Configurer Always On VPN avant l’ouverture de session Windows à l’aide de la stratégie classique
Composants requis
-
Citrix Gateway et le plug-in VPN doivent être versions 12.0.51.24 et ultérieures
-
En utilisant la stratégie classique, vous pouvez configurer le tunnel au niveau de la machine uniquement. Pour la configuration du tunnel au niveau de l’utilisateur, reportez-vous à la section [lien de configuration de stratégie avancée]
Configurer AlwaysOn VPN avant l’ouverture de session Windows à l’aide de la stratégie classique dans l’interface graphique
AlwaysOn VPN avant l’ouverture de session Windows prend en charge les deux configurations suivantes :
- Authentification de certificat de périphérique
- Authentification du certificat client
Authentification basée sur le certificat de périphérique
- Sous l’onglet Configuration, accédez à Citrix Gateway > Serveurs virtuels.
- Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
- Sur la page Serveurs virtuels VPN, sous la section Paramètres de base, cliquez sur Modifier .
-
Désactivez la case Activer l’authentification pour désactiver l’authentification et activer le certificat de périphérique en cochant la case Activer le certificat de périphérique .
-
Cliquez sur Ajouter pour ajouter le nom du certificat d’autorité de certification de l’émetteur de certificat de périphérique disponible à la liste.
-
Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification sous la section Certificat . Cliquez sur Ajouter une liaison sous la page Liaison de certificat de l’autorité de certification SSL Virtual Server .
-
Cliquez sur le texte, cliquez sur pour sélectionner le certificat requis.
-
Sélectionnez le certificat d’autorité de certification requis.
-
Cliquez sur Bind.
- Cliquez sur OK pour enregistrer la configuration.
Authentification basée sur le certificat client
- Sous l’onglet Configuration, accédez à Citrix Gateway > Serveurs virtuels.
- Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
- Dans le volet de navigation, sous Authentification, cliquez sur CERT.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans le champ Nom, tapez un nom pour la stratégie.
- Cliquez sur Nouveau en regard du serveur.
- Dans Nom, tapez un nom pour le profil.
- Sélectionnez OFF en regard de Deux facteurs.
- Dans Nom d’utilisateur et Nom de groupe, sélectionnez les valeurs, puis cliquez sur Créer .
- Dans la boîte de dialogue Créer une stratégie d’authentification, en regard de Expressions nommées, sélectionnez l’expression, cliquez sur Ajouter une expression, cliquez sur Créer, puis sur Fermer .
- Liez l’expression au serveur virtuel.
- Sous l’onglet Configuration, accédez à Citrix Gateway > Serveurs virtuels.
- Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
- Dans la boîte de dialogue Configurer Citrix Gateway Virtual Server, cliquez sur l’onglet Authentification .
- Cliquez sur Principal et sous Détails, cliquez sur Insérer une stratégie .
- Dans Nom de la stratégie, sélectionnez la stratégie, puis cliquez sur OK.
- Sur la page Serveurs virtuels VPN, créez un profil SSL.
- Dans Refuser la renégociation SSL, sélectionnez NON SECUREpour les requêtes non sécurisées uniquement.
- Cliquez sur OK.
Configuration côté client
Les registres AlwaysOn, LocationDetection et SuffixList sont facultatifs et requis uniquement si la fonctionnalité de détection de localisation est nécessaire.
Clé de Registre | Type de registre | Valeurs et description |
---|---|---|
AlwaysOnService | REG_DWORD | 1 => Activer le service AlwaysOn sans un utilisateur persona ; 2 => Activer le service AlwaysOn avec l’utilisateur persona |
AlwayOnURL | REG SZ | URL de l’utilisateur du serveur virtuel Citrix Gateway souhaite se connecter. Exemple : https://xyz.companyDomain.com
|
AlwaysOn | REG_DWORD | 1 => Autoriser l’accès réseau en cas d’échec VPN ; 2=> Bloquer l’accès réseau en cas d’échec VPN |
locationDetection | REG_DWORD | 1 => Pour activer la détection de localisation ; 0 => Pour désactiver la détection de localisation |
suffixList | REG SZ | Liste des domaines intranet séparés par des virgules. Utilisé lorsque la détection de localisation est activée. |