Citrix Secure Private Access

Sufijos DNS para convertir los FQDN en direcciones IP

El sufijo DNS es una configuración global que se aplica a todos los usuarios finales. La función de sufijo DNS de Citrix Secure Private Access Service se puede utilizar para los siguientes casos de uso:

  • Permita que el cliente Citrix Secure Access resuelva un nombre de dominio no completo (nombre de host) en un nombre de dominio completo (FQDN) agregando el dominio con sufijo DNS para los servidores de fondo.
  • Permita a los administradores configurar las aplicaciones mediante direcciones IP (intervalo IP CIDR/IP), de modo que los usuarios finales puedan acceder a las aplicaciones mediante el FQDN correspondiente en el dominio del sufijo DNS.

Por ejemplo, al resolver un nombre de dominio no completo “workday”, si el sufijo DNS “citrix.net” está configurado, el sistema operativo agrega el sufijo “citrix.net” y lo resuelve como “workday.citrix.net”.

Si se configuran varios sufijos DNS, los sufijos DNS se resuelven en una secuencia. Por ejemplo, supongamos que se agregan los siguientes sufijos:

  • ".citrix.net"
  • ".citrix.com"
  • ".xenserver.com"

Cuando un usuario final escribe “workday”, el sistema operativo intenta resolver los FQDN en la siguiente secuencia. Si tiene éxito con un sufijo, se omiten los sufijos restantes.

  1. workday.citrix.net
  2. workday.citrix.com
  3. workday.xenserver.com

Importante:

  • La configuración del sufijo DNS solo puede permitir al cliente resolver un nombre de dominio no totalmente cualificado mediante el sufijo del dominio configurado mediante la función de sufijo DNS. Para que un usuario final pueda acceder a un FQDN en el dominio de sufijo DNS, el administrador debe configurar una aplicación con una dirección IP, un FQDN o un dominio comodín. Para obtener más información, consulte el punto 4 del Ejemplo de caso de uso.

  • Si se configuran dos aplicaciones diferentes, una con FQDN y otra con dirección IP (ambas correspondientes al mismo servidor de fondo), la directiva de la aplicación con la dirección IP tiene mayor prioridad. Para obtener más información, consulte el punto 5 del Ejemplo de caso de uso.

Requisitos previos

  • Los clientes deben tener derecho a la edición Secure Private Access Advanced para utilizar la función de sufijos DNS.
  • Póngase en contacto con el equipo de administración de productos de Citrix para habilitar los marcadores de funciones del sufijo DNS.

Cómo agregar sufijos DNS

  1. En el mosaico de Secure Private Access, haga clic en Administrar.

  2. En la página de inicio de Secure Private Access, haga clic en Parámetros y, a continuación, en Sufijo DNS.

  3. En el campo Sufijo DNS, introduzca el sufijo que se debe agregar al resolver un nombre que no esté completamente cualificado.

  4. Haga clic en Agregar.

Los sufijos se enumeran según el orden en que se agregan. Los administradores pueden eliminar o modificar los sufijos.

Sufijo DNS

Ejemplo de caso de uso

Se deben tener en cuenta las siguientes cuestiones:

  • Un administrador ha asignado la dirección IP 192.0.2.1 a una máquina de la red del cliente.
  • Los FQDN de la máquina (con direcciones IP 192.0.2.1) se encuentran en el dominio “citrix.net” (por ejemplo, workday.citrix.net).
Configuración de sufijo DNS y de aplicaciones Experiencia del usuario final
  1 El administrador configura el sufijo DNS como “citrix.net” y crea una aplicación con la dirección IP 192.0.2.1 con una directiva de acceso configurada como “allow” para el usuario1. Cuando el usuario1 intenta conectarse a “workday”, el FQDN lleva el sufijo “citrix.net” (workday.citrix.net) y la dirección IP se resuelve como 192.0.2.1. Dado que 192.0.2.1 está permitida para el usuario1 con una aplicación configurada, se concede el acceso.
Nota: El usuario final puede acceder a la aplicación Workday con 192.0.2.1 o workday.citrix.net o “workday”.
Sin la configuración del sufijo DNS, se deniega el acceso a través de “workday” y “workday.citrix.net”.
  2 El administrador configura el sufijo DNS como “citrix.net”, crea una aplicación con FQDN (workday.citrix.net) y establece la directiva de acceso como “allow” para el usuario1. Cuando el usuario1 intenta conectarse a “workday”, “citrix.net” lleva el sufijo “workday” (workday.citrix.net). El usuario final puede acceder a Workday porque una aplicación está configurada con “workday.citrix.net” y la directiva de acceso está configurada en “allow” para el usuario1.
Nota: El usuario final puede acceder a la aplicación Workday con workday.citrix.net o “workday”.
Se deniega el acceso a 192.0.2.1 porque no hay ninguna aplicación configurada con esta dirección IP.
  3 El administrador configura el sufijo DNS como “citrix.net”, crea una aplicación con el dominio comodín “*.citrix.net” y establece la directiva de acceso como “allow” para el usuario1. Cuando el usuario1 intenta conectarse a “workday”, “citrix.net” lleva el sufijo “workday” (workday.citrix.net). El usuario final puede acceder a Workday porque una aplicación está configurada con “*.citrix.net” y la directiva de acceso está configurada en “allow” para el usuario1.
Nota: El usuario final puede acceder a Workday con workday.citrix.net o “workday”.
Se deniega el acceso a 192.0.2.1 porque no hay ninguna aplicación configurada con esta dirección IP.
  4 El administrador configura el sufijo DNS como “citrix.net”. No hay ninguna aplicación configurada para el usuario1 con FQDN (workday.citrix.net) o 192.0.2.1. Cuando el usuario1 intenta conectarse a “workday”, el cliente agrega el sufijo “citrix.net” a “workday” y resuelve “workday.citrix.net” en 192.0.2.1. Sin embargo, el usuario1 no puede conectarse al servidor privado (workday.citrix.net/192.0.2.1) porque no hay ninguna aplicación configurada con 192.0.2.1 o workday.citrix.net o *. citrix.net para el usuario1.
  5 El administrador configura el sufijo DNS como “citrix.net”. Agrega una aplicación con la dirección IP 192.0.2.1 y establece la directiva de acceso en “deny” para el usuario1. A continuación, agrega otra aplicación con FQDN (workday.citrix.net) que se resuelve en 192.0.2.1 y establece la directiva de acceso en “allow” para el usuario1. Cuando el usuario1 intenta conectarse a “workday”, el sufijo “citrix.net” es Workday (workday.citrix.net) y la dirección IP se resuelve como 192.0.2.1. Sin embargo, se deniega el acceso a Workday, ya que la directiva de la aplicación configurada con la IP 192.0.2.1 tiene prioridad sobre la aplicación configurada con FQDN.
Sufijos DNS para convertir los FQDN en direcciones IP