Configurar Citrix ADC para los controladores de zonas de almacenamiento

NetScaler, versión 10.1 build 120.1316.e y posterior, incluye un asistente que le solicita información básica sobre el entorno de StorageZones Controller. Luego genera una configuración que:

  • La carga equilibra el tráfico entre StorageZones Controller
  • Proporciona autenticación de usuario para StorageZone Connectors
  • Valida firmas URI para cargas y descargas de ShareFile
  • Termina las conexiones SSL en el dispositivo Citrix ADC

El diagrama muestra estos componentes Citrix ADC creados por la configuración:

  • Servidor virtual de conmutación de contenido Citrix ADC: envía solicitudes de datos de usuario desde ShareFile y desde StorageZone Connectors al servidor virtual de equilibrio de carga de Citrix ADC apropiado.
  • Servidor virtual de equilibrio de carga de Citrix ADC: la carga equilibra el tráfico de los StorageZones Controller y también gestiona lo siguiente:
    • Para las solicitudes de datos del almacenamiento de datos privado, un servidor virtual de equilibrio de carga realiza la validación de hash, para garantizar que las firmas URI válidas estén presentes en las solicitudes entrantes.

    • Para las solicitudes de datos de StorageZone Connectors, un servidor virtual de equilibrio de carga realiza la autenticación del usuario. Detiene una solicitud de usuario en Citrix ADC, autentica al usuario y, a continuación, realiza el inicio de sesión único del usuario en el StorageZones Controller.

    Aunque la autenticación en Citrix ADC es opcional, es una práctica recomendada.

A partir del StorageZones Controller 4.0, los administradores pueden limitar las conexiones entrantes a los StorageZones Controller a TLS v1.2. Si los protocolos anteriores a TLS v1.2 están inhabilitados para el tráfico entrante al Controller de zona de almacenamiento, todos los componentes de software cliente que interactúan con la zona de almacenamiento también deben admitir TLS v1.2. Haga clic aquí para obtener información adicional e instrucciones de configuración.

Nota:

Para configurar las versiones de NetScaler anteriores a la versión 10.1 120.1316.e, consulte Configurar Citrix ADC manualmente.

La configuración del asistente Citrix ADC para ShareFile no controla la configuración necesaria para usar Citrix Endpoint Management como proveedor de identidad SAML para ShareFile. Para obtener más información, haga clic aquí.

Requisitos previos

  • Una configuración de Citrix ADC en funcionamiento
  • Certificado de seguridad: si aún no hay uno disponible en Citrix ADC, el asistente le permite instalar uno en el servidor virtual de conmutación de contenido.
  • Información sobrela configuración de Active Directory (Citrix ADC for ShareFile Wizard debe completarse con la licencia Citrix NetScaler Enterprise Edition):
    • Dirección IP y puerto del servidor de Active Directory
    • Nombre de dominio de Active Directory
    • DN base LDAP donde se almacenan los usuarios
    • Nombre de cuenta y contraseña de una cuenta de administrador que tiene permisos para comunicarse con Active Directory

Configurar Citrix ADC para StorageZones Controller

En los pasos siguientes se describe cómo utilizar el asistente Citrix ADC para ShareFile.

  1. Inicie sesión en el dispositivo Citrix ADC y, en la ficha Configuración, vaya a Administración del tráfico.

  2. En Citrix ShareFile, haga clic en Configurar Citrix ADC para ShareFile.

    También puede acceder al asistente de la siguiente manera: En Movilidad, haga clic en Configurar Endpoint Management, ShareFile y Citrix Gateway.

  3. Proporcione la información solicitada en el asistente.

Opción Descripción
Nombre Nombre para mostrar del servidor virtual de conmutación de contenido.
Dirección IP Dirección IP externa (pública o DMZ) que se utilizará para el servidor virtual de conmutación de contenido. Si utiliza una dirección IP DMZ, debe definir una asignación de traducción de direcciones de red (NAT) desde su dirección de firewall externo a esta dirección IP DMZ.
Datos de ShareFile Esta opción está habilitada, lo que indica que utilizará la conexión Citrix ADC para las zonas de almacenamiento de datos de ShareFile.
StorageZone Connectors para el recurso compartido de archivos de red/SharePoint Si utiliza conectores y desea realizar la autenticación de usuario en Citrix ADC, active la casilla de verificación.
Certificado Elija un certificado o instale uno para el servidor virtual de conmutación de contenido. Si decide instalar un certificado, se le pedirá que cargue el certificado y la clave privada. Para las zonas estándar o para las zonas restringidas con un nombre de host externo, los certificados deben ser de confianza pública y no autofirmados.
Dirección IP del StorageZones Controller Las direcciones IP internas de uno o más servidores de StorageZones Controller. Estas direcciones IP definen los servidores de StorageZones Controller como entidades dentro de Citrix ADC. Si ya ha agregado los servidores a Citrix ADC, haga clic en Agregar desde existente y seleccione los servidores. Para utilizar Citrix ADC para el equilibrio de carga, introduzca una dirección IP interna para cada servidor StorageZones Controller. Para usar Citrix ADC solo para SSL y autenticación, introduzca una sola dirección IP.
Puerto y Protocolo Puerto y protocolo utilizados para la comunicación desde Citrix ADC a los StorageZones Controller.
La dirección IP del servidor virtual de autenticación, autorización y auditoría (Citrix ADC AAA) Dirección IP interna no utilizada para el servidor virtual Citrix ADC AAA. Citrix ADC crea este servidor virtual para su propio uso. El servidor no requiere acceso externo.
Dirección IP y puerto del servidor LDAP La dirección IP y el puerto del servidor de Active Directory. Si ya ha agregado un servidor LDAP a Citrix ADC, haga clic en la ficha Elegir LDAP y elija el servidor.
Tiempo de espera Número máximo de segundos que el Citrix ADC espera una respuesta del servidor LDAP. El valor predeterminado es 3 segundos. El valor mínimo es 1 segundo.
Dominio de inicio de sesión único Nombre de dominio de Active Directory.
DN base (ubicación de los usuarios) Nombre distinguido de la base LDAP (DN) donde se almacenan los usuarios. Especifique el DN utilizando el formulario general: CN=Users, dc=domain, DC=Net
DN de enlace del administrador y contraseña Cuenta de administrador que tiene permisos para comunicarse con Active Directory.
Nombre de inicio de sesión Atributo LDAP, utilizado por Citrix ADC para determinar si los usuarios inician sesión con su nombre de usuario o dirección de correo electrónico. El valor predeterminado es SAMAccountName, que permite a los usuarios iniciar sesión con sus nombres de usuario. Para solicitar a los usuarios que introduzcan su dirección de correo electrónico para iniciar sesión, cambie este campo a UserPrincipalName.

Configurar Citrix ADC para zonas restringidas o acceso web a conectores

Para admitir zonas restringidas o acceso web a StorageZone Connectors, debe realizar una configuración adicional de Citrix ADC después de completar el asistente Citrix ADC para ShareFile.

  • Cree y configure un tercer servidor virtual de equilibrio de carga de Citrix ADC, que se utiliza para garantizar que los clientes ShareFile envíen credenciales solo cuando hayan iniciado sesión en un dominio ShareFile de confianza.

    El StorageZones Controller utiliza el estándar Cross-Origin Resource Sharing (CORS) para proporcionar la seguridad necesaria para las solicitudes a zonas restringidas y desde la interfaz web ShareFile a los StorageZone Connectors. CORS utiliza encabezados HTTP para permitir que el cliente y el servidor se conozcan lo suficiente entre sí para determinar si una solicitud o respuesta debe tener éxito.

    Como se describe en los pasos siguientes, configurará el servidor virtual adicional para permitir el acceso anónimo de los clientes para el verbo HTTP OPTIONS. La solicitud OPTIONS pasa a través del StorageZones Controller sin ser autenticado y sin llamadas HTTPS para validar la firma. La comprobación previa de CORS valida la confianza del dominio antes de enviar credenciales.

    No es necesario comprender CORS para realizar la configuración. Sin embargo, para obtener más información acerca de CORS, consultehttp://enable-cors.org/.

    El uso de Internet Explorer para el acceso web a conectores en zonas restringidas requiere la configuración de Internet Explorer.

  • Para admitir el acceso web a StorageZone Connectors, agregue una ruta (/ProxyService) a la directiva de conmutación de contenido utilizada para el tráfico a /cifs y /sp.

Realice los siguientes pasos en Citrix ADC después de completar el asistente Citrix ADC para ShareFile.

  1. Cree un tercer servidor virtual de equilibrio de carga:
    1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.

    2. Haga clic en Agregar.

    3. Especifique los siguientes valores:

      Opción Valor
      Nombre Un nombre de directiva, como SF_ZONE_OPTIONS
      Protocolo SSL
      Tipo de dirección IP No direccionable
    4. Haga clic para crear el servidor virtual.

    5. Para enlazar los mismos servicios que los servidores virtuales de equilibrio de carga creados por el asistente: en la pantalla Servidor virtual de equilibrio de carga, desde Servicio, haga clic en > y, a continuación, haga clic en Guardar.

    6. Agregue un certificado al servidor virtual.

  2. Cree una directiva para el servidor virtual que acaba de agregar:
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. En el panel de detalles, haga clic en Agregar y, a continuación, especifique los valores Nombre, Servidor virtual LB de destino y Expresión. Haga clic en Editor de expresiones y, a continuación, cree esta expresión. Seleccione HTTP. Seleccione REQ. Seleccione MÉTODO. Seleccione EQ (String) y escriba OPTIONS. La expresión debe decir lo siguiente:HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Haga clic en Done.

    4. Haga clic en Crear.

  3. Enlazar la política que acaba de crear al nuevo servidor virtual de equilibrio de carga:
    1. Vaya a Administración del tráfico > Cambio de contenido > Servidores virtuales.

    2. En la lista, haga clic en el servidor virtual y haga clic en Modificar.

    3. Vaya a la sección de Enlace de directivas de conmutación de contenido y haga clic en 2 Directivas de conmutación de contenido.

    4. Haga clic en Agregar enlace.

    5. Seleccione la nueva directiva de contenido y seleccione el servidor virtual de equilibrio de carga de destino.

    6. Haga clic en Bind.

    7. Haga clic en Modificar enlace y actualice la prioridad. Cambie la prioridad de la nueva directiva para que tenga el número más bajo de las tres directivas.

      La política con el valor más bajo tiene la prioridad más alta, por lo que se maneja primero.

  4. Actualice la directiva utilizada para el tráfico a StorageZone Connectors (_SF_CIF_SP_CSPOL):
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. Seleccione la directiva _SF_CIF_SP_CSPOL.

    3. Agregue lo siguiente a la expresión de política:

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      La expresión de política completa debe ser la siguiente:

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. Actualizar la directiva utilizada para el tráfico a las zonas de almacenamiento de datos de ShareFile (_SF_SZ_CSPOL):
    1. Vaya a Administración del tráfico > Cambio de contenido > Directivas.

    2. Seleccione la directiva _SF_SZ_CSPOL.

    3. Agregue lo siguiente a la expresión de política:

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      La expresión de política completa debe ser la siguiente:

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

Configurar Citrix ADC para compartir solo la vista

Para admitir el uso compartido de solo lectura, los usuarios deben tener acceso a Microsoft Office Web Apps Server (OWA). Si su servidor OWA es accesible externamente en su propia dirección, no se debe requerir ninguna configuración adicional de Citrix ADC para el StorageZones Controller.

Si desea combinar el StorageZones Controller y Office Web App Server en una única dirección externa mediante directivas de conmutación de contenido Citrix ADC, debe realizar una configuración adicional de Citrix ADC después de completar el asistente Citrix ADC para ShareFile. La configuración de Citrix ADC es necesaria para garantizar que el tráfico se enrute correctamente al servidor OWA accesible externamente.

Una vez configuradas las siguientes reglas de Citrix ADC, los administradores pueden reutilizar la dirección externa existente de su zona de StorageZones Controller, eliminando la necesidad de crear una dirección externa adicional para OWA.

Para crear y configurar un servidor virtual de equilibrio de carga adicional Citrix ADC:

  1. Cree un servicio de equilibrio de carga adicional.
    • Desplácese a Gestión del Tráfico > Equilibrio de Carga > Servicios.
    • Haga clic en Agregar.
    • Introduzca la información necesaria para crear un servicio que corresponda a sus servidores OWA. Haga clic en OK.
  2. Cree un servidor virtual de equilibrio de carga adicional:
    • Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
    • Haga clic en Agregar.
    • Especifique los siguientes valores:

      Opción Valor
      Nombre Un nombre de directiva, como SF_OWA_vServer
      Protocolo SSL
      Tipo de dirección IP No direccionable
    • Haga clic para crear el servidor virtual.
    • Para enlazar el servidor virtual al servicio OWA que creó en el paso anterior, haga clic en Enlace de servicio virtual de equilibrio de carga > Seleccionar servicio. Haga clic en la casilla de verificación situada junto al servicio que creó en el paso anterior.
    • Haga clic en Seleccionar.
    • Haga clic en Bind.
  3. Cree una nueva directiva utilizada para enrutar el tráfico a su servidor OWA.
    • Vaya a Administración del tráfico > Cambio de contenido > Directivas.
    • Seleccione Agregar.
    • Asigne un nombre a la directiva.
    • Agregue la siguiente expresión:
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        La expresión de política completa debe ser la siguiente:

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. Actualizar la prioridad de la nueva directiva en el entorno virtual de equilibrio de carga
    • Vaya a Administración del tráfico > Cambio de contenido > Servidores virtuales.
    • Haga clic en el servidor virtual de equilibrio de carga y, a continuación, seleccione Directivas de conmutación de contenido.
    • Cambie la prioridad de las directivas para que la directiva (Ejemplo) “_SF_OWA” sea la tercera prioridad.

      Prioridad Nombre de la directiva
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Haga clic en Cerrar. Haga clic en Listo

Crear un monitor para el servicio de StorageZones Controller

De forma predeterminada, Citrix ADC hace ping al servidor del StorageZones Controller para determinar si está conectado. Sin embargo, incluso si el Controller está en línea, es posible que no pueda enviar mensajes de latido al sitio web de ShareFile. En ese caso, Citrix ADC enviará tráfico al StorageZones Controller aunque no se comunique con ShareFile.

Para comprobar la conectividad saliente del StorageZones Controller a ShareFile, puede crear un monitor que compruebe heartbeat.aspx y enlazarlo al servicio Citrix ADC para cada StorageZones Controller.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_SVC es el servicio Citrix ADC que corresponde a un StorageZones Controller. El asistente Citrix ADC para ShareFile crea automáticamente ese nombre de servicio. El nombre del servicio incluye la dirección IP del Controller, como _SF_SVC_IP-Address.

-secure YES es necesario si el servicio está escuchando en el puerto 443.

Verificar la configuración de Citrix ADC

Después de completar el asistente, vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales para ver el estado de los servidores virtuales de equilibrio de carga creados por el asistente.

Ver el rendimiento de las solicitudes ShareFile a través de Citrix ADC

Las estadísticas de rendimiento se pueden encontrar en el menú Panel.