Configurer AlwaysOn VPN avant l’ouverture de session Windows

AlwaysOn VPN avant l’ouverture de session Windows fournit les fonctionnalités suivantes.

  • Administrateur fournit un mot de passe unique aux utilisateurs qui travaillent à distance pour la première fois à l’aide duquel les utilisateurs peuvent se connecter au Controller de domaine pour modifier leur mot de passe.
  • L’administrateur gère et applique à distance les stratégies AD sur le périphérique avant même que l’utilisateur se connecte.
  • Administrator fournit un niveau de contrôle granulaire aux utilisateurs en fonction du groupe d’utilisateurs après que l’utilisateur ouvre une session. Par exemple, il est possible d’utiliser un tunnel au niveau de l’utilisateur, de restreindre ou de fournir l’accès à une ressource à un groupe d’utilisateurs particulier.
  • Le tunnel utilisateur peut être configuré pour MFA selon les besoins des utilisateurs.
  • Même machine peut être utilisée par plusieurs utilisateurs, l’accès aux ressources sélectives est fourni en fonction du profil utilisateur. Par exemple, en kiosque, une machine peut être utilisée par plusieurs utilisateurs sans tracas.
  • Les utilisateurs travaillant à distance se connectent au Controller de domaine pour modifier leur mot de passe.

Présentation du VPN AlwaysOn avant l’ouverture de session Windows

Voici le flux d’événements pour le VPN AlwaysOn avant la fonctionnalité d’ouverture de session Windows.

Alwayson avec flux personnel de l'utilisateur

  • L’utilisateur allume l’ordinateur portable, tunnel au niveau de la machine est établi vers Citrix Gateway en utilisant le certificat de périphérique comme identité.
  • L’utilisateur se connecte à l’ordinateur portable avec des informations d’identification AD.
  • Post login, l’utilisateur est contesté avec MFA.
  • Une fois l’authentification réussie, le tunnel au niveau de la machine est remplacé par un tunnel au niveau de l’utilisateur.
  • Une fois que l’utilisateur se déconnecte, le tunnel au niveau de l’utilisateur est remplacé par le tunnel au niveau de la machine.

Configurer AlwaysOn VPN avant l’ouverture de session Windows à l’aide de l’interface graphique

Conditions préalables

  • Citrix Gateway et le plug-in VPN doivent être la version 13.0.41.20 et ultérieure.
  • Citrix ADC Advanced Edition et versions ultérieures est nécessaire pour que la solution fonctionne.
  • Vous ne pouvez configurer la fonctionnalité qu’à l’aide de stratégies avancées.

La configuration implique les étapes de haut niveau suivantes :

  • Créer un profil d’authentification
  • Créer un serveur virtuel d’authentification
  • Créer des stratégies d’authentification
  • Liez les stratégies au profil d’authentification

Pour configurer la fonctionnalité à l’aide de l’interface graphique

Authentification basée sur le certificat client

  1. Sous l’onglet Configuration, accédez à Citrix Gateway > Serveurs virtuels.
  2. Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
  3. Sur la page Serveur virtuel VPN, cliquez sur l’icône Modifier.
  4. Cliquez sur Ajouter en regard de la section Autorité de certification pour le certificat de périphérique, puis cliquez sur OK .

    Ajouter ca pour le certificat de périphérique

    Remarque : N’activez pas la case à cocher Activer le certificat de périphérique .

  5. Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification sous la section Certificat . Cliquez sur Ajouter une liaison sous la page Liaison de certificat de l’autorité de certification SSL Virtual Server .

  6. Cliquez sur le texte, cliquez sur pour sélectionner le certificat requis.

    Ajouter ca pour le certificat de périphérique

  7. Sélectionnez le certificat d’autorité de certification requis.

    Ajouter ca pour le certificat de périphérique

  8. Cliquez sur Bind.

  9. Sur la page Serveurs virtuels VPN, sous la section Profil d’authentification, cliquez sur Ajouter.
  10. Dans la page Créer un profil d’authentification, indiquez un nom pour le profil d’authentification, puis cliquez sur Ajouter. Créer un profil d'authentification
  11. Dans la page Authentification serveur virtuel, indiquez un nom pour le serveur virtuel d’authentification, sélectionnez Type d’adresse IP comme Non adressable, puis cliquez sur OK . Sélectionner un type IP non adressable
  12. Sous Stratégies d’authentification avancées, cliquez dans Stratégie d’authentification.
  13. Dans la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie .
  14. Sur la page Créer une stratégie d’authentification ;
    1. Entrez un nom pour la stratégie d’authentification anticipée.
    2. Sélectionnez EPA dans la liste Type d’action .
    3. Cliquez sur Ajouter en regard de Action . Sélectionner le type d'action epa
  15. Sur la page Créer une authentification EPA Action ;
    1. Entrez un nom pour l’action EPA à créer.
    2. Entrez sys.client_expr (« device-cert_0_0”) dans le champ Expression .
    3. Cliquez sur Créer.

    Créer une expression

  16. Sur la page Créer une stratégie d’authentification ;
    1. Entrez un nom pour la stratégie d’authentification.
    2. Entrez is_aoservice dans le champ Expression .
    3. Cliquez sur Créer.

    Créer une expression2

  17. Dans la page Liaison de stratégie, entrez 100 dans Priorité et cliquez sur Liaison .

    Stratégie de liaison

    Remarque : La configuration du tunnel au niveau de la machine est maintenant terminée. Vous pouvez ignorer les étapes 18-25 et procéder à la configuration côté client, si vous ne voulez pas le tunnel au niveau de l’utilisateur après l’ouverture de session Windows.

    Pour remplacer un tunnel au niveau de la machine par un tunnel au niveau de l’utilisateur après l’ouverture de session Windows, continuez avec la configuration ci-dessous.

  18. Remplacez l’expression Goto sur Suivant au lieu de Fin pour la stratégie liée à l’étape 17.

    Stratégie de liaison

  19. Dans la page Authentication Virtual Server, cliquez dans Stratégie d’authentification.
  20. Dans la page Stratégie d’authentification, cliquez sur l’onglet Ajouter une liaison .
  21. Dans la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie . Stratégie de liaison 2
  22. Sur la page Créer une stratégie d’authentification ;
    1. Entrez un nom pour la stratégie « aucune authentification » à créer.
    2. Sélectionnez le type d’action comme no_authn.
    3. Entrez is_aoservice.not dans le champ Expression .
    4. Cliquez sur Créer.

      Remarque : L’expression is_aoservice.not est valide à partir de Citrix Gateway version 13.0 build 41.20 et versions ultérieures.

    Sélectionner le type d'action noauth

  23. Dans la page Liaison de stratégie, entrez 110 dans Priorité, cliquez sur Ajouter en regard de Sélectionner le facteur suivant .
  24. Sur la page Étiquette de stratégie d’authentification, créez une stratégie d’authentification LDAP. Reportez-vous à l’article suivant pour créer une stratégie d’authentification LDAP. Pour plus de détails, voir Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.
  25. Cliquez sur Liaison dans la page Liaison de stratégie.

Configuration côté client

Les registres AlwaysOn, LocationDetection et SuffixList sont facultatifs et requis uniquement si la fonctionnalité de détection de localisation est nécessaire.

Clé de Registre Type de registre Valeurs et description
AlwaysOnService REG_DWORD 1 => Activer le service AlwaysOn sans un utilisateur persona ; 2 => Activer le service AlwaysOn avec l’utilisateur persona
AlwaysOnURL REG SZ URL de l’utilisateur du serveur virtuel Citrix Gateway souhaite se connecter. Exemple : https://xyz.companyDomain.com
AlwaysOn REG_DWORD 1 => Autoriser l’accès réseau en cas d’échec VPN ; 2=> Bloquer l’accès réseau en cas d’échec VPN
locationDetection REG_DWORD 1 => Pour activer la détection de localisation ; 0 => Pour désactiver la détection de localisation
suffixList REG SZ Liste des domaines intranet séparés par des virgules. Utilisé lorsque la détection de localisation est activée.

Pour plus d’informations sur ces entrées de Registre, reportez-vous à la section AlwaysOn.

Pour configurer AlwaysOn VPN avant l’ouverture de session Windows à l’aide de la stratégie classique, voirConfigurer Always On VPN avant l’ouverture de session Windows à l’aide de la stratégie classique