Configuración de NetScaler Gateway para aplicaciones Web/SaaS

Para crear NetScaler Gateway para aplicaciones Web/SaaS, lleve a cabo los siguientes pasos:

  1. Descargue el script *ns_gateway_secure_access.sh*. más reciente desde https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html.

  2. Cargue estos scripts en la máquina NetScaler. Puede usar la aplicación WinSCP o el comando SCP. Por ejemplo, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*.

    Por ejemplo, *scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*

    Nota:

    • Se recomienda utilizar la carpeta /var/tmp de NetScaler para almacenar datos temporales.
    • Asegúrese de que el archivo esté guardado con los finales de línea LF. FreeBSD no admite CRLF.
    • Si ve el error -bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory, significa que los finales de línea son incorrectos. Puede convertir el script con cualquier editor de texto enriquecido, como Notepad++.
  3. Utilice SSH a NetScaler y cambie a shell (escriba ‘shell’ en la CLI de NetScaler).
  4. Haga que el script cargado sea ejecutable. Use el comando chmod para hacerlo.

    chmod +x /var/tmp/ns_gateway_secure_access.sh

  5. Ejecute el script cargado en el shell de NetScaler.

    Configuración de NetScaler 1

  6. Introduzca N para el parámetro Habilitar la compatibilidad con el tipo de aplicación TCP/UDP si tiene la intención de configurar la puerta de enlace solo para aplicaciones web y SaaS.

  7. Introduzca los parámetros requeridos. Para ver la lista de parámetros, consulte Requisitos previos.

    Para el perfil de autenticación y el certificado SSL, debe proporcionar los nombres de los recursos existentes en NetScaler.

    Se genera un nuevo archivo con varios comandos de NetScaler (el predeterminado es var/tmp/ns_gateway_secure_access).

    Nota:

    Durante la ejecución del script, se comprueba la compatibilidad de los complementos NetScaler y Secure Private Access. Si NetScaler admite el plug-in Secure Private Access, el script permite que las funciones de NetScaler admitan el envío de mejoras por etiquetas de acceso inteligentes y la redirección a una nueva página de denegación cuando el acceso a un recurso está restringido. Para obtener más información sobre las etiquetas inteligentes, consulte Compatibilidad con etiquetas de acceso inteligentes.

    Las funciones del plug-in Secure Private Access que persisten en el archivo /nsconfig/rc.netscaler permiten mantenerlas habilitadas después de reiniciar NetScaler.

    Configuración de NetScaler 2

  8. Cambie a la CLI de NetScaler y ejecute los comandos de NetScaler resultantes desde el nuevo archivo con el comando batch. Por ejemplo:

    batch -fileName /var/tmp/ns_gateway_secure_access -outfile

    /var/tmp/ns_gateway_secure_access_output

    NetScaler ejecuta los comandos del archivo uno por uno. Si un comando falla, continúa con el siguiente comando.

    Un comando puede fallar si existe un recurso o si uno de los parámetros introducidos en el paso 6 es incorrecto.

  9. Asegúrese de que todos los comandos se hayan completado correctamente.

Nota:

Si se produce un error, NetScaler sigue ejecutando los comandos restantes y crea/actualiza/enlaza parcialmente los recursos. Por lo tanto, si aparece un error inesperado debido a que uno de los parámetros es incorrecto, se recomienda volver a realizar la configuración desde el principio.

Actualizar la configuración actual de NetScaler Gateway para aplicaciones web y SaaS

Puede usar el script ns_gateway_secure_access_update.shen un NetScaler Gateway existente para actualizar la configuración de las aplicaciones web y SaaS. Sin embargo, si desea actualizar la configuración existente (NetScaler Gateway 14.1—4.42 y versiones posteriores) manualmente, utilice los comandos de ejemplo para actualizar una configuración de NetScaler Gateway existente. Además, debe actualizar el servidor virtual de NetScaler Gateway y los parámetros de las acciones de sesión.

Nota:

A partir de NetScaler Gateway 14.1—25.56 y versiones posteriores, puede habilitar el plug-in Secure Private Access en NetScaler Gateway mediante la CLI o la GUI de NetScaler Gateway. Para obtener más información, consulte Habilitar el plug-in Secure Private Access en NetScaler Gateway.

También puede usar los scripts en un NetScaler Gateway existente para admitir Secure Private Access. Sin embargo, el script no actualiza lo siguiente:

  • Servidor virtual NetScaler Gateway existente
  • Acciones de sesión y directivas de sesión existentes vinculadas a NetScaler Gateway

Asegúrese de revisar cada comando antes de ejecutarlo y cree copias de seguridad de la configuración de la puerta de enlace.

Parámetros del servidor virtual NetScaler Gateway

Al agregar o actualizar el servidor virtual de NetScaler Gateway existente, asegúrese de que los siguientes parámetros estén configurados en los valores definidos. Para ver ejemplos de comandos, consulte Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente.

Agregue un servidor virtual:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • DeploymentType: ICA_STOREFRONT (disponible solo con el comando add vpn vserver)
  • icaOnly: DESACTIVADO

Actualizar un servidor virtual:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • icaOnly: DESACTIVADO

Configuración de las acciones de sesión de NetScaler Gateway

La acción de sesión está enlazada a un servidor virtual de puerta de enlace con directivas de sesión. Al crear o actualizar una acción de sesión, asegúrese de que los siguientes parámetros estén establecidos en los valores definidos. Para ver ejemplos de comandos, consulte Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente.

  • transparentInterception: OFF
  • SSO: ON
  • ssoCredential: PRIMARY
  • useMIP: NS
  • useIIP: OFF
  • icaProxy: OFF
  • wihome: "https://storefront.mydomain.com/Citrix/MyStoreWeb" - reemplazar con la URL real del almacén. La ruta al almacén /Citrix/MyStoreWeb es opcional.
  • ClientChoices: OFF
  • ntDomain: mydomain.com: se usa para el inicio de sesión único (opcional)
  • defaultAuthorizationAction: PERMITIR
  • authorizationGroup: SecureAccessGroup (asegúrese de crear este grupo, se usa para vincular directivas de autorización específicas de Secure Private Access)
  • clientlessVpnMode: ON
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ENABLED
  • Storefronturl: "https://storefront.mydomain.com"
  • sfGatewayAuthType: dominio

Ejemplos de comandos para actualizar una configuración de NetScaler Gateway existente

Para agregar o actualizar un servidor virtual:

  • add vpn vserver SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF
  • set vpn vserver SecureAccess_Gateway -icaOnly OFF

Para agregar una acción de sesión:

  • add vpn sessionAction AC_OSspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
  • add vpn sessionAction AC_WBspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain

Para agregar una directiva de sesión:

  • add vpn sessionPolicy PL_OSspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")" AC_OSspaonprem
  • add vpn sessionPolicy PL_WBspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\").NOT" AC_WBspaonprem

Para vincular la directiva de sesión al servidor virtual VPN:

  • bind vpn vserver SecureAccess_Gateway -policy PL_OSspaonprem -priority 111 -gotoPriorityExpression NEXT -type REQUEST
  • bind vpn vserver SecureAccess_Gateway -policy PL_WBspaonprem -priority 110 -gotoPriorityExpression NEXT -type REQUEST

Para obtener más información sobre los parámetros de acción de la sesión, consulte vpn-sessionAction.

Información adicional

Para obtener información adicional sobre NetScaler Gateway para Secure Private Access, consulte los siguientes temas:

Configuración de NetScaler Gateway para aplicaciones Web/SaaS