Citrix Gateway

Proxy RDP

Présentation et améliorations du proxy RDP via Citrix Gateway

Les fonctionnalités de proxy RDP suivantes permettent d’accéder à une batterie de postes de travail distants via Citrix Gateway :

  • Sécurisez le trafic RDP via le mode Proxy CVPN ou ICA (sans tunnel complet).

  • Connexion unique (SSO) aux serveurs RDP via Citrix Gateway. Fournit également une option pour désactiver l’authentification SSO si nécessaire).

  • Fonctionnalité d’application (SmartAccess), dans laquelle les administrateurs Citrix ADC peuvent désactiver certaines fonctionnalités RDP via la configuration Citrix Gateway.

  • Solution Single/Stateless (Dual) Gateway pour tous les besoins (VPN/ICA/RDP/Citrix Endpoint Management).

  • Compatibilité avec le client Windows MSTSC natif pour RDP sans avoir besoin de clients personnalisés.

  • Utilisation du client RDP fourni par Microsoft sur MACOSX, iOS et Android.

Présentation du déploiement

La figure suivante présente une vue d’ensemble du déploiement :

Présentation du proxy RDP

La fonctionnalité Proxy RDP est fournie dans le cadre de Citrix Gateway. Dans un déploiement standard, le client RDP s’exécute sur la machine d’un utilisateur distant. L’appliance Citrix Gateway est déployée dans la zone DMZ et la batterie de serveurs RDP se trouve dans le réseau interne de l’entreprise. L’utilisateur distant se connecte à l’adresse IP publique Citrix Gateway, établit une connexion VPN SSL et s’authentifie, après quoi l’utilisateur peut accéder aux bureaux distants via l’appliance Citrix Gateway.

La fonctionnalité RDP-proxy est prise en charge dans les modes Proxy CVPN et ICA.

Remarque : Citrix Gateway ne prend pas en charge les sessions RDP multiutilisateurs RDSH (Remote Desktop Session Host) /Remote App/RDS.

Déploiement via CVPN

Dans ce mode, les liens RDP sont publiés sur la page d’accueil ou le portail Gateway, en tant que signets, via la configuration « add vpn URL » ou via le portail externe. L’utilisateur peut cliquer sur ces liens pour accéder au Bureau à distance.

Déploiement via le proxy ICA

Dans ce mode, une page d’accueil personnalisée est configurée sur le VIP de la passerelle à l’aide du paramètre wihome. Cette page d’accueil peut être personnalisée avec la liste des ressources Bureau à distance auxquelles l’utilisateur est autorisé à accéder. Cette page personnalisée peut être hébergée sur Citrix ADC ou, si elle est externe, elle peut être un iFrame dans la page portail Gateway existante.

Dans les deux modes, une fois que l’utilisateur clique sur le lien ou l’icône RDP provisionné, une requête HTTPS pour la ressource correspondante arrive sur Citrix Gateway.La passerelle génère le contenu du fichier RDP pour la connexion demandée et le pousse vers le client. Le client RDP natif est appelé et se connecte à un écouteur RDP sur la passerelle. Gateway effectue l’authentification SSO au serveur RDP en prenant en charge l’application (SmartAccess), dans lequel la passerelle bloque l’accès client à certaines fonctionnalités RDP, en fonction de la configuration de Citrix ADC, puis elle proxie le trafic RDP entre le client RDP et le serveur.

Détails de l’application

L’administrateur Citrix ADC peut configurer certaines fonctionnalités RDP via la configuration Citrix Gateway. Citrix Gateway fournit la fonctionnalité « Application RDP » pour les paramètres RDP importants. Citrix ADC garantit que le client ne peut pas activer les paramètres bloqués. Si les paramètres bloqués sont activés, la fonctionnalité d’application RDP remplace les paramètres activés par le client et ils ne sont pas respectés.

Paramètres RDP pris en charge pour l’application

L’application des paramètres de redirection suivants est prise en charge. Elles sont configurables dans le cadre d’un profil client RDP.

  • Redirection du Presse-papiers

  • Redirection des imprimantes

  • Redirection des unités de disque

  • Redirection des ports COM

  • Redirection des périphériques pnp

Flux de connexion

Le flux de connexion peut être divisé en deux étapes :

  • énumération des ressources RDP et téléchargement du fichier RDP.

  • Lancement de la connexion RDP.

Sur la base du flux de connexion ci-dessus, il existe deux solutions de déploiement :

  • Solution de Gateway sans état (double) - l’énumération des ressources RDP et le téléchargement du fichier RDP se produit via la Gateway d’authentification, mais le lancement de la connexion RDP se produit via la Gateway d’écoute RDP.

  • Solution de Gateway unique : l’énumération des ressources RDP, le téléchargement du fichier RDP et le lancement de la connexion RDP se produisent via la même Gateway.

Compatibilité avec les passerelles sans état (double)

La figure suivante illustre le déploiement :

Compatibilité avec deux Gateway

  • L’utilisateur se connecte au VIP Authenticator Gateway et fournit les informations d’identification.

  • Une fois la connexion réussie à la passerelle, l’utilisateur est redirigé vers la page d’accueil ou le portail externe, qui énumère les ressources du Bureau à distance auxquelles l’utilisateur peut accéder.

  • Une fois que l’utilisateur sélectionne une ressource RDP, une demande est reçue par le VIP Authenticator Gateway, au format https://vserver-vip/rdpproxy/rdptarget/listener indiquant la ressource publiée sur laquelle l’utilisateur a cliqué. Cette demande contient les informations sur l’adresse IP et le port du serveur RDP que l’utilisateur a sélectionné.

  • La requête /rdpproxy/ est traitée par la passerelle d’authentification. Puisque l’utilisateur est déjà authentifié, cette demande est accompagnée d’un cookie Gateway valide.

  • Les informations RDPTarget et RDPuser sont stockées sur le serveur STA et un ticket STA est généré. Les informations stockées sur le serveur STA sont chiffrées à l’aide de la clé pré-partagée configurée. La Gateway Authenticator utilise l’un des serveurs STA configurés sur le serveur virtuel de passerelle.

  • Les informations « Listener » obtenues dans la requête /rdpproxy/ sont placées dans le fichier .rdp en tant que “fulladdress”, et le ticket STA (pré-pendé avec l’authentification STA) est placé dans le fichier .rdp en tant que “loadbalanceinfo.”

  • Le fichier .rdp est renvoyé au point final du client.

  • Le client RDP natif est lancé et se connecte à la passerelle RDPListener. Il envoie le ticket STA dans le paquet initial.

    La passerelle RDPListener valide le ticket STA et obtient les informations RDPTarget et RDPUser. Le serveur STA à utiliser est récupéré en utilisant le ‘AuthID’ présent dans loadbalanceinfo.

Compatibilité avec une passerelle unique

La figure suivante illustre le déploiement :

Compatibilité avec une Gateway unique

Dans le cas d’un déploiement de Gateway unique, le serveur STA n’est pas requis. La Gateway d’authentification code le RDPTarget et le cookie de session Citrix ADC AAA et les envoie en tant que loadbalanceinfo dans le fichier .rdp. Lorsque le client RDP envoie ce jeton dans le paquet initial, la Gateway d’authentification décode les informations RDPTarget, recherche la session et se connecte au RDPTarget.

Exigences de licence pour le proxy RDP

Édition Premium, Édition Avancée

Remarque : La fonction Proxy RDP n’est pas disponible pour les clients qui ont uniquement une licence de plate-forme Gateway ou uniquement l’édition Standard.

La fonction proxy RDP doit être activée pour que le proxy RDP fonctionne.

enable feature rdpProxy
<!--NeedCopy-->

Étapes de configuration

Les étapes de configuration de haut niveau sont répertoriées comme suit :

  1. Activer la fonction
  2. Créer des signets sur le portail Gateway ou utiliser un portail Gateway personnalisé qui énumère les ressources RDP
  3. Configurer un profil client RDP
  4. Configurer un profil de serveur RDP

Activer les fonctions et les modes requis

  • enable ns feature ssl

  • enable ns feature sslvpn

  • enable ns feature rdpproxy

  • enable mode usnip

Création de signets

  1. Créez des signets sur la page du portail pour accéder aux ressources RDP : (L’URL actualURL commence par rdp : //).

  2. Ajouter une URL<urlName> <linkName>  <actualURL>vpn

    • L’URL doit être au format suivant :rdp://<TargetIP:Port>.
    • Pour le mode proxy RDP sans état, l’URL doit être au format suivant :rdp://<TargetIP:Port>/<ListenerIP:Port>

    • L’URL est publiée sur le portail au format : https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Liez les signets à l’utilisateur, au groupe, au serveur virtuel vpn ou à vpn global.

Configuration d’un profil client

Configurez le profil client sur la Gateway d’authentification. Voici un exemple de configuration :

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->

Associez le profil client RDP au vserver.

Cela peut être fait soit en configurant une SessionAction+SessionPolicy, soit en définissant le paramètre global vpn.

Exemple :

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

OU

set vpn parameter –rdpClientprofile <name>

Configuration d’un profil de serveur

Configurez le profil de serveur sur la Gateway du processus d’écoute.

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

Le profil de serveur RDPServer doit être configuré sur le « serveur virtuel vpn ».

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

Exemple de configuration

Exemple de configuration

  • Activer les fonctions et les modes requis

    • enable ns feature ssl

    • enable ns feature sslvpn

    • enable ns feature rdpproxy

    • enable mode usnip

  • Ajouter une URL VPN pour l’utilisateur avec des informations de cible

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
     <!--NeedCopy-->
    
  • Configurer le client RDP et le profil de serveur pour la connexion VPN

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
     <!--NeedCopy-->
    
  • ADD SNIP pour la connexion de Citrix ADC à la cible

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
     <!--NeedCopy-->
    

Option de désactivation de l’authentification SSO

La fonctionnalité SSO (Single Sign On) avec proxy RDP peut être désactivée en configurant les stratégies de trafic Citrix ADC afin que l’utilisateur soit toujours invité à entrer des informations d’identification. Lorsque l’SSO est désactivée, l’application RDP (SmartAccess) ne fonctionne pas.

Exemple de configuration :

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->

La stratégie de trafic peut être configurée conformément à l’exigence, voici deux exemples :

• Pour désactiver l’authentification SSO pour tout le trafic :

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>
<!--NeedCopy-->

• Pour désactiver l’authentification unique en fonction de l’adresse IP source/destination /nom de domaine complet

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>
<!--NeedCopy-->

Prise en charge du module d’écoute unique

  • Écouteur unique pour le trafic RDP et SSL.

  • Le téléchargement de fichier RDP et le trafic RDP peuvent être gérés via le même tuple 2 (c’est-à-dire IP et port) sur Citrix ADC.

Signet

Génération de liens RDP via Portal. Au lieu de configurer les liens RDP pour l’utilisateur ou de publier les liens RDP via un portail externe, vous pouvez donner aux utilisateurs la possibilité de générer leurs propres URL en fournissant targerIP:Port. Pour le déploiement de proxy RDP-sans état, l’administrateur peut inclure des informations de processus d’écoute RDP dans le FQDN : Format de port dans le cadre du profil client RDP. Ceci est fait sous l’option RDPlistener. Cette configuration est utilisée pour la génération de liens RDP via le portail en mode Dual Gateway.

Signet

Configuration du proxy RDP

Procédez comme suit pour configurer le proxy RDP :

  1. Développez Citrix Gateway, développez Stratégies, cliquez avec le bouton droit sur RDP, puis cliquez sur Activer la fonctionnalité.

    Activer la fonction

  2. Cliquez sur RDP à gauche. Sur la droite, accédez à l’onglet Profils client et cliquez sur Ajouter.

    Créer un profil client

  3. Donnez un nom au profil client et configurez-le comme vous le souhaitez. Faites défiler vers le bas

    Ajouter un nom pour le profil

  4. Dans le champ Hôte RDP, entrez le nom de domaine complet qui se résout au processus d’écoute proxy RDP, qui est généralement le même nom de domaine complet que le FDQN de l’appliance Citrix Gateway.

  5. Près du bas se trouve une clé pré-partagée. Entrez un mot de passe et cliquez sur OK. Tu en as besoin plus tard.

    Mot de passe de clé prépartagée

  6. Donnez un nom au profil de serveur.

  7. Entrez l’adresse IP du serveur virtuel de passerelle que vous allez lier.

  8. Entrez la même clé pré-partagée que celle configurée pour le profil client RDP. Cliquez sur Créer.

    Saisir à nouveau le mot de passe de la clé prépartagée

  9. Si vous souhaitez placer des signets RDP sur la page portail Accès sans client, à gauche, développez Citrix Gateway, développez Ressources, puis cliquez sur Signets.

    Ajouter un signet

  10. Sur la droite, cliquez sur Ajouter.

    Ajouter un signet2

  11. Donnez un nom au signet.

  12. Pour l’URL, entrez rdp://MyRDPServer en utilisant IP ou DNS.

  13. Cochez la case en regard de Utiliser Citrix Gateway en tant que proxy inverse et cliquez sur Créer.

  14. Créez d’autres signets comme vous le souhaitez.

    Ajouter plusieurs signets

  15. Créez ou modifiez un profil ou une stratégie de session.

  16. Sous l’onglet Sécurité, définissez Action d’autorisation par défaut sur AUTORISER. Vous pouvez également utiliser les stratégies d’autorisation pour contrôler l’accès.

    Définir l'action d'authentification par défaut

  17. Sous l’onglet Bureau à distance, sélectionnez le profil client RDP que vous avez créé précédemment.

    Sélectionner un profil client RDP

  18. Si vous souhaitez utiliser les signets, sous l’onglet Expérience client, définissez Accès sans client sur On.

    Définir l'accès sans client sur On

  19. Sous l’onglet Applications publiées, assurez-vous que le proxy ICA est OFF.

    Définir le proxy ICA sur OFF

  20. Modifiez ou créez votre serveur virtuel Gateway.

  21. Dans la section Paramètres de base, cliquez sur Plus.

    Définir les paramètres de base

  22. Utilisez la liste Profil de serveur RDP pour sélectionner le profil de serveur RDP que vous avez créé précédemment.

    Utiliser le profil de serveur RDP

  23. Faites défiler vers le bas. Assurez-vous que ICA Only n’est pas cochée.

    Réglez ICA uniquement sur désactivé

  24. Liez un certificat.

  25. Lier les stratégies d’authentification.

  26. Liez la stratégie/profil de session sur lequel le profil client RDP est configuré.

    Stratégie de session de liaison

  27. Vous pouvez lier des signets au serveur virtuel Citrix Gateway ou à un groupe Citrix ADC AAA. Pour lier au serveur virtuel Citrix Gateway, sur la droite, dans la section Paramètres avancés, cliquez sur Applications publiées.

    Cliquez sur les applications publiées

  28. Sur la gauche, dans la section Applications publiées, cliquez sur Aucune URL .

    Définir aucune URL

  29. Liez vos signets.

    Liaison des signets

  30. Puisque ICA uniquement n’est pas spécifié pour ce serveur virtuel Citrix Gateway, assurez-vous que vos licences Citrix Gateway Universal sont correctement configurées. Sur la gauche, développez Citrix Gateway et cliquez sur Paramètres globaux .

    Définir les paramètres globaux

  31. Sur la droite, cliquez sur Modifier les paramètres de l’authentification AAA.

    Modifier les paramètres de Citrix ADC AAA

  32. Modifiez le nombre maximal d’utilisateurs à votre limite autorisée.

    Définir le nombre maximal d'utilisateurs

  33. Si vous souhaitez vous connecter aux serveurs RDP à l’aide de DNS, assurez-vous que les serveurs DNS sont configurés sur l’appliance (Gestion du trafic > DNS > Serveurs de noms).

    Configurer les serveurs DNS

  34. Si vous souhaitez utiliser les noms courts au lieu de FQDN, ajoutez unsuffixe D NS (Gestion du trafic > DNS > Suffixe DNS).

    Utiliser les noms de domaine complets

  35. Connectez-vous à votre passerelle et connectez-vous.

    Se connecter à la Gateway

  36. Si vous avez configuré Signets, cliquez sur le Signets.

    Cliquez sur les signets

  37. Vous pouvez modifier la barre d’adresse en /rdpProxy/myrdpServer. Vous pouvez entrer une adresse IP (par exemple rdpproxy/192.168.1.50) ou un nom DNS (/rdpproxy/monserver).

    Modifier la barre d'adresse

  38. Ouvrez le fichier .rdp téléchargé.

    Télécharger le fichier RDP

  39. Vous pouvez afficher les utilisateurs actuellement connectés en accèdent à Citrix Gateway Policies > RDP. Sur la droite se trouve l’onglet Connexions .

    Cliquez sur l'onglet Connexions