XenMobile y NetScaler Gateway

Al configurar NetScaler Gateway mediante XenMobile, debe establecer el mecanismo de autenticación para el acceso de dispositivos remotos a la red interna. Esta funcionalidad permite a las aplicaciones de un dispositivo móvil acceder a los servidores de empresa ubicados en la intranet. Porque XenMobile crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo hasta NetScaler Gateway.

Si quiere configurar NetScaler Gateway para usarlo con XenMobile Server, debe exportar, desde XenMobile, un script que deberá ejecutar en NetScaler Gateway.

Requisitos previos para utilizar el script de configuración de NetScaler Gateway

Requisitos de NetScaler Gateway

  • NetScaler: como mínimo la versión 11.0, compilación 70.12
  • La dirección IP de NetScaler está configurada y tiene conectividad con el servidor LDAP, a menos que LDAP tenga la carga equilibrada.
  • La dirección IP de subred (SNIP) de NetScaler está configurada, tiene conectividad con los servidores back-end necesarios y tiene acceso de red pública por el puerto 8443/TCP.
  • DNS puede resolver dominios públicos.
  • NetScaler tiene las licencias Platform/Universal o Trial. Para obtener más información, consulte https://support.citrix.com/article/CTX126049.
  • Un certificado SSL de NetScaler Gateway se carga e instala en NetScaler. Para obtener más información, consulte https://support.citrix.com/article/CTX136023.

Requisitos de XenMobile

  • XenMobile Server 10.6 (versión mínima)
  • El servidor LDAP está configurado.

Configurar la autenticación para el acceso de dispositivos remotos a la red interna

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway. Aparecerá la página NetScaler Gateway. En el siguiente ejemplo, existe una instancia de NetScaler Gateway.

    Imagen de la pantalla de configuración de NetScaler Gateway

  3. Configure estos parámetros:

    • Autenticación: Seleccione si quiere habilitar la autenticación. El valor predeterminado es .
    • Entregar certificado de usuario para autenticación: Seleccione si quiere que XenMobile comparta el certificado de autenticación con Secure Hub para que NetScaler Gateway gestione la autenticación de certificados de cliente. El valor predeterminado es No.
    • Proveedor de credenciales: En la lista, haga clic en el proveedor de credenciales que se va a utilizar. Para obtener más información, consulte Proveedores de credenciales.
  4. Haga clic en Guardar.

Agregar una instancia de NetScaler Gateway

Después de guardar los parámetros de autenticación, puede agregar una instancia de NetScaler Gateway a XenMobile.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Se abrirá la página Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway. Aparecerá la página NetScaler Gateway.

  3. Haga clic en Agregar. Aparecerá la página Agregar nuevo NetScaler Gateway.

    Imagen de la pantalla de configuración de NetScaler Gateway

  4. Configure estos parámetros:

    • Nombre: Escriba un nombre para la instancia de NetScaler Gateway.
    • Alias: Puede incluir un nombre como alias de NetScaler Gateway.
    • URL externa: Escriba la URL de acceso público de NetScaler Gateway. Por ejemplo, https://receiver.com.
    • Tipo de inicio de sesión: Haga clic en un tipo de inicio de sesión. Los tipos pueden ser: Solo dominio, Solo token de seguridad, Dominio y token de seguridad, Certificado, Certificado y dominio y Certificado y token de seguridad. Además, los valores predeterminados del campo Requerir código de acceso cambian en función del Tipo de inicio de sesión seleccionado. El valor predeterminado es Solo dominio.

    Si dispone de varios dominios, use Certificado y dominio. Para obtener más información sobre la configuración de la autenticación de varios dominios con XenMobile y NetScaler Gateway, consulte Configurar la autenticación para varios dominios.

    Si utiliza la opción Certificado y token de seguridad, se necesita configuración adicional en NetScaler Gateway para que admita Secure Hub. Para obtener más información, consulte Configuración de XenMobile para la autenticación con certificado y token de seguridad.

    Para obtener más información, consulte Authentication en Deployment Handbook.

    • Requerir código de acceso: Seleccione si quiere que se solicite la contraseña para la autenticación. El valor predeterminado varía según el Tipo de inicio de sesión seleccionado.
    • Definir como predeterminado: Seleccione si quiere usar esta instancia de NetScaler Gateway como predeterminada. El valor predeterminado es No.
    • Exportar script de configuración: Haga clic en el botón para exportar un paquete de configuración que se puede cargar en NetScaler Gateway para configurarlo con XenMobile. Para obtener información, consulte “Configurar un NetScaler Gateway local para usarlo con XenMobile Server” más adelante en este artículo.
    • URL de respuesta e IP virtual: Guarde la configuración antes de agregar estos campos. Para obtener más información, consulte Agregar una URL de respuesta y una IP virtual de VPN de NetScaler Gateway más adelante en este artículo.
  5. Haga clic en Guardar.

    La nueva instancia de NetScaler Gateway se agregará y aparecerá en la tabla. Para modificar o eliminar una instancia, haga clic en el nombre de esta en la lista.

Configurar NetScaler Gateway para usarlo con XenMobile Server

Para configurar un NetScaler Gateway local y usarlo con XenMobile Server, realice los siguientes pasos generales, descritos en este artículo:

  1. Descargue un script y los archivos relacionados desde XenMobile Server. Consulte el archivo Léame suministrado con el script para ver instrucciones detalladas actualizadas.

  2. Compruebe que su entorno cumple los requisitos previos.

  3. Actualice el script para su entorno.

  4. Ejecute el script en NetScaler.

  5. Pruebe la configuración.

El script configura los parámetros de NetScaler Gateway requeridos por XenMobile:

  • Servidores virtuales de NetScaler Gateway necesarios para MAM y MDM
  • Directivas de sesión para los servidores virtuales de NetScaler Gateway
  • Datos de XenMobile Server
  • Acciones y directivas de autenticación para el servidor virtual NetScaler Gateway (NSG). El script describe los parámetros de configuración de LDAP.
  • Directivas y acciones de tráfico de red para el servidor proxy
  • Perfil de acceso sin cliente
  • Registro DNS local estático en NetScaler
  • Otros enlaces: directiva de servicio, certificado de CA

El script no se ocupa de la siguiente configuración:

  • Equilibrio de carga de Exchange
  • Equilibrio de carga de ShareFile
  • Configuración del proxy ICA
  • Descarga de SSL

Para descargar, actualizar y ejecutar el script

  1. Si está agregando una puerta de enlace NetScaler, haga clic en Exportar script de configuración en la página Agregar nuevo NetScaler Gateway.

    Imagen de la pantalla de configuración de NetScaler Gateway

    O bien, si agrega una instancia de NetScaler Gateway y hace clic en Guardar antes de exportar el script, vuelva a Parámetros > NetScaler Gateway, seleccione el dispositivo NetScaler, haga clic en Exportar script de configuración y, a continuación, haga clic en Descargar.

    Imagen de la pantalla de configuración de NetScaler Gateway

    Después de hacer clic en Exportar script de configuración, XenMobile crea un paquete de script .tar.gz. El paquete de script incluye:

    • Un archivo Léame con instrucciones detalladas
    • Un script que contiene los comandos de interfaz de línea de comandos de NetScaler que se usan para configurar los componentes necesarios en NetScaler
    • Un certificado de CA raíz público y el certificado de CA intermedio de XenMobile Server (no se requieren estos certificados para la descarga de SSL en la versión actual)
    • Un script que contiene los comandos de interfaz de línea de comandos de NetScaler necesarios para quitar la configuración de NetScaler
  2. Modifique el script (NSGConfigBundle_CREATESCRIPT.txt) para reemplazar todos los marcadores de posición por los valores correspondientes a su implementación.

    Imagen de un archivo de script de ejemplo

  3. Ejecute el script editado en el bash shell de NetScaler, como se describe en el archivo Léame incluido en el paquete del script. Por ejemplo:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    Imagen del bash shell de NetScaler

    Cuando el script se complete, aparecerán las siguientes líneas.

    Imagen del bash shell de NetScaler

Probar la configuración

  1. Compruebe que el servidor virtual NetScaler Gateway muestra el estado operativo (UP).

    Imagen de la pantalla de configuración de NetScaler VPX

  2. Compruebe que el servidor virtual de equilibrio de carga proxy muestra el estado operativo (UP).

    Imagen de la pantalla de configuración de NetScaler VPX

  3. Abra un explorador Web, conéctese a la URL de NetScaler Gateway e intente autenticarse. Si la autenticación falla, aparece este mensaje: HTTP Status 404 - Not Found

  4. Inscriba un dispositivo y compruebe que obtiene la inscripción en MDM y MAM.

Agregar una URL de respuesta y una IP virtual de VPN de NetScaler Gateway

Después de agregar la instancia de NetScaler Gateway, puede agregar una dirección URL de respuesta y especificar una dirección IP virtual de NetScaler Gateway. Esta configuración es opcional, pero se puede definir para obtener seguridad adicional, especialmente cuando XenMobile Server está en la zona desmilitarizada (DMZ).

  1. En Parámetros > NetScaler Gateway, seleccione el NetScaler Gateway y, a continuación, haga clic en Modificar.

  2. En la tabla, haga clic en Agregar.

  3. Para URL de respuesta, escriba el nombre de dominio completo (FQDN). La URL de respuesta verifica que la solicitud proviene de NetScaler Gateway.

    Compruebe que la URL de respuesta derive en una dirección IP a la que se pueda acceder desde XenMobile Server. La URL de respuesta puede ser una URL externa de NetScaler Gateway u otra URL.

  4. Introduzca la dirección IP virtual de NetScaler Gateway y haga clic en Guardar.

Configurar la autenticación para varios dominios

Si tiene varias instancias de XenMobile Server (por ejemplo, para entornos de prueba, desarrollo y producción), debe configurar NetScaler Gateway manualmente para los entornos adicionales. (Puede usar el asistente de NetScaler para XenMobile solamente una vez).

Configuración de NetScaler Gateway

Para configurar las directivas de autenticación de NetScaler Gateway y una directiva de sesión para un entorno de varios dominios:

  1. En la herramienta de configuración de NetScaler Gateway, en la ficha Configuraci’on, expanda NetScaler Gateway > Directivas > Autenticación.
  2. En el panel de navegación, haga clic en LDAP.
  3. Haga clic para editar el perfil de LDAP. Cambie el atributo Server Logon Name Attribute a userPrincipalName o el atributo que desee utilizar para las búsquedas. Tome nota del atributo que especifique. Deberá proporcionarlo cuando configure las opciones de LDAP en la consola de XenMobile.

    Imagen de la pantalla de configuración de NetScaler Gateway

  4. Repita estos pasos para cada directiva LDAP. Se requiere una directiva LDAP diferente para cada dominio.
  5. En la directiva de sesión vinculada al servidor virtual de NetScaler Gateway, vaya a Modificar perfil de sesiones > Aplicaciones publicadas. Asegúrese de que la opción Single Sign-On Domain esté en blanco.

Configuración de XenMobile Server

Para configurar LDAP para un entorno de XenMobile de varios dominios:

  1. En la consola de XenMobile, vaya a Parámetros > LDAP y agregue o modifique un directorio.

    Imagen de la pantalla de configuración de LDAP de XenMobile

  2. Proporcione la información correspondiente.

    • En Domain Alias, especifique los dominios que se utilizarán para la autenticación de usuarios. Separe los dominios con una coma y no introduzca espacios entre ellos. Por ejemplo: dominio1.com,dominio2.com,dominio3.com

    • Asegúrese de que el campo Buscar usuarios por coincide con el valor de Server Logon Name Attribute especificado en la directiva LDAP de NetScaler Gateway.

    Imagen de la pantalla de configuración de LDAP de XenMobile