Documentación de productos
Citrix Secure Private Access
2311 - Current Release 2308 Legacy Service
Ver PDF

Configurar NetScaler Gateway

February 16, 2024
Contribución de: 
C

Importante:

Se recomienda crear instantáneas de NetScaler o guardar la configuración de NetScaler antes de aplicar estos cambios.

  1. Descargue el script desde https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html.

    Para crear otro dispositivo NetScaler Gateway, utilice ns_gateway_secure_access.sh. Para actualizar un NetScaler Gateway existente, utilice ns_gateway_secure_access_update.sh.

  2. Cargue estos scripts en la máquina NetScaler. Puede usar la aplicación WinSCP o el comando SCP. Por ejemplo: *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*.

    Nota:

    • Se recomienda utilizar la carpeta /var/tmp de NetScaler para almacenar datos temporales.
    • Asegúrese de que el archivo esté guardado con los finales de línea LF. FreeBSD no admite CRLF.
    • Si ves el error -bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory, significa que los finales de línea son incorrectos. Puede convertir el script con cualquier editor de texto enriquecido, como Notepad++.
  3. Utilice SSH a NetScaler y cambie a shell (escriba ‘shell’ en la CLI de NetScaler).

  4. Haga que el script cargado sea ejecutable. Use el comando chmod para hacerlo.

    chmod +x /var/tmp/ns_gateway_secure_access.sh

  5. Ejecute el script cargado en el shell de NetScaler.

    Configuración de NetScaler 1

  6. Introduzca los parámetros requeridos. Para ver la lista de parámetros, consulte Requisitos previos.

    Para el perfil de autenticación y el certificado SSL, debe proporcionar nombres en NetScaler.

    Se genera un nuevo archivo con varios comandos de NetScaler (el predeterminado es var/tmp/ns_gateway_secure_access).

    Configuración de NetScaler 2

  7. Cambie a la CLI de NetScaler y ejecute los comandos de NetScaler resultantes desde el nuevo archivo con el comando batch. Por ejemplo, batch -fileName /var/tmp/ns_gateway_secure_access -outfile /var/tmp/ns_gateway_secure_access_output

    NetScaler ejecuta los comandos del archivo uno por uno. Si un comando falla, continúa con el siguiente comando.

    Un comando puede fallar si existe un recurso o si uno de los parámetros introducidos en el paso 6 es incorrecto.

  8. Asegúrese de que todos los comandos se hayan completado correctamente.

Nota:

Si se produce un error, NetScaler sigue ejecutando los comandos restantes y crea/actualiza/enlaza parcialmente los recursos. Por lo tanto, si aparece un error inesperado debido a que uno de los parámetros es incorrecto, se recomienda volver a realizar la configuración desde el principio.

Configurar Secure Private Access en un NetScaler Gateway con la configuración existente

También puede usar los scripts en un NetScaler Gateway existente para admitir Secure Private Access. Sin embargo, el script no actualiza lo siguiente:

  • Servidor virtual NetScaler Gateway existente
  • Acciones de sesión y directivas de sesión existentes vinculadas a NetScaler Gateway

Asegúrese de revisar cada comando antes de ejecutarlo y cree copias de seguridad de la configuración de la puerta de enlace.

Configuración del servidor virtual NetScaler Gateway

Al agregar o actualizar el servidor virtual de NetScaler Gateway existente, asegúrese de que los siguientes parámetros estén configurados en los valores definidos.

Nombre de perfil TCP: NSTCP_DEFAULT_XA_XD_Profile Tipo de implementación: ICA_STOREFRONT ICA Only: DESACTIVADO

Ejemplos:

Para agregar un servidor virtual:

`add vpn vserver _SecureAccess_Gateway SSL 192.0.2.210 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF`

Para actualizar un servidor virtual:

`set vpn vserver  _SecureAccess_Gateway -icaOnly OFF`

Para obtener más información sobre los parámetros del servidor virtual, consulte VPN-SessionAction.

Acciones de sesión de NetScaler Gateway

La acción de sesión está enlazada a un servidor virtual de puerta de enlace con directivas de sesión. Al crear una acción de sesión, asegúrese de que los siguientes parámetros estén configurados en los valores definidos.

  • transparentInterception: OFF
  • SSO: ON
  • ssoCredential: PRIMARY
  • useMIP: NS
  • useIIP: OFF
  • icaProxy: OFF
  • wihome: "https://storefront.mydomain.com/Citrix/MyStoreWeb" - Reemplázelo por la URL de almacén real
  • ClientChoices: OFF
  • ntDomain: mydomain.com: se utiliza para el inicio de sesión único
  • defaultAuthorizationAction: PERMITIR
  • authorizationGroup: SecureAccessGroup (asegúrese de crear este grupo, se usa para vincular directivas de autorización específicas de Secure Private Access)
  • clientlessVpnMode: ON
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ENABLED
  • Storefronturl: "https://storefront.mydomain.com"
  • sfGatewayAuthType: dominio

Ejemplos:

Para agregar una acción de sesión:

add vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.mydomain.com/Citrix/MyStoreWeb" -ClientChoices OFF -ntDomain mydomain.com -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.mydomain.com" -sfGatewayAuthType domain

Para actualizar una acción de sesión:

set vpn sessionAction AC_OS_SecureAccess_Gateway -transparentInterception OFF -SSO ON

Para obtener más información sobre los parámetros de acción de la sesión, consulte https://developer-docs.netscaler.com/en-us/adc-command-reference-int/13-1/vpn/vpn-sessionaction.

Compatibilidad con las aplicaciones ICA

NetScaler Gateway creado o actualizado para admitir el complemento Secure Private Access también se puede usar para enumerar e iniciar aplicaciones ICA. En este caso, debe configurar Secure Ticket Authority (STA) y vincularla a NetScaler Gateway. Nota: El servidor STA suele formar parte de la implementación de DDC de Citrix Virtual Apps and Desktops.

Para obtener más información, consulte los siguientes temas:

Soporte para etiquetas de acceso inteligentes

En las siguientes versiones, NetScaler Gateway envía las etiquetas automáticamente. No es necesario utilizar la dirección de devolución de llamada de la puerta de enlace para recuperar las etiquetas de acceso inteligentes.

  • 13.1.48.47 y versiones posteriores
  • 14.1—4.42 y versiones posteriores

Las etiquetas de acceso inteligente se agregan como encabezado en la solicitud del complemento Secure Private Access.

Utilice la opción ns_vpn_enable_spa_onprem o ns_vpn_disable_spa_onprem para habilitar o inhabilitar esta función en estas versiones de NetScaler.

  • Puede alternar con el comando (shell de FreeBSD):

    nsapimgr_wr.sh -ys call=ns_vpn_enable_spa_onprem

  • Habilite el modo cliente SecureBrowse para la configuración de llamadas HTTP ejecutando el siguiente comando (shell de FreeBSD).

    nsapimgr_wr.sh -ys call=toggle_vpn_enable_securebrowse_client_mode

  • Para inhabilitarlo, vuelva a ejecutar el mismo comando.

  • Para comprobar si la opción está activada o desactivada, ejecute el comando nsconmsg.

  • Para configurar etiquetas de acceso inteligente en NetScaler Gateway, consulte Configuración de etiquetas personalizadas (etiquetas SmartAccess) en NetScaler Gateway.

Limitaciones conocidas

  • El NetScaler Gateway existente se puede actualizar con un script, pero puede haber un número infinito de posibles configuraciones de NetScaler que no se pueden cubrir con un solo script.
  • No utilice ICA Proxy en NetScaler Gateway. Esta función está inhabilitada cuando se configura NetScaler Gateway.
  • Si usa NetScaler implementado en la nube, debe realizar algunos cambios en la red. Por ejemplo, permita la comunicación entre NetScaler y otros componentes en determinados puertos.
  • Si habilita el SSO en NetScaler Gateway, asegúrese de que NetScaler se comunique con StoreFront mediante una dirección IP privada. Puede que tenga que agregar un nuevo registro DNS de StoreFront a NetScaler con una dirección IP privada de StoreFront.

Cargar certificado de puerta de enlace pública

Si no se puede acceder a la puerta de enlace pública desde la máquina de acceso privado seguro, debe cargar un certificado de puerta de enlace pública a la base de datos de acceso privado seguro.

Realice los siguientes pasos para cargar un certificado de puerta de enlace pública:

  1. Abra PowerShell o la ventana de línea de comandos con los privilegios de administrador.
  2. Cambie el directorio a la carpeta Admin\ AdminConfigTool en la carpeta de instalación de Secure Private Access (por ejemplo, cd “C:\Program Files\ Citrix\ Citrix Access Security\ Admin\ AdminConfigTool”)

  3. Ejecute este comando:

    \AdminConfigTool.exe /UPLOAD_PUBLIC_GATEWAY_CERTIFICATE <PublicGatewayUrl> <PublicGatewayCertificatePath>

Configurar NetScaler Gateway
February 16, 2024
Contribución de: 
C
February 16, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.