AlwaysON

La fonctionnalité AlwaysOn de Citrix Gateway garantit que les utilisateurs sont toujours connectés au réseau d’entreprise. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN.

Remarque

La fonctionnalité AlwaysOn prend en charge les portails captifs pour Citrix ADC 12.0 Build 51.24 et versions ultérieures.

Quand utiliser AlwaysOn

Utilisez AlwaysOn lorsque vous devez fournir une connectivité VPN transparente en fonction de l’emplacement de l’utilisateur et que vous devez empêcher l’accès au réseau par un utilisateur qui n’est pas connecté à un VPN.  

Les scénarios suivants illustrent l’utilisation d’AlwaysOn.  

  • Un employé démarre l’ordinateur portable en dehors du réseau de l’entreprise et a besoin d’aide pour établir la connectivité VPN.
    Solution : Lorsque l’ordinateur portable est démarré en dehors du réseau d’entreprise, AlwaysOn établit un tunnel de manière transparente et fournit une connectivité VPN.
  • Un employé utilisant la connectivité VPN se déplace vers le réseau d’entreprise. L’employé passe au réseau d’entreprise mais reste connecté au tunnel VPN, ce qui n’est pas un état souhaitable.
    Solution : Lorsque l’employé se déplace dans le réseau d’entreprise, AlwaysOn déchire le tunnel VPN et passe de façon transparente l’employé au réseau d’entreprise.
  • Un employé se déplace hors du réseau de l’entreprise et ferme l’ordinateur portable (et non pas arrêté). L’employé a besoin d’aide pour établir la connectivité VPN à la reprise du travail sur l’ordinateur portable.
    Solution : Lorsque l’employé se déplace hors du réseau d’entreprise, AlwaysOn établit un tunnel de manière transparente et fournit une connectivité VPN.
  • Une entreprise veut réglementer l’accès réseau fourni à ses utilisateurs lorsqu’ils ne sont pas connectés à un tunnel VPN.
    Solution : Selon la configuration, AlwaysOn restreint l’accès, ce qui permet aux utilisateurs d’accéder uniquement au réseau de passerelle.

Comprendre le cadre AlwaysOn

AlwaysOn connecte automatiquement un utilisateur à un tunnel VPN que le client a précédemment établi. La première fois que l’utilisateur a besoin d’un tunnel VPN, il doit se connecter à l’URL Citrix Gateway et établir le tunnel. Une fois la configuration AlwaysOn téléchargée sur le client, cette configuration entraîne l’établissement ultérieur du tunnel.

L’exécutable client Citrix Gateway est toujours en cours d’exécution sur l’ordinateur client. Lorsque l’utilisateur ouvre une session ou que le réseau change, le client Citrix Gateway détermine si l’ordinateur portable de l’utilisateur se trouve ou non sur le réseau d’entreprise. Selon l’emplacement et la configuration, le client Citrix Gateway établit un tunnel ou déchire un tunnel existant.

L’établissement du tunnel n’est initié qu’après la connexion de l’utilisateur à l’ordinateur. Le client Citrix Gateway utilise le mécanisme d’authentification configuré et tente d’établir un tunnel. Si les méthodes d’authentification n’impliquent pas d’invite d’utilisateur, le tunnel est établi de manière transparente.

Rétablissement automatique d’un tunnel

Le rétablissement automatique d’un tunnel est déclenché dans les situations suivantes :

  • Le tunnel VPN est déchirée par Citrix Gateway
  • Le client Citrix Gateway est abandonné

Remarque

En cas d’échec d’analyse du point de terminaison ou d’autres échecs, le client Citrix Gateway ne tente pas de nouveau l’établissement du tunnel, mais affiche un message d’erreur. En cas d’échec d’authentification, le client Citrix Gateway invite l’utilisateur à fournir des informations d’identification.

Méthodes d’authentification utilisateur prises en charge pour l’établissement d’un tunnel transparent

Les méthodes d’authentification utilisateur prises en charge sont les suivantes :

  • Nom d’utilisateur + mot de passe AD : si le nom d’utilisateur et le mot de passe Windows sont utilisés pour l’authentification, le client Citrix Gateway établit le tunnel de manière transparente à l’aide de ces informations d’identification.
  • Certificat utilisateur : si le certificat utilisateur est utilisé pour l’authentification et qu’il n’y a qu’un seul certificat sur la machine, le client Citrix Gateway établit le tunnel de manière transparente à l’aide de ce certificat. Si plusieurs certificats client sont installés, le tunnel est établi après que l’utilisateur a sélectionné le certificat préféré. Le client Citrix Gateway utilise cette préférence pour les tunnels établis ultérieurement.
  • Certificat utilisateur et Nom d’utilisateur + Mot de passe AD : Cette méthode d’authentification est la combinaison des méthodes d’authentification décrites précédemment.

Remarque

Tous les autres mécanismes d’authentification sont pris en charge, mais l’établissement du tunnel n’est pas transparent pour les autres méthodes d’authentification. L’intervention de l’utilisateur est requise pour toutes les autres méthodes d’authentification.

Configuration requise pour AlwaysOn

L’administrateur d’entreprise doit appliquer les éléments suivants pour les périphériques gérés :

  • L’utilisateur ne doit pas être en mesure d’arrêter le processus/service pour une configuration spécifique
  • L’utilisateur ne doit pas être en mesure de désinstaller le package pour une configuration spécifique
  • L’utilisateur ne doit pas être en mesure de modifier des entrées de registre spécifiques

Remarque

La fonctionnalité peut ne pas fonctionner comme prévu si l’utilisateur dispose de privilèges d’administration, comme dans le cas des périphériques non gérés.

Considérations lors de l’activation de la fonctionnalité AlwaysOn

Consultez la section suivante avant d’activer la fonctionnalité AlwaysOn.

Accès réseau principal : Lorsque le tunnel est établi, le trafic vers le réseau d’entreprise est déterminé en fonction de la configuration du tunnel divisé. Des configurations supplémentaires ne sont pas fournies pour remplacer ce comportement.

Paramètres proxy de l’ordinateur client : les paramètres proxy de l’ordinateur client sont ignorés pour la connexion au serveur de passerelle.

Remarque

La configuration proxy de l’appliance Citrix ADC n’est pas ignorée. Seuls les paramètres proxy de l’ordinateur client sont ignorés. Les utilisateurs qui ont un proxy configuré sur leurs systèmes sont avertis que le plug-in VPN a ignoré leurs paramètres proxy.

Lorsque la valeur de configuration est définie sur « Refuser », les modifications suivantes s’appliquent :

  • UI du client - Les options de fermeture de session et de sortie du menu contextuel du plug-in et de l’interface utilisateur du plug-in sont désactivées. Les utilisateurs ne sont pas autorisés à modifier l’URL de la passerelle.
  • Ouverture de session du navigateur - L’ouverture de session du navigateur à une passerelle différente n’est pas autorisée. Les contrôles client sont désactivés.

Configuration d’AlwaysOn

Pour configurer AlwaysOn, créez un profil AlwaysOn sur le dispositif Citrix Gateway et appliquez le profil.

Pour créer un profil AlwaysOn :

  1. Dans l’interface graphique de Citrix ADC, accédez à Configuration > Citrix Gateway > Stratégies > AlwaysOn.
  2. Dans la page Profils AlwaysOn, cliquez sur Ajouter.
  3. Sur la page Créer un profil AlwaysOn, entrez les détails suivants :
    • Nom : nom de votre profil.
    • VPN basé sur l’emplacement : sélectionnez l’un des paramètres suivants :
      • Remote pour permettre à un client de détecter s’il se trouve ou non dans le réseau d’entreprise et d’établir le tunnel si ce n’est pas dans le réseau d’entreprise. Il s’agit du paramètre par défaut.
      • Partout pour laisser le client ignorer la détection de localisation et établir le tunnel, quel que soit l’emplacement du client
    • Contrôle du client : sélectionnez l’un des paramètres suivants :
      • Refuser pour empêcher l’utilisateur de se déconnecter et de se connecter à une autre passerelle. Il s’agit du paramètre par défaut.
      • Autoriser l’utilisateur à se déconnecter et à se connecter à une autre passerelle.
    • Accès réseau en cas d’échec VPN : sélectionnez l’un des paramètres suivants :
      • Accès complet pour permettre au trafic réseau de circuler vers et en provenance du client lorsque le tunnel n’est pas établi. Il s’agit du paramètre par défaut.
      • Uniquement à la passerelle pour empêcher le trafic réseau de circuler vers ou en provenance du client lorsque le tunnel n’est pas établi. Toutefois, le trafic vers ou depuis l’adresse IP de la passerelle est autorisé.
  4. Cliquez sur Créer pour terminer la création de votre profil.

Pour appliquer le profil AlwaysOn :

  1. Dans l’interface de Citrix ADC, sélectionnez Configuration > Citrix Gateway > Paramètres globaux.
  2. Dans la page Paramètres globaux, cliquez sur le lien Modifier les paramètres glob aux, puis sélectionnez l’onglet Expérience client .
  3. Dans le menu déroulant Nom du profil AlwaysOn , sélectionnez le profil nouvellement créé, puis cliquez sur OK .

Remarque

Une configuration similaire peut être effectuée dans le profil de session pour appliquer les stratégies au niveau d’un groupe, d’un levier serveur ou d’un utilisateur.

Résumé du comportement des différentes configurations pour les utilisateurs d’administration et les utilisateurs non administrateurs

Le tableau ci-dessous résume le comportement des différentes configurations. Il détaille également la possibilité de certaines actions de l’utilisateur, ce qui peut affecter la fonctionnalité AlwaysOn.

networkAccessONVPNFailure Contrôle client Utilisateur non administrateur Utilisateur administrateur
fullaccess Autoriser Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter et rester hors du réseau. L’utilisateur peut également pointer vers une autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter et rester hors du réseau d’entreprise. L’utilisateur peut également pointer vers une autre Citrix Gateway.
fullaccess Refuser Le tunnel s’établit automatiquement. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.
onlyToGateway Autoriser Le tunnel s’établit automatiquement. L’utilisateur peut se déconnecter (pas d’accès au réseau). L’utilisateur peut également pointer vers un autre Citrix Gateway, auquel cas, l’accès est donné uniquement au Citrix Gateway nouvellement pointé. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.
onlyToGateway Refuser Le tunnel s’établit automatiquement. L’utilisateur ne peut pas se déconnecter ou pointer vers un autre Citrix Gateway. Le tunnel s’établit automatiquement. L’utilisateur peut désinstaller Citrix Gateway Client ou passer à un autre Citrix Gateway.