FAQ sur Unified Gateway

Qu’est-ce que Unified Gateway ? **

Unified Gateway est une nouvelle fonctionnalité de Citrix ADC 11.0, qui permet de recevoir du trafic sur un seul serveur virtuel (appelé serveur virtuel Unified Gateway), puis de diriger en interne ce trafic, selon le cas, vers des serveurs virtuels liés au serveur virtuel Unified Gateway.

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une seule adresse IP ou URL (associée au serveur virtuel Unified Gateway). Les administrateurs peuvent libérer des adresses IP et simplifier la configuration du déploiement Citrix Gateway.

Chaque serveur virtuel Unified Gateway peut front-end un serveur virtuel Citrix Gateway avec zéro ou plusieurs serveurs virtuels d’équilibrage de charge dans le cadre d’une formation. Unified Gateway fonctionne en exploitant la fonctionnalité de commutation de contenu de l’appliance Citrix ADC.

Voici quelques exemples de déploiements de Unified Gateway :

  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, un serveur virtuel d’équilibrage de charge]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, deux serveurs virtuels d’équilibrage de charge]
  • Serveur virtuel Unified Gateway - > [un serveur virtuel Citrix Gateway, trois serveurs virtuels d’équilibrage de charge]

Chacun des serveurs virtuels d’équilibrage de charge peut être n’importe quel serveur d’équilibrage de charge standard qui héberge un service principal, tel que Microsoft Exchange ou Citrix ShareFile.

Pourquoi utiliser Unified Gateway ? **

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une seule adresse IP ou URL (associée au serveur virtuel Unified Gateway). Pour les administrateurs, l’avantage est qu’ils peuvent libérer des adresses IP et simplifier la configuration du déploiement Citrix Gateway.  

Y a-t-il plusieurs serveurs virtuels Unified Gateway ? **

Oui. Il peut y avoir autant de serveurs virtuels Unified Gateway que vous en avez besoin.

Pourquoi le changement de contenu est-il nécessaire pour Unified Gateway ? **

La fonction de commutation de contenu est requise car le serveur virtuel de commutation de contenu est celui qui reçoit le trafic et le dirige en interne vers le serveur virtuel approprié. Le serveur virtuel de commutation de contenu est le composant principal de la fonctionnalité Unified Gateway.

Dans les versions antérieures à 11.0, la commutation de contenu peut être utilisée pour recevoir du trafic pour plusieurs serveurs virtuels. Cette utilisation est-elle également appelée Unified Gateway ? **

L’utilisation d’un serveur virtuel de commutation de contenu pour recevoir du trafic pour plusieurs serveurs virtuels est prise en charge dans les versions antérieures à 11.0. Toutefois, la commutation de contenu n’a pas pu diriger le trafic vers un serveur virtuel Citrix Gateway.

Les améliorations apportées à la version 11.0 permettent à un serveur virtuel de commutation de contenu de diriger le trafic vers n’importe quel serveur virtuel, y compris un serveur virtuel Citrix Gateway.

Qu’est-ce qui a changé avec les stratégies de commutation de contenu dans Unified Gateway ? **

1. Un nouveau paramètre de ligne de commande « -targetvServer » est ajouté pour l’action de commutation de contenu. Le nouveau paramètre est utilisé pour spécifier le serveur virtuel Citrix Gateway cible. Exemple :

add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

Dans l’utilitaire de configuration Citrix Gateway, l’action de commutation de contenu comporte une nouvelle option, Target Virtual Server, qui peut référencer un serveur virtuel Citrix Gateway.

2. Une nouvelle expression de stratégie avancée, is_vpn_url, peut être utilisée pour faire correspondre Citrix Gateway et les demandes spécifiques à l’authentification.

Quelles fonctionnalités Citrix Gateway ne sont pas actuellement prises en charge dans Unified Gateway ? **

Toutes les fonctionnalités sont prises en charge dans Unified Gateway. Cependant, un problème mineur (ID de problème 544325) a été signalé avec l’ouverture de session native via le plugin VPN. Dans ce cas, l’authentification unique (SSO) transparente ne fonctionne pas.

Avec Unified Gateway, quel est le comportement des analyses EPA ? **

Avec Unified Gateway, l’analyse des points de terminaison est déclenchée uniquement pour les méthodes d’accès Citrix Gateway, et non pour l’accès AAA-TM. Si un utilisateur tente d’accéder à un serveur virtuel AAA-TM même si l’authentification est effectuée sur le serveur virtuel Citrix Gateway, l’analyse EPA n’est pas déclenchée. Toutefois, si l’utilisateur tente d’obtenir un accès VPN/VPN complet sans client, l’analyse EPA configurée est déclenchée. Dans ce cas, l’authentification ou l’authentification unique transparente est effectuée.

Installation

Quelles sont les exigences de licence pour Unified Gateway ? **

Unified Gateway est pris en charge uniquement pour les licences Advanced et Premium. Il ne sera pas disponible uniquement pour Citrix Gateway ou pour les éditions de licence Standard.

Le serveur virtuel Citrix Gateway utilisé avec Unified Gateway a-t-il besoin d’une configuration IP/port/SSL ? **

Pour un serveur virtuel Citrix Gateway utilisé avec un serveur virtuel Unified Gateway, une configuration IP/port/SSL n’est pas nécessaire sur le serveur virtuel Citrix Gateway. Toutefois, pour la fonctionnalité de proxy RDP, vous pouvez lier le même certificat de serveur SSL/TLS au serveur virtuel Citrix Gateway.

Dois-je reprovisionner les certificats SSL/TLS qui se trouvent sur le serveur virtuel Citrix Gateway pour une utilisation avec un serveur virtuel Unified Gateway ? **

Vous n’avez pas besoin de reprovisionner les certificats qui sont actuellement liés à votre serveur virtuel Citrix Gateway. Vous êtes libre de réutiliser tout certificat SSL existant et de les lier au serveur virtuel Unified Gateway.

Quelle est la différence entre une URL unique et un déploiement multi-hôte ? Lequel ai-je besoin ? **

URL unique fait référence à la capacité du serveur virtuel Unified Gateway à gérer le trafic pour un nom de domaine complet (FQDN). Cette restriction existe lorsque Unified Gateway utilise un certificat de serveur SSL/TLS dont l’objet du certificat est rempli avec le nom de domaine complet. Par exemple : ug.citrix.com

Toutefois, si Unified Gateway utilise un certificat de serveur générique, il peut gérer le trafic pour plusieurs sous-domaines. Par exemple : *.citrix.com

Une autre option est la configuration SSL/TLS avec la fonctionnalité SNI (Server Name Indicator) pour permettre la liaison de plusieurs certificats de serveur SSL/TLS. Exemples : auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Hôte unique par rapport à plusieurs hôtes est analogue à la façon dont les sites Web sont généralement hébergés sur un serveur Web (par exemple, serveur HTTP Apache ou Microsoft Internet Information Services (IIS)). S’il existe un hôte unique, vous pouvez utiliser le chemin d’accès du site pour changer de trafic de la même façon que vous utilisez l’alias ou le « répertoire virtuel » dans Apache. S’il existe plusieurs hôtes, vous utilisez un en-tête d’hôte pour changer le trafic de la même manière que vous utilisez Virtual Hosts dans Apache.

Authentification

Quels mécanismes d’authentification peuvent être utilisés avec Unified Gateway ? **

Tous les mécanismes d’authentification existants qui fonctionnent avec Citrix Gateway fonctionnent avec Unified Gateway.

Ceux-ci incluent LDAP, RADIUS, SAML, Kerberos, authentification basée sur le certificat, etc.

Quel que soit le mécanisme d’authentification configuré sur le serveur virtuel Citrix Gateway avant que la mise à niveau ne soit utilisée automatiquement lorsque le serveur virtuel Citrix Gateway est placé derrière le serveur virtuel Unified Gateway. Aucune étape de configuration supplémentaire n’est impliquée, autre que l’attribution d’une adresse IP non adressable (0.0.0.0) au serveur virtuel Citrix Gateway.

Qu’est-ce que l’authentification » SelFauth » ? **

SelFauth n’est pas un type d’authentification en soi. SelFauth décrit comment une URL est créée. Un nouveau paramètre de ligne de commande, ssotype, est disponible pour la configuration d’URL VPN. Exemple :

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelFauth est l’une des valeurs du paramètre ssotype. Ce type d’URL peut être utilisé pour accéder à des ressources qui ne se trouvent pas dans le même domaine que le serveur virtuel Unified Gateway. Le paramètre peut être vu dans l’utilitaire de configuration lors de la configuration d’un signet.

Qu’est-ce que l’authentification « StepUp » ? **

Lorsque des niveaux d’authentification supplémentaires et plus sécurisés sont requis pour accéder à une ressource AAA-TM, vous pouvez utiliser l’authentification StepUp. Sur la ligne de commande, utilisez une commande AuthnProfile pour définir le paramètre AuthenticationLevel. Exemple :

ajouter l’authentification AuthNProfile AuthNVSName AAATMVServeur -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

Ce profil d’authentification est lié au serveur virtuel d’équilibrage de charge.

L’authentification StepUp est-elle prise en charge pour les serveurs virtuels AAA-TM ? **

Oui, il est pris en charge.

Qu’est-ce que la connexion une fois/déconnexion une fois ? **

Connexion une fois : les utilisateurs VPN se connectent une fois à un serveur virtuel AAA-TM ou Citrix Gateway. Et à partir de ce moment, les utilisateurs de VPN ont un accès transparent à toutes les applications Enterprise/Cloud et Web. L’utilisateur n’a pas besoin d’être réauthentifié. Cependant, la réauthentification est effectuée pour des cas particuliers, tels que AAA-TM StepUp.

Déconnexion une fois : une fois la première session AAA-TM ou Citrix Gateway créée, elle est utilisée pour créer les sessions AAA-TM ou Citrix Gateway suivantes pour cet utilisateur. Si l’une de ces sessions est déconnectée, l’appliance Citrix ADC déconnecte également les autres applications ou sessions de l’utilisateur.

Des stratégies d’authentification communes peuvent-elles être spécifiées au niveau de Unified Gateway avec une liaison authentifiée spécifique au serveur virtuel d’équilibrage de charge AAA-TM au niveau du serveur virtuel d’équilibrage de charge ? Quelles sont les étapes de configuration pour prendre en charge ce cas d’utilisation ? **

Si vous devez spécifier des stratégies d’authentification distinctes pour le serveur virtuel AAA-TM derrière Unified Gateway, vous devez disposer d’un serveur virtuel d’authentification distinct adressable indépendamment (similaire à la configuration AAA-TM ordinaire). Le paramètre d’hôte d’authentification sur le serveur virtuel d’équilibrage de charge doit pointer vers ce serveur virtuel d’authentification.

Comment configurer Unified Gateway pour que les serveurs virtuels AAA-TM liés aient leurs propres stratégies d’authentification ? **

Dans ce scénario, le serveur d’équilibrage de charge doit avoir l’option FQDN d’authentification définie pour pointer vers le serveur virtuel AAA-TM. Le serveur virtuel AAA-TM doit avoir une adresse IP indépendante et être accessible depuis Citrix ADC et les clients.

Un serveur virtuel d’authentification AAA-TM est-il requis pour authentifier les utilisateurs via un serveur virtuel Unified Gateway ? **

Non. Le serveur virtuel Citrix Gateway authentifie même les utilisateurs AAA-TM.

Où spécifiez-vous les stratégies d’authentification Citrix Gateway, sur le serveur virtuel Unified Gateway ou sur le serveur virtuel Citrix Gateway ? **

Les stratégies d’authentification doivent être liées au serveur virtuel Citrix Gateway.

Comment activer l’authentification sur les serveurs virtuels AAA-TM derrière un serveur virtuel de commutation de contenu Unified Gateway ? **

Activez l’authentification sur AAA-TM et pointez l’hôte d’authentification vers le nom de domaine complet de commutation de contenu Unified Gateway.

Gestion du trafic AAA

Comment ajouter des serveurs TM Virtual derrière la commutation de contenu (URL unique vs multi-hôte) ? **

Il n’y a aucune différence entre l’ajout de serveurs virtuels AAA-TM pour une URL unique et l’ajout pour plusieurs hôtes. Dans les deux cas, le serveur virtuel est ajouté en tant que cible dans une action de commutation de contenu. La différence entre une URL unique et un hôte multiple est implémentée par des règles de stratégie de commutation de contenu.

Qu’advient-il des stratégies d’authentification liées à un serveur virtuel d’équilibrage de charge AAA-TM si ce serveur virtuel est déplacé derrière un serveur virtuel Unified Gateway ? **

Les stratégies d’authentification sont liées à l’authentification du serveur virtuel, et le serveur virtuel d’authentification est lié au serveur virtuel d’équilibrage de charge. Pour le serveur virtuel Unified Gateway, Citrix recommande de disposer du serveur virtuel Citrix Gateway comme point d’authentification unique, ce qui annule la nécessité d’effectuer l’authentification sur un serveur virtuel d’authentification (ou même la nécessité d’un serveur virtuel d’authentification spécifique). Le pointage de l’hôte d’authentification vers le nom de domaine complet du serveur virtuel Unified Gateway garantit que l’authentification est effectuée par le serveur virtuel Citrix Gateway. Si vous pointez l’hôte d’authentification vers le changement de contenu pour Unified Gateway et que vous avez toujours un serveur virtuel d’authentification lié, les stratégies d’authentification liées au serveur virtuel d’authentification sont ignorées. Toutefois, si vous pointez un hôte d’authentification vers un serveur virtuel d’authentification adressable indépendant, les stratégies d’authentification liées prennent effet.

Comment configurer les stratégies de session pour les sessions AAA-TM ? **

Si, dans Unified Gateway, aucun serveur virtuel d’authentification n’est spécifié pour le serveur virtuel AAA-TM, les sessions AAA-TM héritent des stratégies de session Citrix Gateway. Si le serveur virtuel d’authentification est spécifié, les stratégies de session AAA-TM liées à ce serveur virtuel sont appliquées.

Personnalisation du portail

Quelles sont les modifications apportées au portail Citrix Gateway dans Citrix ADC 11.0 ? **

Dans les versions Citrix ADC antérieures à 11.0, une personnalisation de portail unique peut être configurée au niveau global. Chaque serveur virtuel de Gateway d’une appliance Citrix ADC donnée utilise la personnalisation du portail global.

Dans Citrix ADC 11.0, avec la fonctionnalité Thèmes de portail, vous pouvez configurer plusieurs thèmes de portail. Les thèmes peuvent être liés globalement ou à des serveurs virtuels spécifiques.

Citrix ADC 11.0 prend-il en charge la personnalisation du portail Citrix Gateway ? **

À l’aide de l’utilitaire de configuration, vous pouvez utiliser la nouvelle fonctionnalité de thèmes de portail pour personnaliser et créer complètement les nouveaux thèmes de portail. Vous pouvez télécharger différentes images, définir des jeux de couleurs, modifier des étiquettes de texte, etc.

Les pages du portail qui peuvent être personnalisées sont les suivantes :

  • Page de connexion
  • Page Analyse des points de terminaison
  • Page Erreur d’analyse du point de terminaison
  • Page Publier l’analyse des points de terminaison
  • Page Connexion VPN
  • Page d’accueil du portail

Avec cette version, vous pouvez personnaliser les serveurs virtuels Citrix Gateway avec des conceptions de portail uniques.

Les thèmes de portail sont-ils pris en charge dans Citrix ADC haute disponibilité ou les déploiements de cluster ? **

Oui. Les thèmes de portail sont pris en charge dans les déploiements de haute disponibilité et de cluster Citrix ADC.

Mes personnalisations seront-elles migrées dans le cadre du processus de mise à niveau Citrix ADC 11.0 ? **

Non. Les personnalisations existantes vers la page du portail Citrix Gateway qui sont appelées via la modification du fichier rc.conf/rc .netscaler ou en utilisant la fonctionnalité de thème personnalisé dans 10.1/10.5 ne seront pas automatiquement migrées lors de la mise à niveau vers Citrix ADC 11.0.

Existe-t-il des étapes de pré-mise à niveau à suivre pour être prêt pour les thèmes de portail dans Citrix ADC 11.0 ? **

Toutes les personnalisations existantes doivent être supprimées du ou des fichiers rc.conf ou rc.netscaler.

L’autre option est que si des thèmes personnalisés sont utilisés, ils doivent recevoir le paramètre Par défaut :

Accédez à Configuration > Citrix Gateway > Paramètres globaux

Cliquez sur Modifier les paramètres globaux. Cliquez sur Expérience client et sélectionnez Par défaut dans la liste déroulante Thème de l’interface utilisateur .

J’ai des personnalisations qui sont stockées sur l’instance de Citrix ADC, appelée par rc.conf ou rc.netscaler. Comment passer aux thèmes du portail ? **

L’article Citrix Knowledge CenterCTX126206détaille cette configuration pour Citrix ADC 9.3 et 10.0 versions jusqu’à 10.0 build 73.5001.e. Depuis Citrix ADC 10.0 build 10.0 73.5002.e (y compris 10.1 et 10.5), le paramètre UITHEME CUSTOM est disponible pour aider les clients à conserver leurs personnalisations lors des redémarrages. Si les personnalisations sont stockées sur le disque dur Citrix ADC et que vous souhaitez continuer à utiliser ces personnalisations, sauvegardez les fichiers GUI 11.0 et insérez-les dans le fichier de thème personnalisé existant. Si vous souhaitez passer à des thèmes de portail, vous devez d’abord annuler la définition du paramètre UITHEME dans les Paramètres globaux ou le profil de session, sous Expérience client. Ou, vous pouvez le définir sur DEFAULT ou GREENBUBBLE. Ensuite, vous pouvez commencer à créer et lier un thème de portail.

Comment puis-je exporter mes personnalisations actuelles et les enregistrer avant la mise à niveau vers Citrix ADC 11.0 ? Puis-je déplacer les fichiers exportés vers un autre dispositif Citrix ADC ? **

Les fichiers personnalisés qui ont été téléchargés dans le dossier ns_gui_custom se trouvent sur le disque et persistent dans toutes les mises à niveau. Toutefois, ces fichiers peuvent ne pas être entièrement compatibles avec le nouveau noyau Citrix ADC 11.0 et d’autres fichiers GUI qui font partie du noyau. Par conséquent, Citrix recommande de sauvegarder les fichiers GUI 11.0 et de personnaliser les sauvegardes.

De plus, il n’existe aucun utilitaire dans l’utilitaire de configuration pour exporter le dossier ns_custom_gui vers un autre appliance Citrix ADC. Vous devez utiliser SSH ou un utilitaire de transfert de fichiers tel que WinSCP pour retirer les fichiers de l’instance d’Citrix ADC.

Les thèmes de portail sont-ils pris en charge pour les serveurs virtuels AAA-TM ? **

Oui. Les thèmes de portail sont pris en charge pour les serveurs virtuels AAA-TM.

Proxy RDP

Qu’est-ce qui a changé dans le proxy RDP pour Citrix Gateway 11.0 ? **

De nombreuses améliorations ont été apportées au proxy RDP depuis la version d’amélioration Citrix ADC 10.5.e. Dans Citrix ADC 11.0, cette fonctionnalité est disponible à partir de la première version.

Modifications apportées aux licences

La fonctionnalité Proxy RDP de Citrix ADC 11.0 peut être utilisée uniquement avec les éditions Premium et Advanced. Les licences Citrix Concurrent User (CCU) doivent être obtenues pour chaque utilisateur.

Activer la commande

Dans Citrix ADC 10.5.e, il n’y avait aucune commande pour activer le proxy RDP. Dans Citrix ADC 11.0, la commande enable a été ajoutée :

activer la fonctionnalité rdpproxy

La fonctionnalité doit être sous licence pour exécuter cette commande.

Autres modifications de proxy RDP

Un attribut clé pré-partagée (PSK) sur le profil du serveur a été rendu obligatoire.

Pour migrer des configurations Citrix ADC 10.5.e existantes pour le proxy RDP vers Citrix ADC 11.0, les détails suivants doivent être compris et traités.

Si un administrateur souhaite ajouter une configuration de proxy RDP existante à un déploiement Unified Gateway choisi :

  • L’adresse IP du serveur virtuel Citrix Gateway doit être modifiée et définie sur une adresse IP non adressable (0.0.0.0).
  • Tous les certificats de serveur SSL/TLS, les stratégies d’authentification doivent être liées au serveur virtuel Citrix Gateway qui fait partie de la formation Unified Gateway choisie.

Comment migrer une configuration de proxy RDP (Remote Desktop Protocol) basée sur Citrix ADC 10.5.e vers Citrix ADC 11.0 ? **

Option 1 : Conservez le serveur virtuel Citrix Gateway existant avec la configuration RDP Proxy telle qu’elle est, avec une licence Premium ou Advanced.

Option 2 : déplacez le serveur virtuel Citrix Gateway existant avec la configuration de proxy RDP, en le plaçant derrière un serveur virtuel Unified Gateway.

Option 3 : ajoutez un serveur virtuel Citrix Gateway autonome avec la configuration du proxy RDP à une appliance Standard Edition existante.

Comment configurer Citrix Gateway pour la configuration du proxy RDP à l’aide de Citrix ADC 11.0 version ? **

Il existe deux options pour déployer le proxy RDP à l’aide de la version NS 11.0 :

1) Utilisation d’un serveur virtuel Citrix Gateway dirigé vers l’extérieur. Cela nécessite une adresse IP ou un nom de domaine complet visible en externe pour le serveur virtuel Citrix Gateway.Cette option est disponible dans Citrix ADC 10.5.e.

2) Utilisation d’un serveur virtuel Unified Gateway avant le serveur virtuel Citrix Gateway.

Avec l’option 2, le serveur virtuel Citrix Gateway ne nécessite pas sa propre adresse IP/nom de domaine complet, car il utilise une adresse IP non adressable (0.0.0.0).

Intégration avec d’autres logiciels Citrix

HDX Insight fonctionnera-t-il avec Unified Gateway ? **

Lorsque Citrix Gateway est déployé avec Unified Gateway, le serveur virtuel Citrix Gateway doit avoir un certificat SSL valide qui lui est lié, et il doit être dans un état UP afin de générer des enregistrements AppFlow pour Citrix ADC Insight Center aux fins des rapports HDX Insight.

Comment migrer ma configuration HDX Insight existante ? **

Aucune migration n’est nécessaire. Les stratégies AppFlow liées à un serveur virtuel Citrix Gateway reportent si ce serveur virtuel Citrix Gateway est placé derrière un serveur virtuel Unified Gateway.

Pour les données existantes dans Citrix ADC Insight Center pour le serveur virtuel Citrix Gateway, il existe deux possibilités :

  • Si l’adresse IP du serveur virtuel Citrix Gateway est affectée à un serveur virtuel Unified Gateway dans le cadre de la migration vers Unified Gateway, les données restent liées au serveur virtuel Citrix Gateway
  • Si une adresse IP distincte est attribuée au serveur virtuel Unified Gateway, les données AppFlow du serveur virtuel Citrix Gateway sont liées à cette nouvelle adresse IP. Par conséquent, les données existantes ne feront pas partie des nouvelles données.