Citrix Gateway

Configurar AlwaysOn VPN antes de iniciar sesión en Windows

AlwaysOn VPN antes de iniciar sesión de Windows proporciona las siguientes capacidades.

  • Administrador proporciona una contraseña de una sola vez a los usuarios que trabajan de forma remota mediante la cual los usuarios pueden conectarse al Controller de dominio para cambiar su contraseña.
  • El administrador administra/aplica de forma remota las directivas de AD en el dispositivo incluso antes de que el usuario inicie sesión.
  • Administrador proporciona un nivel granular de control a los usuarios basado en el grupo de usuarios después de que el usuario inicie sesión. Por ejemplo, es posible utilizar un túnel a nivel de usuario, restringir o proporcionar acceso a un recurso a un grupo de usuarios determinado.
  • El túnel de usuario se puede configurar para MFA según los requisitos del usuario.
  • Mismo equipo puede ser utilizado por varios usuarios, el acceso a recursos selectivos se proporciona en función del perfil de usuario. Por ejemplo, en quiosco, una máquina puede ser utilizada por varios usuarios sin problemas.
  • Los usuarios que trabajan de forma remota se conectan al Controller de dominio para cambiar su contraseña.

Descripción de AlwaysOn VPN antes de iniciar sesión en Windows

El siguiente es el flujo de eventos para la AlwaysOn VPN antes de la funcionalidad de inicio de sesión de Windows.

Alwayson con flujo personal del usuario

  • El usuario enciende el portátil, el túnel a nivel de máquina se establece hacia Citrix Gateway mediante el certificado de dispositivo como identidad.
  • El usuario inicia sesión en el portátil con credenciales de AD.
  • Después de iniciar sesión, el usuario es desafiado con MFA.
  • Tras la autenticación correcta, el túnel de nivel de máquina se sustituye por un túnel de nivel de usuario.
  • Una vez que el usuario cierra la sesión, el túnel a nivel de usuario se sustituye por el túnel a nivel de máquina.

Configure AlwaysOn VPN antes de iniciar sesión en Windows mediante la interfaz gráfica de usuario

Requisito previo

  • Citrix Gateway y VPN plug-in deben ser la versión 13.0.41.20 y posterior.
  • Citrix ADC Advanced Edition y versiones superiores es necesario para que la solución funcione.
  • Solo puede configurar la funcionalidad mediante directivas avanzadas.

La configuración implica los siguientes pasos de alto nivel:

  • Crear un perfil de autenticación
  • Crear un servidor virtual de autenticación
  • Crear directivas de autenticación
  • Vincular las directivas al perfil de autenticación

Para configurar la funcionalidad mediante la interfaz gráfica de usuario

Autenticación basada en certificados de cliente

  1. En la ficha Configuración, vaya a Citrix Gateway > Servidores virtuales.
  2. En la página Servidores virtuales de Citrix Gateway, seleccione un servidor virtual existente y haga clic en Modificar.
  3. En la página Servidor virtual VPN, haga clic en el icono de edición.
  4. Haga clic en Agregar junto a la sección CA para certificado de dispositivo y haga clic en Aceptar.

    Agregar CA para el certificado de dispositivo

    Nota: No active la casilla de verificación Habilitar certificado de dispositivo.

  5. Para vincular un certificado de CA al servidor virtual, haga clic en Certificado de CA en la sección Certificado. Haga clic en Agregar enlace en la página Enlace de certificado de CA de servidor virtual SSL.

  6. Haga clic en el texto, Haga clic para seleccionar para seleccionar el certificado requerido.

    Agregar CA para el certificado de dispositivo

  7. Seleccione el certificado de CA requerido.

    Agregar CA para el certificado de dispositivo

  8. Haga clic en Vincular.

  9. En la página Servidores virtuales VPN, en la sección Perfil de autenticación, haga clic en Agregar.
  10. En la página Crear perfil de autenticación, proporcione un nombre para el perfil de autenticación y haga clic en Agregar. Crear perfil de autenticación
  11. En la página Servidor virtual de autenticación, proporcione un nombre para el servidor virtual de autenticación, seleccione Tipo de dirección IP como No direccionable y haga clic en Aceptar. Seleccionar tipo de IP no direccionable
  12. En Directivas de autenticación avanzadas, haga clic dentro de Directiva de autenticación.
  13. En la página Enlace de directivas, haga clic en Agregar junto a Seleccionar directiva.
  14. En la página Crear directiva de autenticación;
    1. Escriba un nombre para la directiva de autenticación avanzada.
    2. Seleccione EPA en la lista Tipo de acción.
    3. Haga clic en Agregar junto a Acción. Seleccione el tipo de acción epa
  15. En la página Crear Acción EPA de Autenticación;
    1. Introduzca un nombre para la acción EPA que se va a crear.
    2. Escriba sys.client_expr (“device-cert_0_0”) en el campo Expresión.
    3. Haga clic en Crear.

    Crear expresión

  16. En la página Crear directiva de autenticación;
    1. Escriba un nombre para la directiva de autenticación.
    2. Escriba is_aoservice en el campo Expresión.
    3. Haga clic en Crear.

    Crear expresión2

  17. En la página Enlace de directivas, escriba 100 en Prioridad y haga clic en Vincular.

    Directiva de enlace

    Nota: La configuración del túnel a nivel de máquina ya está completa. Puede omitir los pasos 18 a 25 y continuar con la configuración del lado del cliente, si no quiere que el túnel de nivel de usuario después de iniciar sesión en Windows.

    Para reemplazar el túnel de nivel de máquina por túnel de nivel de usuario después de iniciar sesión en Windows, continúe con la configuración siguiente.

  18. Cambie la Expresión Goto a Siguiente en lugar de Finalizar para la directiva enlazada en el paso 17.

    Directiva de enlace

  19. En la página Servidor virtual de autenticación, haga clic dentro de Directiva de autenticación.
  20. En la página Directiva de autenticación, haga clic en la ficha Agregar enlace.
  21. En la página Enlace de directivas, haga clic en Agregar junto a Seleccionar directiva. Vincular directiva 2
  22. En la página Crear directiva de autenticación;
    1. Introduzca un nombre para la directiva “sin autenticación” que se va a crear.
    2. Seleccione el tipo de acción como No_authn.
    3. Escriba is_aoservice.not en el campo Expresión.
    4. Haga clic en Crear.

      Nota: La expresión is_aoservice.not es válida desde Citrix Gateway versión 13.0 compilación 41.20 y posteriores.

    Seleccionar el tipo de acción noauth

  23. En la página Enlace de directivas, escriba 110 en Prioridad, haga clic en Agregar junto a Seleccionar factor siguiente.
  24. En la página Etiqueta de directiva de autenticación, cree una directiva de autenticación LDAP. Consulte el siguiente artículo para crear una directiva de autenticación LDAP. Para obtener más información detallada, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.
  25. Haga clic en Vincular en la página Vinculación de directivas.

Configuración del lado del cliente

Los registros AlwaysOn, LocationDetection y SuffixList son opcionales y solo se requieren si se necesita la funcionalidad de detección de ubicación.

Clave del Registro Tipo de registro Valores y descripción
Servicio AlwaysOn “REG_DWORD” 1 => Habilitar el servicio AlwaysOn sin una persona de usuario; 2 => Habilitar el servicio AlwaysOn con persona de usuario
AlwaysOnURL REG SZ URL del servidor virtual Citrix Gateway al que quiere conectarse. Ejemplo:https://xyz.companyDomain.com
AlwaysOn “REG_DWORD” 1 => Permitir el acceso a la red en caso de fallo VPN; 2=> Bloquear el acceso a la red en caso de fallo VPN
LocationDetection “REG_DWORD” 1 => Para habilitar la detección de ubicación; 0 => Para desactivar la detección de ubicación
suffixList REG SZ Lista separada por comas de dominios de intranet. Se utiliza cuando la detección de ubicación está habilitada.

Para obtener más información acerca de estas entradas del Registro, consulte AlwaysOn.

Para configurar AlwaysOn VPN antes de iniciar sesión en Windows mediante la directiva clásica, consulte Configurar VPN Always On antes de iniciar sesión en Windows mediante la directiva clásica

Configurar AlwaysOn VPN antes de iniciar sesión en Windows