix Gateway o a un grupo de Citrix ADC AAA. Para enlazar con el servidor virtual de Citrix Gateway, a la derecha, en la sección Configuración avanzada, haga clic en Aplicaciones publicadas.

    Haga clic en aplicaciones publicadas

  28. A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.

    Establecer ninguna dirección URL

  29. Enlazar tus marcadores.

    Vincular marcadores

  30. Dado que ICA Only no está especificado para este servidor virtual de Citrix Gateway, asegúrese de que las licencias de Citrix Gateway Universal estén configuradas correctamente. A la izquierda, expanda Citrix Gateway y haga clic en Configuración global.

    Establecer la configuración global

  31. A la derecha, haz clic en Cambiar la configuración AAA de autenticación.

    Cambiar la configuración de Citrix ADC AAA

  32. Cambie el número máximo de usuarios a su límite de licencia.

    Establecer el número máximo de usuarios

  33. Si quiere conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración de tráfico > DNS > Servidores de nombres).

    Configurar servidores DNS

  34. Si quiere utilizar los nombres cortos en lugar de FQDN, agregue unsufijo D NS (Administración de tráfico > DNS > Sufijo DNS).

    Usar FQDN

  35. Conéctese a su Gateway e inicie sesión.

    Conectarse a la Gateway

  36. Si ha configurado Marcadores, haga clic en el Marcador.

    Haga clic en marcadores

  37. Puede cambiar la barra de direcciones a /rdpProxy/myRDPServer. Puede introducir una dirección IP (por ejemplo, rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).

    Cambiar la barra de direcciones

  38. Abra el archivo RDP descargado.

    Descargar archivo RDP

  39. Para ver los usuarios conectados actualmente, vaya a Citrix Gateway Policies > RDP. A la derecha está la ficha Conexiones.

    Haga clic en la ficha Conexiones