Configuración de directivas y perfiles de sesión para Citrix Endpoint Management y StoreFront

Para permitir conexiones a través de Citrix Gateway desde las diferentes versiones de Receiver y mediante Secure Hub, debe crear directivas y perfiles de sesión para Endpoint Management y StoreFront con reglas específicas que permitan que las conexiones funcionen. Puede crear perfiles y directivas de sesión independientes para lo siguiente:

  • Plug-in de Citrix Gateway
  • Receiver para Android
  • Receptor para BlackBerry 10 1.0
  • Receptor para BlackBerry 2.2
  • Receptor para Chromebook
  • Receiver para HTML5
  • Receptor para iOS
  • Receiver para Linux
  • Receiver para Mac
  • Receptor para Playbook 1.0
  • Receptor para Windows 8/RT
  • Receiver para Web
  • Hub seguro

Al configurar la expresión para Secure Hub, Receiver para Windows, Receiver para Mac o Receiver para Web, el encabezado User-Agent siempre se inicia con CitrixReceiver. Las versiones más recientes de Receiver que reconocen los protocolos nativos en Citrix Endpoint Management también incluyen un encabezado denominado X-Citrix-Gateway. Al crear una regla, puede usar AND (&&) u OR (||) para especificar la condición de dos expresiones configuradas.

Importante: Citrix recomienda ejecutar el Asistente para configuración rápida para configurar todas las directivas necesarias para las conexiones a Endpoint Management y StoreFront desde Citrix Gateway. En las secciones siguientes se proporciona información sobre la configuración manual de las directivas.

Configuración de Servidores Virtuales

Si Endpoint Management forma parte de su implementación, debe crear dos servidores virtuales:

  • El primer servidor virtual es para los usuarios que se conectan mediante Secure Hub. Una vez que se produce la autenticación de usuario, este servidor virtual se comunica directamente con Endpoint Management.
  • El segundo servidor virtual son los usuarios que se conectan mediante Receiver para Web, Citrix Receiver para Windows o Citrix Receiver para Mac. Receiver se comunica directamente con StoreFront, en lugar de Endpoint Management, después de que Citrix Gateway autentique a los usuarios.

En cada servidor virtual de Citrix Gateway, debe instalar un certificado de servidor que tenga un nombre de dominio completo único.

Configuración de directivas de sesión

Las directivas de sesión se configuran para implementaciones de Endpoint Management y StoreFront. Puede utilizar las mismas expresiones de directiva para ambas implementaciones, sin embargo, la configuración del perfil de sesión es ligeramente diferente. Las expresiones de directiva de sesión que configure dependen de la versión de Receiver y del plug-in de Citrix Gateway que esté utilizando.

Algunas versiones de Receiver no admiten completamente los protocolos de servicios de StoreFront que permiten conexiones directas a través de Citrix Gateway a los almacenes de StoreFront. Las versiones anteriores de Receiver que no admiten estos protocolos incluyen:

  • Receiver para Windows 3.0 y versiones anteriores
  • Receiver para Mac 11.4 y versiones anteriores
  • Receiver para Android 3.0 y versiones anteriores
  • Receiver para iOS 5.5 y versiones anteriores

En la tabla siguiente se muestra la expresión de directiva que se debe configurar en función de la versión de Receiver y del plug-in de Citrix Gateway que está utilizando:

   
La versión de Receiver no admite los protocolos de servicios de StoreFront REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway NOTEXISTS
La versión de Worx Home o Receiver admite los protocolos de servicios de StoreFront REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTE
Plug-in de Citrix Gateway para Windows; plug-in de Citrix Gateway para Mac REQ.HTTP.HEADER User-Agent NOTCONTINENTS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS
Receiver para Web REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer existe
Receptor para Windows 8/RT REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE WindowsRT

Al configurar la expresión de directiva para las versiones de Receiver, puede distinguir entre el tipo de Receiver en la expresión de directiva.

   
Receiver para Android REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Android
Receptor para BlackBerry 2.2 REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Blackberry
Receptor para Chromebook REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Chromebook
Receiver para HTML5 REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE HTML5
Receptor para iOS REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE iOS
Receiver para Linux REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Linux
Receiver para Mac REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE MacOSX
Receptor para Playbook 1.0 REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Libro de jugadas
Receptor para Windows 8/RT. 1.3 REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Win8
Receiver para Windows REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Windows
Receptor para Windows Phone 8 REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE WindowsPhone
Worx Inicio REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTIENE Windows

Si configura una directiva de sesión que admita los protocolos de servicios de StoreFront y Receiver para iOS, la expresión podría tener el siguiente aspecto:

REQ.HTTP.HEADER User-Agent CONTIENE CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXIST && REQ.HTTP.HEADER User-Agent CONTIENE IOS/

Para configurar expresiones en directivas de sesión

Cuando configure la expresión para una directiva de sesión, utilice las siguientes directrices. Puede utilizar este procedimiento para implementaciones de Endpoint Management y StoreFront.

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, haga clic en Agregar. Nota: Para modificar una directiva de sesión, en el panel de detalles, seleccione la directiva y, a continuación, haga clic en Abrir.
  3. En el cuadro de diálogo Crear directiva de sesión de Citrix Gateway, seleccione Forma libre avanzada y, a continuación, haga clic en Agregar.
  4. En el cuadro de diálogo Agregar expresión, utilice los siguientes parámetros como guía para la expresión:
    1. En Tipo de expresión, seleccione General.
    2. En Tipo de flujo, seleccione REQ.
    3. En Protocolo, seleccione HTTP.
    4. En Calificador, seleccione Encabezado.
    5. En Operador, seleccione CONTAENTS, NOTCONTAENTS, EXISTS o NOTEXISTS según la expresión.
    6. En Valor, escriba el parámetro, como CitrixReceiver.
    7. En Nombre de encabezado, escriba User-Agent y, a continuación, haga clic en Aceptar.
  5. Después de guardar la primera expresión, haga clic en Y en el cuadro de diálogo Crear directiva de sesión de Citrix Gateway para agregar && a la expresión y, a continuación, haga clic en Agregar.
  6. Repita el paso 2 para configurar la segunda regla.
  7. Cuando termine de agregar las reglas, haga clic en Crear y, a continuación, haga clic en Cerrar.

Configuración de Perfiles de Sesión

Al configurar perfiles de sesión para utilizarlos con una directiva de sesión, debe configurar parámetros específicos para el tipo de conexión que admite el perfil.

Si la dirección IP de StoreFront es una dirección IP pública y si inhabilita la tunelización dividida en el perfil de sesión, la funcionalidad de SSO se inhabilita internamente en Citrix Gateway. Los usuarios reciben un mensaje de error de acceso denegado cuando intentan iniciar sesión en StoreFront. Debe habilitar la tunelización dividida para permitir SSO desde una dirección IP pública.

Cuando termine de configurar la directiva y el perfil, vinculará la directiva de sesión al servidor virtual. También debe asignar un número de prioridad para cada directiva de sesión.

Los perfiles de sesión que configura tienen diferentes opciones para Endpoint Management y StoreFront. Para obtener más información, consulte los temas de Endpoint Management y StoreFront más adelante en esta sección.