Liste de vérification préalable à l’installation

La liste de contrôle comprend une liste des tâches et des informations de planification que vous devez effectuer avant d’installer Citrix Gateway.

Un espace est prévu pour que vous puissiez cocher chaque tâche au fur et à mesure que vous l’exécutez et prendre des notes. Citrix vous recommande de prendre note des valeurs de configuration que vous devez entrer pendant le processus d’installation et lors de la configuration de Citrix Gateway.

Pour connaître les étapes d’installation et de configuration de Citrix Gateway, reportez-vous à la sectionInstallation de Citrix Gateway.

Périphériques utilisateur

  • Assurez-vous que les machines utilisateur répondent aux conditions préalables d’installation décrites dans laConfiguration requise du plug-in Citrix Gatewaysection
  • Identifiez les appareils mobiles avec lesquels les utilisateurs se connectent. Remarque : Si les utilisateurs se connectent à un appareil iOS, vous devez activer la navigation sécurisée dans un profil de session.

Connectivité réseau de base Citrix Gateway

Citrix vous recommande d’obtenir des licences et des certificats de serveur signés avant de commencer à configurer l’appliance.

  • Identifiez et notez le nom d’hôte Citrix Gateway. Remarque : Il ne s’agit pas du nom de domaine complet (FQDN). Le nom de domaine complet est contenu dans le certificat de serveur signé qui est lié au serveur virtuel.
  • Obtenez des licences Universal auprès duSite Web Citrix
  • Générer une demande de signature de certificat (CSR) et l’envoyer à une autorité de certification (AC). Entrez la date à laquelle vous envoyez le CSR à l’AC.
  • Notez l’adresse IP du système et le masque de sous-réseau.
  • Notez l’adresse IP du sous-réseau et le masque de sous-réseau.
  • Notez le mot de passe administrateur. Le mot de passe par défaut fourni avec Citrix Gateway est nsroot.
  • Notez le numéro de port. Il s’agit du port sur lequel Citrix Gateway écoute les connexions utilisateur sécurisées. La valeur par défaut est le port TCP 443. Ce port doit être ouvert sur le pare-feu entre le réseau non sécurisé (Internet) et la zone démilitarisée.
  • Notez l’adresse IP de la passerelle par défaut.
  • Notez l’adresse IP du serveur DNS et le numéro de port. Le numéro de port par défaut est 53. En outre, si vous ajoutez directement le serveur DNS, vous devez également configurer ICMP (ping) sur l’appliance.
  • Notez l’adresse IP et le nom d’hôte du premier serveur virtuel.
  • Notez l’adresse IP du deuxième serveur virtuel et le nom d’hôte (le cas échéant).
  • Notez l’adresse IP du serveur WINS (le cas échéant).

Réseaux internes accessibles via Citrix Gateway

  • Notez les réseaux internes auxquels les utilisateurs peuvent accéder via Citrix Gateway. Exemple : 10.10.0.0/24
  • Entrez tous les réseaux internes et segments de réseau auxquels les utilisateurs ont besoin d’accéder lorsqu’ils se connectent via Citrix Gateway à l’aide du plug-in Citrix Gateway.

Haute disponibilité

Si vous disposez de deux appliances Citrix Gateway, vous pouvez les déployer dans une configuration haute disponibilité dans laquelle une Citrix Gateway accepte et gère les connexions, tandis qu’une seconde Citrix Gateway surveille la première appliance. Si la première Citrix Gateway cesse d’accepter les connexions pour quelque raison que ce soit, la seconde Citrix Gateway prend le relais et commence à accepter activement les connexions.

  • Notez le numéro de version du logiciel Citrix Gateway.
  • Le numéro de version doit être le même sur les deux appliances Citrix Gateway.
  • Notez le mot de passe administrateur (nsroot). Le mot de passe doit être le même sur les deux appareils.
  • Notez l’adresse IP principale Citrix Gateway et l’ID. Le numéro d’identification maximum est 64.
  • Notez l’adresse IP et l’ID Citrix Gateway secondaire.
  • Obtenez et installez la licence Universal sur les deux appliances.
  • Vous devez installer la même licence universelle sur les deux appliances.
  • Notez le mot de passe du nœud RPC.

Authentification et autorisation

Citrix Gateway prend en charge plusieurs types d’authentification et d’autorisation différents qui peuvent être utilisés dans diverses combinaisons. Pour plus d’informations sur l’authentification et l’autorisation, reportez-vous à la sectionAuthentification et autorisation.

Authentification LDAP

Si votre environnement inclut un serveur LDAP, vous pouvez utiliser LDAP pour l’authentification.

  • Notez l’adresse IP et le port du serveur LDAP.

    Si vous autorisez les connexions non sécurisées au serveur LDAP, la valeur par défaut est le port 389. Si vous chiffrez les connexions au serveur LDAP avec SSL, la valeur par défaut est le port 636.

  • Notez le type de sécurité.

    Vous pouvez configurer la sécurité avec ou sans chiffrement.

  • Notez le DN de liaison administrateur.

    Si votre serveur LDAP nécessite une authentification, entrez le DN administrateur que Citrix Gateway doit utiliser pour authentifier lors de l’exécution de requêtes dans le répertoire LDAP. Un exemple est cn = administrator, cn = Users, dc = ace, dc = com.

  • Notez le mot de passe administrateur.

    Il s’agit du mot de passe associé au DN de liaison administrateur.

  • Notez le DN de base.

    DN (ou niveau de répertoire) sous lequel se trouvent les utilisateurs ; par exemple, ou = users, dc = ace, dc = com.

  • Notez l’attribut de nom d’ouverture de session du serveur.

    Entrez l’attribut d’objet personne d’annuaire LDAP qui spécifie le nom d’ouverture de session d’un utilisateur. La valeur par défaut est SamAccountName. Si vous n’utilisez pas Active Directory, les valeurs communes pour ce paramètre sont cn ou uid. Pour plus d’informations sur les paramètres d’annuaire LDAP, consultezConfiguration de l’authentification LDAP

  • Notez l’attribut group. Entrez l’attribut d’objet personne d’annuaire LDAP qui spécifie les groupes auxquels appartient un utilisateur. La valeur par défaut est MemberOf. Cet attribut permet à Citrix Gateway d’identifier les groupes de répertoires auxquels appartient un utilisateur.
  • Notez le nom du sous-attribut.

Authentification et autorisation RADIUS

Si votre environnement inclut un serveur RADIUS, vous pouvez utiliser RADIUS pour l’authentification.L’authentification R@@ ADIUS inclut les produits RSA SecurID, SafeWord et Gemalto Protiva.

  • Notez l’adresse IP et le port du serveur RADIUS principal. Le port par défaut est 1812.
  • Notez le secret principal du serveur RADIUS (secret partagé).
  • Notez l’adresse IP du serveur RADIUS secondaire et le port. Le port par défaut est 1812.
  • Notez le secret du serveur RADIUS secondaire (secret partagé).
  • Notez le type de codage de mot de passe (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

Authentification SAML

SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services.

  • Obtenir et installer sur Citrix Gateway un certificat IdP sécurisé.
  • Notez l’URL de redirection.
  • Notez le champ utilisateur.
  • Notez le nom du certificat de signature.
  • Notez le nom de l’émetteur SAML.
  • Notez le groupe d’authentification par défaut.

Ouverture de ports à travers les pare-feu (DMZ mono-hop)

Si votre organisation protège le réseau interne avec une seule zone DMZ et que vous déployez Citrix Gateway dans la zone DMZ, ouvrez les ports suivants via les pare-feu. Si vous installez deux appliances Citrix Gateway dans un déploiement DMZ à double saut, reportez-vous à la sectionOuverture des ports appropriés sur les pare-feu.

Sur le pare-feu entre le réseau non sécurisé et la zone DMZ

  • Ouvrez un port TCP/SSL (par défaut 443) sur le pare-feu entre Internet et Citrix Gateway. Les machines utilisateur se connectent à Citrix Gateway sur ce port.

Sur le pare-feu entre le réseau sécurisé

  • Ouvrez un ou plusieurs ports appropriés sur le pare-feu entre la DMZ et le réseau sécurisé. Citrix Gateway se connecte à un ou plusieurs serveurs d’authentification ou à des ordinateurs exécutant Citrix Virtual Apps and Desktops dans le réseau sécurisé sur ces ports.
  • Notez les ports d’authentification.

    Ouvrez uniquement le port approprié pour votre configuration Citrix Gateway.

    • Pour les connexions LDAP, la valeur par défaut est le port TCP 389.
    • Pour une connexion RADIUS, la valeur par défaut est le port UDP 1812. Notez les ports Citrix Virtual Apps and Desktops.
  • Si vous utilisez Citrix Gateway avec Citrix Virtual Apps and Desktops, ouvrez le port TCP 1494. Si vous activez la fiabilité des sessions, ouvrez le port TCP 2598 au lieu de 1494. Citrix recommande de garder ces deux ports ouverts.

Citrix Virtual Desktops, Citrix Virtual Apps, l’interface Web ou StoreFront

Effectuez les tâches suivantes si vous déployez Citrix Gateway pour fournir un accès à Citrix Virtual Apps and Desktops via l’interface Web ou StoreFront. Le plug-in Citrix Gateway n’est pas requis pour ce déploiement. Les utilisateurs accèdent aux applications et aux postes de travail publiés via Citrix Gateway en utilisant uniquement les navigateurs Web et Citrix Receiver.

  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant l’interface Web ou StoreFront.
  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant le Secure Ticket Authority (STA) (pour l’interface Web uniquement).

Citrix Endpoint Management

Effectuez les tâches suivantes si vous déployez Citrix Endpoint Management dans votre réseau interne. Si les utilisateurs se connectent à Endpoint Management à partir d’un réseau externe, tel qu’Internet, les utilisateurs doivent se connecter à Citrix Gateway avant d’accéder aux applications mobiles, Web et SaaS.

  • Notez le nom de domaine complet ou l’adresse IP de Endpoint Management.
  • Identifiez les applications Web, SaaS et mobiles iOS ou Android auxquelles les utilisateurs peuvent accéder.

Déploiement DMZ à double saut avec Citrix Virtual Apps

Effectuez les tâches suivantes si vous déployez deux appliances Citrix Gateway dans une configuration DMZ à double saut pour prendre en charge l’accès aux serveurs exécutant Citrix Virtual Apps.

Citrix Gateway dans la première DMZ

La première DMZ est la DMZ située à l’extrémité la plus externe de votre réseau interne (la plus proche de l’Internet ou du réseau non sécurisé). Les clients se connectent à Citrix Gateway dans la première DMZ via le pare-feu séparant Internet de la DMZ. Collectez ces informations avant d’installer Citrix Gateway dans la première DMZ.

  • Complétez les éléments de la section Connectivité réseau de base Citrix Gateway de cette liste de contrôle pour Citrix Gateway.

    Lorsque vous terminez ces éléments, notez que l’interface 0 connecte cette Citrix Gateway à Internet et l’interface 1 connecte cette Citrix Gateway à Citrix Gateway dans la deuxième DMZ.

  • Configurez les informations de la seconde appliance DMZ sur l’appliance principale.

    Pour configurer Citrix Gateway comme premier saut dans la zone DMZ à double saut, vous devez spécifier le nom d’hôte ou l’adresse IP de Citrix Gateway dans la seconde zone DMZ de l’appliance dans la première zone DMZ. Après avoir spécifié quand le proxy Citrix Gateway est configuré sur l’appliance dans le premier saut, liez-le à Citrix Gateway globalement ou à un serveur virtuel.

  • Notez le protocole de connexion et le port entre les appliances.

    Pour configurer Citrix Gateway comme premier saut dans la double DMZ, vous devez spécifier le protocole de connexion et le port sur lesquels Citrix Gateway dans la seconde DMZ écoute les connexions. Le protocole de connexion et le port sont SOCKS avec SSL (port par défaut 443). Le protocole et le port doivent être ouverts via le pare-feu qui sépare la première DMZ et la seconde DMZ.

Citrix Gateway dans la deuxième zone DMZ

La deuxième DMZ est la DMZ la plus proche de votre réseau interne sécurisé. Citrix Gateway déployé dans la seconde DMZ sert de proxy pour le trafic ICA, traversant la seconde DMZ entre les machines utilisateur externes et les serveurs du réseau interne.

  • Exécutez les tâches de la section Citrix Gateway Basic Network Connectivity de cette liste de contrôle pour ce Citrix Gateway.

    Lorsque vous terminez ces éléments, notez que l’interface 0 connecte cette Citrix Gateway à Citrix Gateway dans la première DMZ. L’interface 1 connecte cette Citrix Gateway au réseau sécurisé.