AlwaysON

La fonctionnalité AlwaysOn de Citrix Gateway garantit que les utilisateurs sont toujours connectés au réseau d’entreprise. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN.

Remarque

La fonctionnalité AlwaysOn prend en charge les portails captifs pour Citrix ADC 12.0 Build 51.24 et versions ultérieures.

Quand utiliser AlwaysOn

Utilisez AlwaysOn lorsque vous devez fournir une connectivité VPN transparente en fonction de l’emplacement de l’utilisateur et que vous devez empêcher l’accès au réseau par un utilisateur qui n’est pas connecté à un VPN.  

Les scénarios suivants illustrent l’utilisation d’AlwaysOn.  

  • Un employé démarre l’ordinateur portable en dehors du réseau de l’entreprise et a besoin d’aide pour établir la connectivité VPN.
    Solution : Lorsque l’ordinateur portable est démarré en dehors du réseau d’entreprise, AlwaysOn établit en toute transparence un tunnel et fournit une connectivité VPN.
  • Un employé utilisant la connectivité VPN se déplace dans le réseau d’entreprise. L’employé passe au réseau d’entreprise mais reste connecté au tunnel VPN, ce qui n’est pas un état souhaitable.
    Solution : Lorsque l’employé s’installe dans le réseau d’entreprise, AlwaysOn déchire le tunnel VPN et transfère en toute transparence l’employé vers le réseau d’entreprise.
  • Un employé se déplace à l’extérieur du réseau d’entreprise et ferme l’ordinateur portable (et non éteint). L’employé a besoin d’aide pour établir la connectivité VPN à la reprise du travail sur l’ordinateur portable.
    **Solution :** Lorsque l’employé quitte le réseau d’entreprise, AlwaysOn établit en toute transparence un tunnel et fournit une connectivité VPN.
  • Une entreprise souhaite réglementer l’accès réseau fourni à ses utilisateurs lorsqu’ils ne sont pas connectés à un tunnel VPN.
    Solution : En fonction de la configuration, AlwaysOn limite l’accès, permettant aux utilisateurs d’accéder uniquement au réseau de Gateway.

Comprendre le framework AlwaysOn

AlwaysOn connecte automatiquement un utilisateur à un tunnel VPN que le client a précédemment établi. La première fois que l’utilisateur a besoin d’un tunnel VPN, il doit se connecter à l’URL Citrix Gateway et établir le tunnel. Une fois la configuration AlwaysOn téléchargée sur le client, cette configuration entraîne l’établissement ultérieur du tunnel.

L’exécutable client Citrix Gateway est toujours en cours d’exécution sur l’ordinateur client. Lorsque l’utilisateur ouvre une session ou que le réseau change, le client Citrix Gateway détermine si l’ordinateur portable utilisateur est ou non sur le réseau d’entreprise. Selon l’emplacement et la configuration, le client Citrix Gateway établit un tunnel ou déchire un tunnel existant.

L’établissement du tunnel n’est initié qu’après que l’utilisateur ouvre une session sur l’ordinateur. Le client Citrix Gateway utilise les informations d’identification de l’ordinateur client pour s’authentifier auprès du serveur Gateway et tente d’établir un tunnel.

Rétablissement automatique d’un tunnel

Le rétablissement automatique d’un tunnel est déclenché lorsqu’un tunnel VPN est arraché par Citrix Gateway.

Remarque

En cas d’échec de l’analyse des points de terminaison, le client Citrix Gateway ne tente pas de nouveau l’établissement du tunnel, mais affiche un message d’erreur. En cas d’échec d’authentification, le client Citrix Gateway invite l’utilisateur à fournir des informations d’identification.

Méthodes d’authentification des utilisateurs prises en charge pour une installation transparente de tunnel

Les méthodes d’authentification utilisateur prises en charge sont les suivantes :

  • Nom d’utilisateur+ mot de passe AD : si le nom d’utilisateur et le mot de passe Windows sont utilisés pour l’authentification, le client Citrix Gateway établit de manière transparente le tunnel à l’aide de ces informations d’identification.
  • Certificat utilisateur : si le certificat utilisateur est utilisé pour l’authentification et qu’il n’y a qu’un seul certificat sur la machine, le client Citrix Gateway établit le tunnel de manière transparente à l’aide de ce certificat. Si plusieurs certificats client sont installés, le tunnel est établi après que l’utilisateur a sélectionné le certificat préféré. Le client Citrix Gateway utilise cette préférence pour les tunnels établis ultérieurement.
  • Certificat utilisateur et nom d’utilisateur+ mot de passe AD : Cette méthode d’authentification est la combinaison des méthodes d’authentification décrites précédemment.

Remarque

Tous les autres mécanismes d’authentification sont pris en charge, mais l’établissement du tunnel n’est pas transparent pour d’autres méthodes d’authentification. L’intervention de l’utilisateur est requise pour toutes les autres méthodes d’authentification.

Configuration requise pour AlwaysOn

L’administrateur d’entreprise doit appliquer les éléments suivants pour les périphériques gérés :

  • L’utilisateur ne doit pas être en mesure de mettre fin au processus/service pour une configuration spécifique
  • L’utilisateur ne doit pas être en mesure de désinstaller le package pour une configuration spécifique
  • L’utilisateur ne doit pas être en mesure de modifier des entrées de registre spécifiques

Remarque

La fonctionnalité peut ne pas fonctionner comme prévu si l’utilisateur dispose de privilèges d’administration, comme dans le cas des périphériques non gérés.

Considérations lors de l’activation de la fonctionnalité AlwaysOn

Consultez la section suivante avant d’activer la fonctionnalité AlwaysOn.

Accès réseau principal : lorsque le tunnel est établi, le trafic vers le réseau d’entreprise est déterminé en fonction de la configuration du tunnel partagé. Des configurations supplémentaires ne sont pas fournies pour remplacer ce comportement.

Paramètres proxy de la machine cliente : les paramètres proxy de la machine cliente sont ignorés pour la connexion au serveur de Gateway.

Remarque

La configuration du proxy de l’appliance Citrix ADC n’est pas ignorée. Seuls les paramètres proxy de l’ordinateur client sont ignorés. Les utilisateurs qui ont un proxy configuré sur leur système sont informés que le plug-in VPN a ignoré leurs paramètres proxy.

Lorsque la valeur de configuration est définie sur « Refuser », les modifications suivantes s’appliquent :

  • UI du client - Les options de fermeture de session et de sortie du menu contextuel du plug-in et de l’interface utilisateur du plug-in sont désactivées. Les utilisateurs ne sont pas autorisés à modifier l’URL de la passerelle.
  • Ouverture de session du navigateur - La connexion du navigateur à une autre Gateway n’est pas autorisée. Les contrôles client sont désactivés.

Configuration d’AlwaysOn

Pour configurer AlwaysOn, créez un profil AlwaysOn sur l’appliance Citrix Gateway et appliquez le profil.

Pour créer un profil AlwaysOn :

  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Citrix Gateway > Stratégies > AlwaysOn.
  2. Dans la page Profils AlwaysOn, cliquez sur Ajouter.
  3. Sur la page Créer un profil AlwaysOn, entrez les détails suivants :
    • Nom : nom de votre profil.
    • VPN basé sur l’emplacement — Sélectionnez l’un des paramètres suivants :
      • Remote pour permettre à un client de détecter s’il se trouve ou non dans le réseau d’entreprise et d’établir le tunnel s’il n’est pas dans le réseau d’entreprise. C’est le réglage par défaut.
      • Partout pour laisser le client ignorer la détection de l’emplacement et établir le tunnel quel que soit l’emplacement du client
    • Contrôle du client — Sélectionnez l’un des paramètres suivants :
      • Refuser pour empêcher l’utilisateur de se déconnecter et de se connecter à une autre Gateway. C’est le réglage par défaut.
      • Autoriser l’utilisateur à se déconnecter et à se connecter à une autre Gateway.
    • Accès réseau en cas d’échec VPN — Sélectionnez l’un des paramètres suivants :
      • Accès complet pour permettre au trafic réseau de circuler vers et depuis le client lorsque le tunnel n’est pas établi. C’est le réglage par défaut.
      • Uniquement vers la passerelle pour empêcher le trafic réseau de circuler vers ou depuis le client lorsque le tunnel n’est pas établi. Toutefois, le trafic à destination ou en provenance de l’adresse IP de la passerelle est autorisé.
  4. Cliquez sur Créer pour terminer la création de votre profil.

Pour appliquer le profil AlwaysOn :

  1. Dans l’interface Citrix ADC, sélectionnez Configuration > Citrix Gateway > Paramètres globaux.
  2. Dans la page Paramètres globaux, cliquez sur le lien Modifier les paramètres globaux, puis sélectionnez l’onglet Expérience client .
  3. Dans le menu déroulant Nom du profil AlwaysOn, sélectionnez le profil nouvellement créé, puis cliquez sur OK .

Remarque

Une configuration similaire peut être effectuée dans le profil de session pour appliquer les stratégies au niveau du groupe, du levier serveur ou d’un utilisateur.

Récapitulatif du comportement des différentes configurations pour les utilisateurs admin et non-admin

Le tableau ci-dessous résume le comportement des différentes configurations. Il détaille également la possibilité de certaines actions utilisateur, qui peuvent affecter la fonctionnalité AlwaysOn.

networkAccessONVPNFailure Contrôle client Utilisateur non administrateur Utilisateur administrateur
fullaccess Autoriser Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter et rester hors du réseau. L’utilisateur peut également pointer vers un autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter et rester hors du réseau d’entreprise. L’utilisateur peut également pointer vers un autre Citrix Gateway.
fullaccess Refuser Le tunnel est établi automatiquement. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.
onlyToGateway Autoriser Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter (pas d’accès réseau). L’utilisateur peut également pointer vers un autre Citrix Gateway, auquel cas, l’accès est donné uniquement au Citrix Gateway nouvellement pointé. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.
onlyToGateway Refuser Le tunnel est établi automatiquement. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.

Liste blanche des URL lorsque AlwaysOn est en panne

Les utilisateurs peuvent accéder à quelques sites Web même lorsque AlwaysOn est en panne et que le réseau est verrouillé. Les administrateurs peuvent utiliser le registre AlwaysOnWhiteList pour ajouter les sites Web auxquels vous souhaitez activer l’accès lorsque AlwaysOn est en panne.

Remarque :

  • Le RegistreAlwaysOnWhiteList est pris en charge à partir de la version 13.0 build 47.x et ultérieure.
  • L’emplacement du RegistreAlwaysOnWhiteList est Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ Secure Access Client.
  • Les URL génériques/FQDN ne sont pas pris en charge dans le Registre AlwaysOnWhiteList .

Pour définir le Registre AlwaysOnWhiteList

Définissez le Registre AlwaysOnWhiteList avec une liste séparée par des points-virgules de noms complets, de plages d’adresses IP ou d’adresses IP auxquelles vous souhaitez autoriser l’accès.

Exemple : myentreprise.com-mycdn.com-10.120.67.0-10.120.67.255,67.67.67.67

La figure suivante affiche un exemple de Registre AlwaysOnWhiteList.

Registre AlwaysOnWhitelist-Registry