Product Documentation

Integración con NetScaler Gateway y NetScaler

21 de febrero de 2018

Cuando se integra en XenMobile, NetScaler Gateway ofrece un mecanismo de autenticación para el acceso de dispositivos MAM remotos a la red interna. Esta integración permite a XenMobile Apps conectarse a los servidores de empresa ubicados en la intranet a través de una red micro VPN creada desde las aplicaciones del dispositivo a NetScaler Gateway.

El equilibrio de carga de NetScaler es obligatorio para todos los modos de dispositivo de XenMobile si dispone de varios servidores XenMobile o si el servidor XenMobile está dentro de la red DMZ o la red interna (y, por lo tanto, el tráfico va desde los dispositivos a NetScaler y, a continuación, a XenMobile).

Requisitos de integración para los modos de XenMobile Server

Los requisitos de integración de NetScaler Gateway y NetScaler difieren en función de los modos de XenMobile Server: ENT, MDM y MAM.

MAM

Con XenMobile Server en modo MAM:

  • Se requiere NetScaler Gateway. NetScaler Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, ofrece un respaldo sólido a la autenticación de varios factores.
  • Se recomienda NetScaler para el equilibrio de carga.

MDM

Con XenMobile Server en modo MDM:

  • No se requiere NetScaler Gateway. Para implementaciones MDM, Citrix recomienda NetScaler Gateway para la VPN de dispositivos móviles.
  • Se recomienda usar NetScaler para la seguridad y el equilibrio de carga.

    Citrix recomienda implementar un dispositivo NetScaler delante del servidor XenMobile, por motivos de seguridad y equilibrio de carga. Para implementaciones estándares con el servidor XenMobile en la red perimetral, Citrix recomienda el asistente de NetScaler para XenMobile junto con el equilibrio de carga del servidor XenMobile en el modo Puente SSL. También puede plantearse la descarga de SSL para las implementaciones donde el servidor XenMobile reside en la red interna, en lugar de la red perimetral, y/o donde la seguridad requiera estas configuraciones.

    Aunque nada le impide exponer el servidor XenMobile a Internet a través de NAT, proxys o equilibradores de carga de terceros existentes para MDM, siempre que el tráfico SSL finalice en el servidor XenMobile (Puente SSL), Citrix no recomienda ese enfoque debido al riesgo potencial de seguridad.

    Para entornos de alta seguridad, NetScaler con la configuración predeterminada de XenMobile debería cumplir o superar los requisitos de seguridad.

    Para entornos MDM con las necesidades de seguridad más altas, la finalización de SSL en NetScaler ofrece la posibilidad de inspeccionar el tráfico en el perímetro, al mismo tiempo que se mantiene el cifrado SSL de punto a punto. Para obtener más información, consulte Requisitos de seguridad. NetScaler ofrece opciones para definir el cifrado SSL o TLS y el hardware SSL FIPS NetScaler.

ENT (MDM + MAM)

Con XenMobile Server en modo ENT:

  • Se requiere NetScaler Gateway. NetScaler Gateway proporciona una ruta de red micro VPN para acceder a todos los recursos de empresa. Asimismo, ofrece un respaldo sólido a la autenticación de varios factores.

    Cuando el modo de servidor de XenMobile es ENT y un usuario abandona la inscripción MDM, los dispositivos se inscriben utilizando el FQDN de NetScaler Gateway.

  • Se recomienda NetScaler para el equilibrio de carga. Para obtener más información, consulte el apartado de NetScaler en “MDM”.

Importante:

Tenga en cuenta que, para la inscripción inicial, el tráfico desde los dispositivos de usuario se autentica en el servidor XenMobile tanto si configura los servidores virtuales de equilibrio de carga en Descarga de SSL como si los configura en Puente SSL.

Decisiones en cuanto a diseño

En las secciones siguientes, se resumen las diversas decisiones de diseño a considerar durante la planificación de una integración de NetScaler Gateway en XenMobile.

Licencia y edición

Detalles de la decisión:

  • ¿Qué edición de NetScaler va a usar?
  • ¿Ha aplicado licencias de plataforma a NetScaler?
  • Si necesita la funcionalidad MAM, ¿ha aplicado las licencias NetScaler Universal Access?

Guía para el diseño:

Compruebe que aplica las licencias adecuadas a NetScaler Gateway. Si usa XenMobile NetScaler Connector, podría ser necesario el almacenamiento en caché integrado; por lo tanto, debe comprobar que esté disponible la edición de NetScaler correspondiente.

A continuación, dispone de los requisitos de licencias para habilitar las funciones de NetScaler.

  • El equilibrio de carga MDM de XenMobile requiere, como mínimo, una licencia de plataforma NetScaler Standard.
  • El equilibrio de carga de ShareFile con StorageZones Controller requiere, como mínimo, una licencia de plataforma NetScaler Standard.
  • La edición XenMobile Enterprise incluye las licencias NetScaler Gateway Universal necesarias para MAM.
  • El equilibrio de carga de Exchange requiere una licencia de plataforma NetScaler Platinum o una licencia de plataforma NetScaler Enterprise, además de una licencia de caché integrada (Integrated Caching).

Versión de NetScaler para XenMobile

Detalles de la decisión:

  • ¿Qué versión ejecuta NetScaler en el entorno de XenMobile?
  • ¿Se necesitará una instancia independiente?

Guía para el diseño:

Citrix recomienda usar una instancia dedicada de NetScaler para el servidor virtual de NetScaler Gateway. Compruebe que se use la versión y la compilación de NetScaler mínimas requeridas en el entorno de XenMobile. Por lo general, es mejor utilizar la versión y la compilación más recientes de NetScaler compatibles con XenMobile. Si actualizar NetScaler Gateway afectaría sus entornos existentes, podría interesarle tener una segunda instancia dedicada para XenMobile.

Si va a compartir una instancia de NetScaler entre XenMobile y otras aplicaciones que usan conexiones de red VPN, compruebe que dispone de licencias VPN suficientes para ambos. Tenga en cuenta que los entornos de prueba y producción de XenMobile no pueden compartir una instancia de NetScaler.

Certificados

Detalles de la decisión:

  • ¿Necesita mayor grado de seguridad para las inscripciones y el acceso al entorno de XenMobile?
  • ¿LDAP no es una opción?

Guía para el diseño:

En XenMobile, la autenticación predeterminada es el nombre de usuario y la contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de XenMobile, considere la posibilidad de usar la autenticación basada en certificados. Puede usar certificados con LDAP para la autenticación de dos factores, lo que proporciona un grado mayor de seguridad sin necesidad de un servidor RSA.

Si no permite LDAP y usa tarjetas inteligentes o métodos similares, la configuración de los certificados permite representar una tarjeta inteligente en XenMobile. Los usuarios se inscriben mediante un PIN único que genera XenMobile para ellos. Una vez que el usuario tiene acceso, XenMobile crea e implementa el certificado utilizado a partir de entonces para autenticarse en el entorno de XenMobile.

XenMobile respalda la lista de revocación de certificados (CRL) solo para una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza NetScaler para administrar la revocación. Al configurar la autenticación basada en certificados de cliente, tenga en cuenta si es necesario configurar el parámetro de lista de revocación de certificados (CRL), Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse usando un certificado existente en el dispositivo; XenMobile vuelve a emitir un certificado nuevo, porque no impide a un usuario generar un certificado de usuario si se revoca otro. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Topología de red

Detalles de la decisión:

  • ¿Qué topología de NetScaler se necesita?

Guía para el diseño:

Citrix recomienda usar una instancia de NetScaler para XenMobile. Sin embargo, si no quiere tráfico desde la red interna a la red perimetral, puede configurar una instancia adicional de NetScaler, de modo que usaría una instancia de NetScaler para usuarios internos y otra para usuarios externos. Tenga en cuenta que, cuando los usuarios cambien entre las redes interna y externa, el almacenamiento en caché de los registros DNS puede aumentar las solicitudes de inicio de sesión en Secure Hub.

Tenga en cuenta que XenMobile actualmente no respalda el doble salto de NetScaler Gateway.

VIP dedicadas o compartidas de NetScaler Gateway

Detalles de la decisión:

  • ¿Usa NetScaler Gateway para XenApp y XenDesktop?
  • ¿Utilizará XenMobile el mismo NetScaler Gateway que XenApp y XenDesktop?
  • ¿Cuáles son los requisitos de autenticación para ambos flujos de tráfico?

Guía para el diseño:

Cuando el entorno de Citrix incluye XenMobile con XenApp y XenDesktop, puede usar la misma instancia de NetScaler y el mismo servidor virtual de NetScaler Gateway para ambos. Debido a posibles conflictos de versiones y al aislamiento del entorno, se recomienda una instancia de NetScaler dedicada y NetScaler Gateway para cada entorno de XenMobile. Sin embargo, si una instancia de NetScaler dedicada no es una opción, Citrix recomienda usar un servidor virtual de NetScaler Gateway dedicado, en lugar de un servidor virtual compartido entre XenMobile, XenApp y XenDesktop. De esta manera, se separan los flujos de tráfico para Secure Hub.

Si usa la autenticación LDAP, Receiver y Secure Hub pueden autenticarse en el mismo NetScaler Gateway sin problemas. Si usa la autenticación basada en certificados, XenMobile envía un certificado al contenedor MDX y Secure Hub utiliza ese certificado para autenticarse en NetScaler Gateway. Receiver es independiente de Secure Hub y no puede usar el mismo certificado que Secure Hub para autenticarse en el mismo NetScaler Gateway.

Puede plantearse esta solución temporal, que permite usar un mismo FQDN para dos direcciones IP virtuales de NetScaler Gateway. Puede crear dos direcciones IP virtuales de NetScaler Gateway con la misma dirección IP: la de Secure Hub utilizará el puerto 443 estándar y la de XenApp y XenDesktop (que implementa Receiver) utilizará el puerto 444. Así, un solo nombre de dominio completo se resuelve en la misma dirección IP. Para esta solución temporal, quizá deba configurar StoreFront para devolver un archivo ICA para el puerto 444, en lugar de la opción predeterminada, el puerto 443. Esta solución temporal no requiere que los usuarios introduzcan ningún número de puerto.

Tiempos de espera de NetScaler Gateway

Detalles de la decisión:

  • ¿Cómo quiere configurar los tiempos de espera de NetScaler Gateway para el tráfico de XenMobile?

Guía para el diseño:

NetScaler Gateway contiene los parámetros Session time-out (Tiempo de espera de la sesión) y Forced time-out (Tiempo de espera forzado). Para obtener más información, consulte Configuraciones recomendadas. Tenga en cuenta que existen valores de tiempo de espera diferentes para los servicios en segundo plano, NetScaler y para el acceso a aplicaciones sin conexión.

Dirección IP del equilibrador de carga de XenMobile para MAM

Detalles de la decisión:

  • ¿Usa direcciones IP internas o externas para las VIP?

Guía para el diseño:

En entornos donde puede usar direcciones IP públicas para las direcciones IP virtuales de NetScaler Gateway, asignar la dirección y la VIP de equilibrio de carga de XenMobile de esta manera provocará fallos de inscripción.

Compruebe que la dirección IP virtual de equilibrio de carga usa una IP interna para evitar errores de inscripción en este caso. Esa dirección IP virtual debe seguir el estándar RFC 1918 para direcciones IP privadas. Si usa una dirección IP no privada para este servidor virtual, NetScaler no podrá comunicarse correctamente con el servidor XenMobile durante el proceso de autenticación. Para obtener más detalles, consulte http://support.citrix.com/article/CTX200430.

Mecanismo de equilibrio de carga para MDM

Detalles de la decisión:

  • ¿Cómo equilibrará NetScaler Gateway la carga de los servidores XenMobile?

Guía para el diseño:

Use el puente SSL cuando XenMobile está en la red perimetral. Use la descarga de SSL, si es necesaria para cumplir las normas de seguridad, cuando el servidor XenMobile se encuentre en la red interna.

  • Cuando equilibra la carga del servidor XenMobile con direcciones IP virtuales de NetScaler en el modo Puente SSL, el tráfico de Internet va directamente al servidor XenMobile, donde se terminan las conexiones. El modo Puente SSL es el más simple de configurar. También son más fáciles de solucionar los problemas que causa.
  • Cuando equilibra la carga del servidor XenMobile con direcciones IP virtuales de NetScaler en el modo Descarga de SSL, el tráfico de Internet va directamente a NetScaler, donde se terminan las conexiones. A continuación, NetScaler establece sesiones nuevas desde NetScaler al servidor XenMobile. El modo Descarga de SSL implica una complejidad adicional durante la configuración y la solución de problemas.

Puerto de servicio para el equilibrio de carga MDM con Descarga de SSL

Detalles de la decisión:

  • Si va a utilizar el modo Descarga de SSL para el equilibrio de carga, ¿qué puerto utilizará el servicio back-end?

Guía para el diseño:

Para la descarga de SSL, seleccione el puerto 80 o 8443 como se muestra a continuación:

  • Utilice el puerto 80 para el tráfico al servidor XenMobile, para una descarga efectiva.
  • El cifrado de extremo a extremo, es decir, volver a cifrar el tráfico, no se admite. Para obtener más información, consulte el artículo de asistencia de Citrix Supported Architectures Between NetScaler and XenMobile Server.

Nombre de dominio completo para la inscripción

Detalles de la decisión:

  • ¿Cuál será el nombre FQDN para la inscripción y la instancia de XenMobile o la VIP de equilibrio de carga?

Guía para el diseño:

La configuración inicial del primer servidor XenMobile en un clúster requiere que escriba el FQDN del servidor XenMobile. Ese FQDN debe coincidir con su URL VIP de MDM y su URL VIP interna de equilibrio de carga para MAM. (Un registro interno de dirección de NetScaler resuelve la VIP de equilibrio de carga para MAM.) Para obtener más información, consulte “FQDN de inscripción para cada tipo de implementación” más adelante en este artículo.

Además, debe usar el mismo certificado que el agente de escucha SSL de XenMobile, la VIP interna de equilibrio de carga para MAM y la VIP para MDM (si usa la descarga de SSL para la VIP de MDM).

Importante:

Después de configurar el FQDN de inscripción, no puede modificarlo. Un nuevo FQDN de inscripción requerirá una nueva base de datos de SQL Server y la reconstrucción del servidor XenMobile.

Tráfico de Secure Web

Detalles de la decisión:

  • ¿Restringirá Secure Web a la navegación Web interna solamente?
  • ¿Habilitará Secure Web para la navegación Web interna y externa?

Guía para el diseño:

Si va a utilizar Secure Web solo para la navegación Web interna, la configuración de NetScaler Gateway es sencilla, siempre que Secure Web pueda llegar a todos los sitios internos de manera predeterminada; es posible que deba configurar cortafuegos y servidores proxy.

Si va a utilizar Secure Web para la navegación interna y externa, debe habilitar la dirección IP de subred (SNIP) para tener acceso saliente a Internet. Debido a que el departamento de TI visualiza generalmente los dispositivos inscritos (usando el contenedor MDX) como una extensión de la red corporativa, TI normalmente quiere que las conexiones de Secure Web vuelvan a NetScaler, pasen por un servidor proxy y luego salgan a Internet. De manera predeterminada, Secure Web accede a túneles que van a la red interna, lo que significa que Secure Web usa un túnel VPN por aplicación hacia la red interna para todo el acceso de red y NetScaler usa los parámetros de túnel dividido.

Para obtener información sobre las conexiones de Secure Web, consulte Configuración de conexiones de usuario.

Notificaciones push para Secure Mail

Detalles de la decisión:

  • ¿Usará notificaciones push?

Guía de diseño para iOS:

Si la configuración de NetScaler Gateway incluye Secure Ticket Authority (STA) y el túnel dividido está desactivado, NetScaler Gateway debe permitir el tráfico desde Secure Mail hacia las direcciones URL del servicio de escucha de Citrix indicadas en Notificaciones push en Secure Mail para iOS.

Guía de diseño para Android:

Como alternativa a la directiva MDX “Periodo de sondeo activo”, puede usar Google Cloud Messaging (GCM) para controlar cómo y cuándo los dispositivos Android deben conectarse a XenMobile. Con GCM configurado, toda acción de seguridad o comando de implementación desencadena una notificación push en Secure Hub para pedir al usuario que se reconecte al servidor XenMobile.

STA HDX

Detalles de la decisión:

  • ¿Qué STA usar si quiere integrar el acceso a aplicaciones HDX?

Guía para el diseño:

Los STA de HDX deben coincidir con los STA en StoreFront y deben ser válidos para la comunidad de XenApp o XenDesktop.

ShareFile

Detalles de la decisión:

  • ¿Usará ShareFile StorageZone Controllers en el entorno?
  • ¿Qué URL de dirección IP virtual de ShareFile usará?

Guía para el diseño:

Si va a incluir ShareFile StorageZone Controllers en el entorno, debe configurar correctamente lo siguiente: la VIP de conmutación de contenido de ShareFile (utilizada por el plano de control de ShareFile para comunicarse con los servidores de StorageZones Controller), las VIP de equilibrio de carga de ShareFile, además de todas las directivas y perfiles necesarios. Para obtener información, consulte la documentación del Controller de Citrix ShareFile StorageZones.

Proveedor de identidades SAML

Detalles de la decisión:

  • Si se necesita SAML para ShareFile, ¿quiere usar XenMobile como proveedor de identidades SAML?

Guía para el diseño:

Se recomienda integrar ShareFile en XenMobile Advanced Edition o XenMobile Enterprise Edition, que es una alternativa más sencilla que configurar la federación basada en SAML. Cuando se usa ShareFile con esas ediciones de XenMobile, XenMobile ofrece ShareFile con la autenticación Single Sign-On (SSO) para los usuarios de XenMobile Apps, el aprovisionamiento de cuentas basado en Active Directory (AD) y directivas completas de control de acceso. La consola de XenMobile permite configurar ShareFile y supervisar los niveles de servicio y uso de licencias.

Tenga en cuenta que existen dos tipos de clientes ShareFile: los clientes ShareFile para XenMobile (también conocidos como ShareFile empaquetado) y los clientes ShareFile Mobile (también conocidos como ShareFile no empaquetado). Para conocer las diferencias, consulte Cómo difieren entre sí los clientes ShareFile para XenMobile y los clientes ShareFile Mobile.

Puede configurar XenMobile y ShareFile para usar el lenguaje SAML (Security Assertion Markup Language) y así ofrecer el acceso Single Sign-On (SSO) a aplicaciones móviles de ShareFile que empaqueta con el MDX Service, así como a clientes no empaquetados de ShareFile (como el sitio Web, el plugin para Outlook o los clientes de sincronización).

Si quiere usar XenMobile como proveedor de identidades SAML para ShareFile, compruebe que estén definidas las configuraciones adecuadas. Para obtener más información, consulte SAML para SSO con ShareFile.

Conexiones directas con ShareConnect

Detalles de la decisión:

  • ¿Los usuarios accederán a un equipo host desde un equipo o dispositivo móvil que ejecuta ShareConnect con conexiones directas?

Guía para el diseño:

ShareConnect permite a los usuarios conectarse a sus equipos de forma segura a través de iPads, tabletas y teléfonos Android para el acceso a sus archivos y aplicaciones. Para las conexiones directas, XenMobile utiliza NetScaler Gateway para proporcionar acceso seguro a los recursos de fuera de la red local. Para obtener más información de configuración, consulte ShareConnect.

FQDN de inscripción para cada tipo de implementación

   
Tipo de implementación FQDN de inscripción
Enterprise (MDM + MAM) con inscripción MDM obligatoria FQDN del servidor XenMobile
Enterprise (MDM + MAM) con inscripción MDM opcional FQDN del servidor XenMobile o FQDN de NetScaler Gateway
Solo MDM FQDN del servidor XenMobile
Solo MAM (antiguo) FQDN de NetScaler Gateway
Solo MAM FQDN del servidor XenMobile

Resumen de implementación

Citrix recomienda usar el asistente de NetScaler para XenMobile si quiere asegurarse de una configuración correcta. Tenga en cuenta que solo puede usar el asistente una vez. Si tiene varias instancias de XenMobile (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar NetScaler manualmente para los entornos adicionales. Si dispone de un entorno de trabajo, tome nota de la configuración antes de intentar configurar NetScaler manualmente para XenMobile.

La decisión clave que debe tomar al utilizar el asistente es si usar HTTPS o HTTP para comunicarse con el servidor XenMobile. HTTPS ofrece una comunicación back-end segura, ya que se cifra el tráfico entre NetScaler y XenMobile; el recifrado tiene un impacto en el rendimiento del servidor XenMobile. HTTP ofrece un mejor rendimiento del servidor XenMobile; el tráfico entre NetScaler y XenMobile no se cifra. En las siguientes tablas, se muestran los requisitos de puertos HTTP y HTTPS para NetScaler y el servidor XenMobile.

HTTPS

Por regla general, Citrix recomienda el puente SSL para los parámetros del servidor virtual MDM de NetScaler. Para usar la descarga de SSL de NetScaler con servidores virtuales MDM, XenMobile admite solo el puerto 80 como servicio back-end.

       
Tipo de implementación Método de equilibrio de carga de NetScaler Recifrado SSL Puerto del servidor XenMobile
MDM Puente SSL N/D 443, 8443
MAM Descarga de SSL Habilitado 8443
Enterprise MDM: Puente SSL N/D 443, 8443
Enterprise MAM: Descarga de SSL Habilitado 8443

HTTP

       
Tipo de implementación Método de equilibrio de carga de NetScaler Recifrado SSL Puerto del servidor XenMobile
MDM Descarga de SSL No respaldado 80
MAM Descarga de SSL Habilitado 8443
Enterprise MDM: Descarga de SSL No respaldado 80
Enterprise MAM: Descarga de SSL Habilitado 8443

Para obtener diagramas de NetScaler Gateway en las implementaciones de XenMobile, consulte Arquitectura.

Integración con NetScaler Gateway y NetScaler