FAQ sur Unified Gateway

Qu’est-ce que Unified Gateway ? **

Unified Gateway est une nouvelle fonctionnalité de Citrix ADC 11.0, offrant la possibilité de recevoir du trafic sur un serveur virtuel unique (appelé serveur virtuel Unified Gateway), puis de diriger en interne ce trafic, le cas échéant, vers des serveurs virtuels liés au serveur virtuel Unified Gateway.

La fonctionnalité de passerelle unifiée permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une seule adresse IP ou URL (associée au serveur virtuel Unified Gateway). Les administrateurs peuvent libérer des adresses IP et simplifier la configuration du déploiement Citrix Gateway.

Chaque serveur virtuel Unified Gateway peut front-end un serveur virtuel Citrix Gateway avec un ou plusieurs serveurs virtuels d’équilibrage de charge dans le cadre d’une formation. Unified Gateway fonctionne en tirant parti de la fonctionnalité de commutation de contenu de l’appliance Citrix ADC.

Voici quelques exemples de déploiements de Unified Gateway :

  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, un serveur virtuel d’équilibrage de charge]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, deux serveurs virtuels d’équilibrage de charge]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, trois serveurs virtuels d’équilibrage de charge]

Chacun des serveurs virtuels d’équilibrage de charge peut être n’importe quel serveur d’équilibrage de charge standard qu’un héberge un service principal, tel que Microsoft Exchange ou Citrix ShareFile.

Pourquoi utiliser Unified Gateway ? **

La fonctionnalité de passerelle unifiée permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une seule adresse IP ou URL (associée au serveur virtuel Unified Gateway). Pour les administrateurs, l’avantage est qu’ils peuvent libérer des adresses IP et simplifier la configuration du déploiement Citrix Gateway.  

Peut-il y avoir plusieurs serveurs virtuels Unified Gateway ? **

Oui. Il peut y avoir autant de serveurs virtuels Unified Gateway que vous en avez besoin.

Pourquoi le changement de contenu est-il nécessaire pour Unified Gateway ? **

La fonctionnalité de commutation de contenu est requise car le serveur virtuel de commutation de contenu est celui qui reçoit le trafic et le dirige en interne vers le serveur virtuel approprié. Le serveur virtuel de commutation de contenu est le composant principal de la fonctionnalité Unified Gateway.

Dans les versions antérieures à 11.0, la commutation de contenu peut être utilisée pour recevoir du trafic pour plusieurs serveurs virtuels. Est-ce que cette utilisation est également appelée Unified Gateway ? **

L’utilisation d’un serveur virtuel de commutation de contenu pour la réception du trafic de plusieurs serveurs virtuels est prise en charge dans les versions antérieures à la version 11.0. Toutefois, la commutation de contenu n’a pas pu diriger le trafic vers un serveur virtuel Citrix Gateway.

Les améliorations apportées à la version 11.0 permettent à un serveur virtuel de commutation de contenu de diriger le trafic vers n’importe quel serveur virtuel, y compris un serveur virtuel Citrix Gateway.

Qu’est-ce qui a changé avec les stratégies de commutation de contenu dans Unified Gateway ? **

1. Un nouveau paramètre de ligne de commande « -targetvServer » est ajouté pour l’action de commutation de contenu. Le nouveau paramètre permet de spécifier le serveur virtuel Citrix Gateway cible. Exemple :

ajouter l’action cs UG_CSACT_myUG -targetvServer UG_VPN_myUG

Dans l’utilitaire de configuration Citrix Gateway, l’action de commutation de contenu comporte une nouvelle option, Target Virtual Server, qui peut référencer un serveur virtuel Citrix Gateway.

2. Une nouvelle expression de stratégie avancée, is_vpn_url, peut être utilisée pour faire correspondre Citrix Gateway et les demandes spécifiques à l’authentification.

Quelles fonctionnalités Citrix Gateway ne sont pas actuellement prises en charge dans Unified Gateway ? **

Toutes les fonctionnalités sont prises en charge dans Unified Gateway. Cependant, un problème mineur (ID de problème 544325) a été signalé avec l’ouverture de session native via le plugin VPN. Dans ce cas, l’authentification unique (SSO) transparente ne fonctionne pas.

Avec Unified Gateway, quel est le comportement des analyses EPA ? **

Avec Unified Gateway, l’analyse des points de terminaison est déclenchée uniquement pour les méthodes d’accès Citrix Gateway, et non pour l’accès AAA-TM. Si un utilisateur tente d’accéder à un serveur virtuel AAA-TM même si l’authentification est effectuée sur le serveur virtuel Citrix Gateway, l’analyse EPA n’est pas déclenchée. Toutefois, si l’utilisateur tente d’obtenir un accès VPN/VPN complet sans client, l’analyse EPA configurée est déclenchée. Dans ce cas, l’authentification ou l’authentification unique transparente est effectuée.

Configuration

Quelles sont les conditions de licence requises pour Unified Gateway ? **

Unified Gateway est pris en charge uniquement pour les licences Enterprise et Platinum. Il ne sera pas disponible pour Citrix Gateway uniquement ou les éditions de licence Standard.

Le serveur virtuel Citrix Gateway utilisé avec Unified Gateway nécessite-t-il une configuration IP/Port/SSL ? **

Pour un serveur virtuel Citrix Gateway utilisé avec un serveur virtuel Unified Gateway, une configuration IP/Port/SSL n’est pas nécessaire sur le serveur virtuel Citrix Gateway. Toutefois, pour la fonctionnalité proxy RDP, vous pouvez lier le même certificat de serveur SSL/TLS au serveur virtuel Citrix Gateway.

Dois-je reprovisionner les certificats SSL/TLS qui se trouvent sur le serveur virtuel Citrix Gateway pour une utilisation avec un serveur virtuel Unified Gateway ? **

Vous n’avez pas besoin de reprovisionner les certificats qui sont actuellement liés à votre serveur virtuel Citrix Gateway. Vous êtes libre de réutiliser tout certificat SSL existant et de les lier au serveur virtuel Unified Gateway.

Quelle est la différence entre une URL unique et un déploiement multi-hôte ? Laquelle ai-je besoin ? **

Une URL unique fait référence à la capacité du serveur virtuel Unified Gateway à gérer le trafic pour un nom de domaine complet (FQDN). Cette restriction existe lorsque Unified Gateway utilise un certificat de serveur SSL/TLS dont l’objet du certificat est rempli avec le nom de domaine complet. Par exemple : ug.citrix.com

Toutefois, si Unified Gateway utilise un certificat de serveur générique, il peut gérer le trafic de plusieurs sous-domaines. Par exemple : *.citrix.com

Une autre option est la configuration SSL/TLS avec la fonctionnalité SNI (Server Name Indicator) pour permettre la liaison de plusieurs certificats de serveur SSL/TLS. Exemples : auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un hôte unique par rapport à plusieurs hôtes est analogue à la façon dont les sites Web sont généralement hébergés sur un serveur Web (par exemple, serveur HTTP Apache ou Microsoft Internet Information Services (IIS)). S’il existe un seul hôte, vous pouvez utiliser le chemin d’accès du site pour changer de trafic de la même manière que vous utilisez l’alias ou le « répertoire virtuel » dans Apache. S’il y a plusieurs hôtes, vous utilisez un en-tête d’hôte pour changer de trafic de la même manière que vous utilisez Virtual Hosts dans Apache.

Authentification

Quels mécanismes d’authentification peuvent être utilisés avec Unified Gateway ? **

Tous les mécanismes d’authentification existants qui fonctionnent avec Citrix Gateway fonctionnent avec Unified Gateway.

Ceux-ci incluent LDAP, RADIUS, SAML, Kerberos, authentification basée sur les certificats, etc.

Quel que soit le mécanisme d’authentification configuré sur le serveur virtuel Citrix Gateway avant l’utilisation automatique de la mise à niveau lorsque le serveur virtuel Citrix Gateway est placé derrière le serveur virtuel Unified Gateway. Aucune étape de configuration supplémentaire n’est impliquée, autre que l’attribution d’une adresse IP non adressable (0.0.0.0) au serveur virtuel Citrix Gateway.

Qu’est-ce que l’authentification » SelFauth » ? **

SelfAuth n’est pas un type d’authentification en soi. SelfAth décrit comment une URL est créée. Un nouveau paramètre de ligne de commande, ssotype, est disponible pour la configuration d’URL VPN. Exemple :

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAth est l’une des valeurs du paramètre ssotype. Ce type d’URL peut être utilisé pour accéder à des ressources qui ne se trouvent pas dans le même domaine que le serveur virtuel Unified Gateway. Le paramètre peut être vu dans l’utilitaire de configuration lors de la configuration d’un signet.

Qu’est-ce que l’authentification » StePup » ? **

Lorsque des niveaux d’authentification supplémentaires et plus sécurisés sont requis pour accéder à une ressource AAA-TM, vous pouvez utiliser l’authentification StepUp. Sur la ligne de commande, utilisez une commande AuthnProfile pour définir le paramètre AuthenticationLevel. Exemple :

ajouter authentification AuthnProfile AuthnProfile -AuthnVsName AAATMVServer -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

Ce profil d’authentification est lié au serveur virtuel d’équilibrage de charge.

L’authentification StepUp est-elle prise en charge pour les serveurs virtuels AAA-TM ? **

Oui, il est pris en charge.

Qu’est-ce que la connexion une/déconnexion une fois ? **

Connexion Once : les utilisateurs VPN se connectent une fois à un serveur virtuel AAA-TM ou Citrix Gateway. Et à partir de là, les utilisateurs VPN ont un accès transparent à toutes les applications d’entreprise/cloud/Web. L’utilisateur n’a pas besoin d’être réauthentifié. Toutefois, la réauthentification est effectuée pour des cas particuliers, tels que AAA-TM StePup.

Déconnexion une fois : après la création de la première session AAA-TM ou Citrix Gateway, elle permet de créer des sessions AAA-TM ou Citrix Gateway ultérieures pour cet utilisateur. Si l’une de ces sessions est déconnectée, l’appliance Citrix ADC déconnecte également les autres applications ou sessions de l’utilisateur.

Des stratégies d’authentification communes peuvent-elles être spécifiées au niveau de Unified Gateway avec une liaison authentifiée spécifique au serveur virtuel d’équilibrage de charge AAA-TM au niveau du serveur virtuel d’équilibrage de charge ? Quelles sont les étapes de configuration pour prendre en charge ce cas d’utilisation ? **

Si vous devez spécifier des stratégies d’authentification distinctes pour le serveur virtuel AAA-TM derrière Unified Gateway, vous devez disposer d’un serveur virtuel d’authentification distinct adressable indépendamment (similaire à la configuration AAA-TM ordinaire). Le paramètre d’hôte d’authentification sur le serveur virtuel d’équilibrage de charge doit pointer vers ce serveur virtuel d’authentification.

Comment configurer Unified Gateway pour que les serveurs virtuels AAA-TM liés aient leurs propres stratégies d’authentification ? **

Dans ce scénario, le serveur d’équilibrage de charge doit avoir l’option de nom de domaine complet d’authentification définie pour pointer vers le serveur virtuel AAA-TM. Le serveur virtuel AAA-TM doit avoir une adresse IP indépendante et être accessible depuis Citrix ADC et les clients.

Un serveur virtuel d’authentification AAA-TM est-il nécessaire pour authentifier les utilisateurs qui passent par un serveur virtuel Unified Gateway ? **

Non. Le serveur virtuel Citrix Gateway authentifiera même les utilisateurs AAA-TM.

Où spécifiez-vous les stratégies d’authentification Citrix Gateway, sur le serveur virtuel Unified Gateway ou sur le serveur virtuel Citrix Gateway ? **

Les stratégies d’authentification doivent être liées au serveur virtuel Citrix Gateway.

Comment activer l’authentification sur des serveurs virtuels AAA-TM derrière un serveur virtuel de commutation de contenu Unified Gateway ? **

Activez l’authentification sur AAA-TM et pointez l’hôte d’authentification vers le nom de domaine complet de commutation de contenu Unified Gateway.

Gestion du trafic AAA

Comment ajouter des serveurs virtuels TM derrière la commutation de contenu (URL unique ou multi-hôte) ? **

Il n’y a aucune différence entre l’ajout de serveurs virtuels AAA-TM pour une URL unique et l’ajout pour plusieurs hôtes. Dans les deux cas, le serveur virtuel est ajouté en tant que cible dans une action de commutation de contenu. La différence entre une URL unique et un hôte multiple est implémentée par des règles de stratégie de commutation de contenu.

Qu’advient-il des stratégies d’authentification liées à un serveur virtuel d’équilibrage de charge AAA-TM si ce serveur virtuel est déplacé derrière un serveur virtuel Unified Gateway ? **

Les stratégies d’authentification sont liées au serveur virtuel d’authentification et le serveur virtuel d’authentification est lié au serveur virtuel d’équilibrage de charge. Pour le serveur virtuel Unified Gateway, Citrix recommande que le serveur virtuel Citrix Gateway soit le point d’authentification unique, ce qui annule la nécessité d’effectuer une authentification sur un serveur virtuel d’authentification (ou même la nécessité d’un serveur virtuel d’authentification spécifique). Le fait de pointer l’hôte d’authentification vers le nom de domaine complet du serveur virtuel Unified Gateway garantit que l’authentification est effectuée par le serveur virtuel Citrix Gateway. Si vous pointez l’hôte d’authentification vers la commutation de contenu pour Unified Gateway et que vous avez toujours un serveur virtuel d’authentification lié, les stratégies d’authentification liées au serveur virtuel d’authentification sont ignorées. Toutefois, si vous pointez un hôte d’authentification vers un serveur virtuel d’authentification adressable indépendant, les stratégies d’authentification liées prennent effet.

Comment configurer les stratégies de session pour les sessions AAA-TM ? **

Si, dans Unified Gateway, aucun serveur virtuel d’authentification n’est spécifié pour le serveur virtuel AAA-TM, les sessions AAA-TM héritent des stratégies de session Citrix Gateway. Si le serveur virtuel d’authentification est spécifié, les stratégies de session AAA-TM liées à ce serveur virtuel sont appliquées.

Personnalisation du portail

Quelles sont les modifications apportées au portail Citrix Gateway dans Citrix ADC 11.0 ? **

Dans Citrix ADC versions antérieures à 11.0, une personnalisation de portail unique peut être configurée au niveau global. Chaque serveur virtuel de passerelle dans une appliance Citrix ADC donnée utilise la personnalisation globale du portail.

Dans Citrix ADC 11.0, avec la fonctionnalité de thèmes de portail, vous pouvez configurer plusieurs thèmes de portail. Les thèmes peuvent être liés globalement ou à des serveurs virtuels spécifiques.

Citrix ADC 11.0 prend-il en charge la personnalisation du portail Citrix Gateway ? **

À l’aide de l’utilitaire de configuration, vous pouvez utiliser la nouvelle fonctionnalité de thèmes de portail pour personnaliser et créer complètement les nouveaux thèmes de portail. Vous pouvez télécharger différentes images, définir des jeux de couleurs, modifier les étiquettes de texte et ainsi de suite.

Les pages du portail qui peuvent être personnalisées sont les suivantes :

  • Page de connexion
  • Page Analyse des points de terminaison
  • Page Erreur Analyse des points de terminaison
  • Page Publier l’analyse des points de terminaison
  • Page Connexion VPN
  • Page d’accueil du portail

Avec cette version, vous pouvez personnaliser les serveurs virtuels Citrix Gateway avec des conceptions de portail uniques.

Les thèmes de portail sont-ils pris en charge dans les déploiements de haute disponibilité ou de cluster Citrix ADC ? **

Oui. Les thèmes de portail sont pris en charge dans les déploiements de haute disponibilité et de cluster Citrix ADC.

Mes personnalisations seront-elles migrées dans le cadre du processus de mise à niveau de Citrix ADC 11.0 ? **

Non. Les personnalisations existantes vers la page du portail Citrix Gateway qui sont appelées via la modification du fichier rc.conf/rc .netscaler ou en utilisant la fonctionnalité de thème personnalisé dans 10.1/10.5 ne seront pas automatiquement migrées lors de la mise à niveau vers Citrix ADC 11.0.

Existe-t-il des étapes de pré-mise à niveau à suivre pour être prêt pour les thèmes du portail dans Citrix ADC 11.0 ? **

Toutes les personnalisations existantes doivent être supprimées du ou des fichiers rc.conf ou rc.netscaler.

L’autre option est que si des thèmes personnalisés sont utilisés, ils doivent recevoir le paramètre Par défaut :

Accédez à Configuration > Citrix Gateway > Paramètres globaux

Cliquez sur Modifier les paramètres globaux. Cliquez sur Expérience client et sélectionnez Par défaut dans la liste déroulante Thème de l’interface utilisateur .

J’ai des personnalisations qui sont stockées sur l’instance Citrix ADC, invoquées par rc.conf ou rc.netscaler. Comment passer aux thèmes du portail ? **

L’article Citrix Knowledge Center déCTX126206taille une configuration pour Citrix ADC 9.3 et 10.0 versions jusqu’à 10.0 build 73.5001.e. Depuis Citrix ADC 10.0 build 10.0 73.5002.e (y compris 10.1 et 10.5), le paramètre UITHEME CUSTOM a été disponible pour aider les clients à conserver leurs personnalisations lors des redémarrages. Si les personnalisations sont stockées sur le disque dur Citrix ADC et que vous souhaitez continuer à utiliser ces personnalisations, sauvegardez les fichiers GUI 11.0 et insérez-les dans le fichier de thème personnalisé existant. Si vous souhaitez passer à des thèmes de portail, vous devez d’abord annuler le paramètre UITHEME dans les Paramètres globaux ou le profil Session, sous Expérience client. Ou, vous pouvez le définir sur DEFAULT ou GREENBUBBLE. Ensuite, vous pouvez commencer à créer et lier un thème Portal.

Comment puis-je exporter mes personnalisations actuelles et les enregistrer avant la mise à niveau vers Citrix ADC 11.0 ? Puis-je déplacer les fichiers exportés vers un autre dispositif Citrix ADC ? **

Les fichiers personnalisés qui ont été téléchargés dans le dossier ns_gui_custom sont sur le disque et persistent dans toutes les mises à niveau. Toutefois, ces fichiers peuvent ne pas être entièrement compatibles avec le nouveau noyau Citrix ADC 11.0 et les autres fichiers GUI qui font partie du noyau. Par conséquent, Citrix recommande de sauvegarder les fichiers GUI 11.0 et de personnaliser les sauvegardes.

En outre, il n’existe aucun utilitaire dans l’utilitaire de configuration pour exporter le dossier ns_custom_gui vers un autre dispositif Citrix ADC. Vous devez utiliser SSH ou un utilitaire de transfert de fichiers tel que WinSCP pour retirer les fichiers de l’instance d’Citrix ADC.

Les thèmes de portail sont-ils pris en charge pour les serveurs virtuels AAA-TM ? **

Oui. Les thèmes de portail sont pris en charge pour les serveurs virtuels AAA-TM.

Proxy RDP

Qu’est-ce qui a changé dans RDP Proxy pour Citrix Gateway 11.0 ? **

De nombreuses améliorations ont été apportées au proxy RDP depuis la version d’amélioration de Citrix ADC 10.5.e. Dans Citrix ADC 11.0, cette fonctionnalité est disponible à partir de la première version publiée.

Changements de licence

La fonctionnalité Proxy RDP de Citrix ADC 11.0 peut être utilisée uniquement avec les éditions Platinum et Enterprise. Les licences d’utilisateur simultané Citrix (CCU) doivent être obtenues pour chaque utilisateur.

Activer la commande

Dans Citrix ADC 10.5.e, il n’y avait pas de commande pour activer le proxy RDP. Dans Citrix ADC 11.0, la commande enable a été ajoutée :

activer la fonction rdpproxy

La fonctionnalité doit être sous licence pour exécuter cette commande.

Autres modifications de proxy RDP

Un attribut de clé pré-partagée (PSK) sur le profil de serveur a été rendu obligatoire.

Pour migrer les configurations Citrix ADC 10.5.e existantes pour le proxy RDP vers Citrix ADC 11.0, les détails suivants doivent être compris et traités.

Si un administrateur souhaite ajouter une configuration de proxy RDP existante à un déploiement Unified Gateway choisi :

  • L’adresse IP du serveur virtuel Citrix Gateway doit être modifiée et définie sur une adresse IP non adressable (0.0.0.0).
  • Tous les certificats de serveur SSL/TLS, les stratégies d’authentification doivent être liées au serveur virtuel Citrix Gateway qui fait partie de la formation Unified Gateway choisie.

Comment migrer une configuration de proxy RDP (Remote Desktop Protocol) basée sur Citrix ADC 10.5.e vers Citrix ADC 11.0 ? **

Option 1 : conserver le serveur virtuel Citrix Gateway existant avec la configuration RDP Proxy telle qu’elle est, avec une licence Platinum ou Enterprise.

Option 2 : déplacez le serveur virtuel Citrix Gateway existant avec la configuration RDP Proxy, en le plaçant derrière un serveur virtuel Unified Gateway.

Option 3 : ajoutez un serveur virtuel Citrix Gateway autonome avec la configuration du proxy RDP à une appliance Standard Edition existante.

Comment configurer la configuration du proxy Citrix Gateway pour RDP à l’aide de la version 11.0 de Citrix ADC ? **

Il existe deux options pour déployer un proxy RDP à l’aide de la version NS 11.0 :

1) Utilisation d’un serveur virtuel Citrix Gateway dirigé vers l’extérieur. Cela nécessite une adresse IP/nom de domaine complet visible en externe pour le serveur virtuel Citrix Gateway.Cette option est disponible dans Citrix ADC 10.5.e.

2) Utilisation d’un serveur virtuel Unified Gateway frontal du serveur virtuel Citrix Gateway.

Avec l’option 2, le serveur virtuel Citrix Gateway ne nécessite pas sa propre adresse IP/FQDN, car il utilise une adresse IP non adressable (0.0.0.0).

Intégration avec d’autres logiciels Citrix

HDX Insight fonctionnera-t-il avec Unified Gateway ? **

Lorsque Citrix Gateway est déployé avec Unified Gateway, le serveur virtuel Citrix Gateway doit avoir un certificat SSL valide qui lui est lié et doit être dans un état UP afin de générer des enregistrements AppFlow pour Citrix ADC Insight Center aux fins du reporting HDX Insight.

Comment migrer ma configuration HDX Insight existante ? **

Aucune migration n’est nécessaire. Les stratégies AppFlow liées à un serveur virtuel Citrix Gateway sont remises si ce serveur virtuel Citrix Gateway est placé derrière un serveur virtuel Unified Gateway.

Pour les données existantes dans Citrix ADC Insight Center pour le serveur virtuel Citrix Gateway, il existe deux possibilités :

  • Si l’adresse IP du serveur virtuel Citrix Gateway est attribuée à un serveur virtuel Unified Gateway dans le cadre de la migration vers Unified Gateway, les données restent liées au serveur virtuel Citrix Gateway
  • Si une adresse IP distincte est attribuée au serveur virtuel Unified Gateway, les données AppFlow du serveur virtuel Citrix Gateway sont liées à cette nouvelle adresse IP. Par conséquent, les données existantes ne feront pas partie des nouvelles données.