Proxy RDP

Présentation et améliorations du proxy RDP via Citrix Gateway

Les fonctionnalités de proxy RDP suivantes permettent d’accéder à une batterie de postes de travail à distance via Citrix Gateway :

  • Sécurisez le trafic RDP via le mode CVPN ou ICAProxy (sans tunnel complet).

  • Connexion unique (SSO) aux serveurs RDP via Citrix Gateway. Fournit également une option pour désactiver l’authentification SSO si nécessaire).

  • Fonctionnalité d’application (SmartAccess), dans laquelle les administrateurs Citrix ADC peuvent désactiver certaines fonctionnalités RDP via la configuration de Citrix Gateway.

  • Solution de passerelle unique/sans état (double) pour tous les besoins (VPN/ICA/RDP/Citrix Endpoint Management).

  • Compatibilité avec le client Windows MSTSC natif pour RDP sans avoir besoin de clients personnalisés.

  • Utilisation du client RDP fourni par Microsoft sur MACOSX, iOS et Android.

Présentation du déploiement

La figure suivante présente une vue d’ensemble du déploiement :

image localisée

La fonctionnalité RDP Proxy est fournie dans le cadre de Citrix Gateway. Dans un déploiement standard, le client RDP s’exécute sur la machine d’un utilisateur distant. L’appliance Citrix Gateway est déployée dans la zone DMZ et la batterie de serveurs RDP se trouve dans le réseau interne de l’entreprise. L’utilisateur distant se connecte à l’adresse IP publique Citrix Gateway, établit une connexion VPN SSL et s’authentifie, après quoi il peut accéder aux bureaux distants via l’appliance Citrix Gateway.

La fonctionnalité RDP-Proxy est prise en charge dans les modes CVPN et ICAProxy.

Déploiement via CVPN

Dans ce mode, les liens RDP sont publiés sur la page d’accueil ou le portail de la passerelle, sous forme de signets, via la configuration’add vpn url’ou via le portail externe. L’utilisateur peut cliquer sur ces liens pour accéder au Bureau à distance.

Déploiement via ICAProxy

Dans ce mode, une page d’accueil personnalisée est configurée sur la passerelle VIP à l’aide du paramètre wihome. Cette page d’accueil peut être personnalisée avec la liste des ressources Bureau à distance auxquelles l’utilisateur est autorisé à accéder. Cette page personnalisée peut être hébergée sur Citrix ADC ou, si elle est externe, elle peut être un iFrame dans la page du portail Gateway existante.

Dans les deux modes, une fois que l’utilisateur clique sur le lien ou l’icône RDP provisionné, une requête HTTPS pour la ressource correspondante arrive à Citrix Gateway.La passerelle génère le contenu du fichier RDP pour la connexion demandée et le transmet au client. Le client RDP natif est appelé et se connecte à un écouteur RDP sur la passerelle. La passerelle effectue l’authentification SSO au serveur RDP en prenant en charge l’application (accès intelligent), dans laquelle la passerelle bloque l’accès du client à certaines fonctionnalités RDP, en fonction de la configuration de Citrix ADC, puis elle proxie le trafic RDP entre le client RDP et le serveur.

Détails de l’application

L’administrateur Citrix ADC peut configurer certaines fonctionnalités RDP via la configuration de Citrix Gateway. Citrix Gateway fournit la fonctionnalité « Application RDP » pour les paramètres RDP importants. Citrix ADC garantit que le client ne peut pas activer les paramètres bloqués. Si les paramètres bloqués sont activés, la fonctionnalité d’application RDP remplace les paramètres activés par le client et ne sont pas respectés.

Paramètres RDP pris en charge pour l’application

L’application des paramètres de redirection suivants est prise en charge. Ceux-ci sont configurables dans le cadre d’un profil client RDP.

  • Redirection du Presse-papiers

  • Redirection des imprimantes

  • Redirection des unités de disque

  • Redirection des ports COM

  • Redirection des périphériques pnp

Débit de connexion

Le débit de connexion peut être divisé en deux étapes :

  • Énumération des ressources RDP et téléchargement de fichier RDP.

  • Lancement de la connexion RDP.

Sur la base du flux de connexion ci-dessus, il existe deux solutions de déploiement :

  • Solution de passerelle sans état (double) - l’énumération des ressources RDP et le téléchargement de fichier RDP se font via la passerelle d’authentification, mais le lancement de la connexion RDP se fait via la passerelle d’écoute RDP.

  • Solution de passerelle unique : l’énumération des ressources RDP, le téléchargement de fichiers RDP et le lancement de la connexion RDP se font via la même passerelle.

Compatibilité avec une passerelle sans état (double)

La figure suivante illustre le déploiement :

image localisée

  • L’utilisateur se connecte au VIP Authenticator Gateway et fournit ses informations d’identification.

  • Une fois la connexion réussie à la passerelle, l’utilisateur est redirigé vers la page d’accueil ou le portail externe, qui énumère les ressources de bureau à distance auxquelles l’utilisateur peut accéder.

  • Une fois que l’utilisateur sélectionne une ressource RDP, une demande est reçue par le VIP Authenticator Gateway, au format https://vserver-vip/rdpproxy/rdptarget/listener indiquant la ressource publiée sur laquelle l’utilisateur a cliqué. Cette demande contient les informations sur l’adresse IP et le port du serveur RDP que l’utilisateur a sélectionné.

  • La requête /rdpproxy/ est traitée par Authenticator Gateway. Étant donné que l’utilisateur est déjà authentifié, cette demande est accompagnée d’un cookie de passerelle valide.

  • Les informations RDPTarget et RDPUser sont stockées sur le serveur STA et un ticket STA est généré. Les informations stockées sur le serveur STA sont cryptées à l’aide de la clé pré-partagée configurée. La passerelle Authenticator utilise l’un des serveurs STA configurés sur le serveur Gateway Vserver.

  • Les informations « Listener » obtenues dans la requête /rdpproxy/ sont placées dans le fichier .rdp en tant que “fulladdress”, et le ticket STA (pré-pendé avec l’authentification STA) est placé dans le fichier .rdp en tant que “loadbalanceinfo.”

  • Le fichier .rdp est renvoyé au point de terminaison client.

  • Le client RDP natif lance et se connecte à la passerelle RDPlistener. Il envoie le ticket STA dans le paquet initial.

    La passerelle RDPlistener valide le ticket STA et obtient les informations RDPTarget et RDPUser. Le serveur STA à utiliser est récupéré en utilisant le’AuthID’présent dans le loadbalanceinfo.

Compatibilité avec une passerelle unique

La figure suivante illustre le déploiement :

image localisée

Dans le cas d’un déploiement de passerelle unique, le serveur STA n’est pas requis. La passerelle d’authentification code le cookie de session RDPTarget et AAA en toute sécurité et les envoie en tant que loadbalanceinfo dans le fichier .rdp. Lorsque le client RDP envoie ce jeton dans le paquet initial, la passerelle d’authentification décode les informations RDPTarget, recherche la session et se connecte au RDPTarget.

Conditions de licence pour le proxy RDP

Édition Platine, Édition Platine, Édition Entreprise

RemarqueLa fonction Proxy RDP n’est pas disponible pour les clients qui disposent uniquement d’une licence de plate-forme Gateway ou uniquement de l’édition Standard.

La fonction proxy RDP doit être activée pour que le proxy RDP fonctionne.

enable feature rdpProxy

Étapes de configuration

Les étapes de configuration de haut niveau sont répertoriées comme suit :

  1. Activer la fonctionnalité
  2. Créer des signets sur le portail Gateway ou utiliser un portail Gateway personnalisé qui énumère les ressources RDP
  3. Configurer un profil client RDP
  4. Configurer un profil de serveur RDP

Activer les fonctions et modes requis

  • enable ns feature ssl

  • enable ns feature sslvpn

  • enable ns feature rdpproxy

  • enable mode usnip

Création de signets

  1. Créez des signets sur la page du portail pour accéder aux ressources RDP : (L’URL ActualURL commence par rdp : / /).

  2. Ajouter une URL<urlName> <linkName>  <actualURL>vpn

    • L’URL doit être au format suivant :rdp://<TargetIP:Port>.
    • Pour le mode proxy RDP sans état, l’URL doit être au format suivant :rdp://<TargetIP:Port>/<ListenerIP:Port>

    • L’URL sera publiée sur le portail au format suivant : https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Liez les signets à l’utilisateur, au groupe, au serveur virtuel vpn ou au vpn global.

Configuration d’un profil client

Configurez le profil client sur la passerelle d’authentification. Voici un exemple de configuration :

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

Associez le profil client RDP au vpn vserver.

Cela peut être fait soit en configurant un SessionAction + SessionPolicy, soit en définissant le paramètre global vpn.

Exemple :

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

OU

set vpn parameter –rdpClientprofile <name>

Configuration d’un profil de serveur

Configurez le profil de serveur sur la passerelle du processus d’écoute.

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

Le profil RDPServer doit être configuré sur le’vpn vserver “.

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Exemple de configuration

image localisée

  • Activer les fonctions et les modes requis

    • enable ns feature ssl

    • enable ns feature sslvpn

    • enable ns feature rdpproxy

    • enable mode usnip

  • Ajouter une URL VPN pour l’utilisateur avec des informations sur la cible

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
    
  • Configurer le profil client RDP et serveur pour la connexion VPN

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
    
  • AJOUTER SNIP pour la connexion de Citrix ADC à la cible

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
    

Option de désactivation de l’authentification SSO

La fonctionnalité SSO (Single Sign On) avec proxy RDP peut être désactivée en configurant les stratégies de trafic Citrix ADC afin que l’utilisateur soit toujours invité à entrer des informations d’identification. Lorsque l’SSO est désactivée, l’application RDP (Smart Access) ne fonctionne pas.

Exemple de configuration :

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF

La stratégie de trafic peut être configurée en fonction de la configuration requise, voici deux exemples :

• Pour désactiver l’authentification SSO pour tout le trafic :

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>

• Pour désactiver l’authentification unique en fonction de la source/destination IP/FQDN

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>

Prise en charge du module d’écoute unique

  • Écouteur unique pour le trafic RDP et SSL.

  • Le téléchargement de fichier RDP et le trafic RDP peuvent être gérés via le même tuple 2 (IP et Port) sur Citrix ADC.

Signet

Génération de liens RDP via Portal. Au lieu de configurer les liens RDP pour l’utilisateur ou de publier les liens RDP via un portail externe, vous pouvez donner aux utilisateurs la possibilité de générer leurs propres URL en fournissant TargerIP : Port. Pour le déploiement de proxy RDP sans état, l’administrateur peut inclure des informations sur le processus d’écoute RDP au format FQDN : Port dans le cadre du profil client RDP. Ceci est fait sous l’option RDPlistener. Cette configuration sera utilisée pour la génération de liens RDP via le portail en mode double passerelle.

image localisée

Configuration du proxy RDP

Procédez comme suit pour configurer le proxy RDP :

  1. Développez Citrix Gateway, développez Stratégies, cliquez avec le bouton droit sur RDP, puis cliquez sur Activer la fonctionnalité.

    image localisée

  2. Cliquez sur RDP sur la gauche. Sur la droite, accédez à l’onglet Profils client et cliquez sur Ajouter.

    image localisée

  3. Donnez un nom au profil client et configurez-le comme vous le souhaitez. Faites défiler vers le bas

    image localisée

  4. Dans le champ Hôte RDP, entrez le nom de domaine complet qui se résout en écouteur RDP Proxy, qui est généralement le même nom de domaine complet que le nom de domaine complet de l’appliance Citrix Gateway.

  5. Près du bas se trouve une clé pré partagée. Entrez un mot de passe et cliquez sur OK. Vous en aurez besoin plus tard.

    image localisée

  6. Donnez un nom au profil de serveur.

  7. Entrez l’adresse IP du serveur virtuel de passerelle que vous allez lier.

  8. Entrez la même clé pré partagée que vous avez configurée pour le profil client RDP. Cliquez sur Créer.

    image localisée

  9. Si vous souhaitez placer des signets RDP sur la page du portail Accès sans client, sur la gauche, développez Citrix Gateway, développez Ressourceset cliquez sur Signets.

    image localisée

  10. Sur la droite, cliquez sur Ajouter.

    image localisée

  11. Donnez un nom au signet.

  12. Pour l’URL, entrez rdp://MyRDPServer en utilisant IP ou DNS.

  13. Cochez la case Utiliser Citrix Gateway en tant que proxy inverse et cliquez sur Créer.

  14. Créez plus de signets comme vous le souhaitez.

    image localisée

  15. Créez ou modifiez un profil ou une stratégie de session.

  16. Sous l’onglet Sécurité, définissez Action d’autorisation par défaut sur AUTORISER. Vous pouvez également utiliser les stratégies d’autorisation pour contrôler l’accès.

    image localisée

  17. Sous l’onglet Bureau à distance, sélectionnez le profil client RDP que vous avez créé précédemment.

    image localisée

  18. Si vous souhaitez utiliser les signets, sous l’onglet Expérience client, définissez Accès sans client sur On.

    image localisée

  19. Sous l’onglet Applications publiées, assurez-vous que le proxy ICA est OFF.

    image localisée

  20. Modifiez ou créez votre serveur virtuel Gateway.

  21. Dans la section Paramètres de base, cliquez sur Plus.

    image localisée

  22. Utilisez la liste déroulante Profil de serveur RDP pour sélectionner le profil de serveur RDP que vous avez créé précédemment.

    image localisée

  23. Faites défiler vers le bas. Assurez-vous que ICA Only n’est pas cochée.

    image localisée

  24. Liez un certificat.

  25. Lier les stratégies d’authentification.

  26. Liez la stratégie de session ou le profil sur lequel le profil client RDP est configuré. image localisée

  27. Cliquez sur RDP sur la gauche. Sur la droite, accédez à l’onglet Profils client et cliquez sur Ajouter.

    image localisée

  28. Donnez un nom au profil client et configurez-le comme vous le souhaitez. Faites défiler vers le bas

    image localisée

  29. Dans le champ Hôte RDP, entrez le nom de domaine complet qui se résout en écouteur RDP Proxy, qui est généralement le même nom de domaine complet que le nom de domaine complet de l’appliance Citrix Gateway.

  30. Près du bas se trouve une clé pré partagée. Entrez un mot de passe et cliquez sur OK. Vous en aurez besoin plus tard.

    image localisée

  31. Donnez un nom au profil de serveur.

  32. Entrez l’adresse IP du serveur virtuel de passerelle que vous allez lier.

  33. Entrez la même clé pré partagée que vous avez configurée pour le profil client RDP. Cliquez sur Créer.

    image localisée

  34. Si vous souhaitez placer des signets RDP sur la page du portail Accès sans client, sur la gauche, développez Citrix Gateway, développez Ressourceset cliquez sur Signets.

    image localisée

  35. Sur la droite, cliquez sur Ajouter.

    image localisée

  36. Donnez un nom au signet.

  37. Pour l’URL, entrez rdp://MyRDPServer en utilisant IP ou DNS.

  38. Cochez la case Utiliser Citrix Gateway en tant que proxy inverse et cliquez sur Créer.

  39. Créez plus de signets comme vous le souhaitez.

    image localisée

  40. Créez ou modifiez un profil ou une stratégie de session.

  41. Sous l’onglet Sécurité, définissez Action d’autorisation par défaut sur AUTORISER. Vous pouvez également utiliser les stratégies d’autorisation pour contrôler l’accès.

    image localisée

  42. Sous l’onglet Bureau à distance, sélectionnez le profil client RDP que vous avez créé précédemment.

    image localisée

  43. Si vous souhaitez utiliser les signets, sous l’onglet Expérience client, définissez Accès sans client sur On.

    image localisée

  44. Sous l’onglet Applications publiées, assurez-vous que le proxy ICA est OFF.

    image localisée

  45. Modifiez ou créez votre serveur virtuel Gateway.

  46. Dans la section Paramètres de base, cliquez sur Plus.

    image localisée

  47. Utilisez la liste déroulante Profil de serveur RDP pour sélectionner le profil de serveur RDP que vous avez créé précédemment.

    image localisée

  48. Faites défiler vers le bas. Assurez-vous que ICA Only n’est pas cochée.

    image localisée

  49. Liez un certificat.

  50. Lier les stratégies d’authentification.

  51. Liez la stratégie de session ou le profil sur lequel le profil client RDP est configuré.

    image localisée

  52. Vous pouvez lier les signets au serveur virtuel Citrix Gateway ou à un groupe AAA. Pour vous lier au serveur virtuel Citrix Gateway, sur la droite, dans la section Paramètres avancés, cliquez sur Published Applications.

    image localisée

  53. Sur la gauche, dans la section Applications publiées , cliquez sur Aucune URL .

    image localisée

  54. Liez vos signets.

    image localisée

  55. Comme ICA Only n’est pas spécifié pour ce serveur virtuel Citrix Gateway, assurez-vous que vos licences Citrix Gateway Universal sont correctement configurées. Sur la gauche, développez Citrix Gateway et cliquez sur Paramètres globaux .

    image localisée

  56. Sur la droite, cliquez sur Modifier les paramètres AAA d’authentification.

    image localisée

  57. Modifiez le nombre maximal d’utilisateurs à votre limite de licence.

    image localisée

  58. Si vous souhaitez vous connecter aux serveurs RDP à l’aide de DNS, assurez-vous que les serveurs DNS sont configurés sur l’appliance (Gestion du trafic > DNS > Serveurs de noms).

    image localisée

  59. Si vous souhaitez utiliser les noms abrégés au lieu de noms complets, ajoutez unsuffixe D NS (Gestion du trafic > DNS > Suffixe DNS).

    image localisée

  60. Connectez-vous à votre passerelle et connectez-vous.

    image localisée

  61. Si vous avez configuré les signets, cliquez sur le signet.

    image localisée

  62. Vous pouvez modifier la barre d’adresse en /rdpProxy/myrdpServer. Vous pouvez entrer une adresse IP (par exemple rdpproxy/192.168.1.50) ou un nom DNS (/ rdpproxy/myserver).

    image localisée

  63. Ouvrez le fichier .rdp téléchargé.

    image localisée

  64. Vous pouvez afficher les utilisateurs actuellement connectés en accèdent à Citrix Gateway Policies > RDP. Sur la droite se trouve l’onglet Connexions .

    image localisée