Citrix Gateway

Liste de contrôle de pré-installation de la passer

La liste de contrôle consiste en une liste des tâches et des informations de planification que vous devez effectuer avant d’installer Citrix Gateway.

De l’espace est prévu pour que vous puissiez cocher chaque tâche au fur et à mesure que vous la terminez et que vous prenez des notes. Citrix vous recommande de prendre note des valeurs de configuration que vous devez entrer pendant le processus d’installation et lors de la configuration de Citrix Gateway.

Pour connaître les étapes d’installation et de configuration de Citrix Gateway, consultez Installation de Citrix Gateway.

Machines utilisateur

  • Assurez-vous que les machines utilisateur répondent aux conditions d’installation décrites dans la section Configuration système requise pour Citrix Secure Access
  • Identifiez les appareils mobiles auxquels les utilisateurs se connectent. Remarque : Si les utilisateurs se connectent à un appareil iOS, vous devez activer la Secure Browse dans un profil de session.

Connectivité réseau de base Citrix Gateway

Citrix vous recommande d’obtenir des licences et des certificats de serveur signés avant de commencer à configurer l’appliance.

  • Identifiez et notez le nom d’hôte Citrix Gateway. Remarque : Il ne s’agit pas du nom de domaine complet (FQDN). Le nom de domaine complet est contenu dans le certificat de serveur signé qui est lié au serveur virtuel.
  • Obtenez des licences universelles sur le site Web Citrix
  • Générez une demande de signature de certificat (CSR) et envoyez-la à une autorité de certification (CA). Entrez la date à laquelle vous envoyez le CSR à l’autorité de certification.
  • Notez l’adresse IP du système et le masque de sous-réseau.
  • Notez l’adresse IP du sous-réseau et le masque de sous-réseau.
  • Notez le mot de passe administrateur. Le mot de passe par défaut fourni avec Citrix Gateway est nsroot.
  • Notez le numéro de port sur lequel Citrix Gateway écoute les connexions utilisateur sécurisées. La valeur par défaut est le port TCP 443. Ce port doit être ouvert sur le pare-feu entre le réseau non sécurisé (Internet) et la zone démilitarisée.
  • Notez l’adresse IP de la passerelle par défaut.
  • Notez l’adresse IP et le numéro de port du serveur DNS. Le numéro de port par défaut est 53. En outre, si vous ajoutez directement le serveur DNS, vous devez également configurer ICMP (ping) sur l’appliance.
  • Notez la première adresse IP et le nom d’hôte du premier serveur virtuel.
  • Notez l’adresse IP et le nom d’hôte du deuxième serveur virtuel (le cas échéant).
  • Notez l’adresse IP du serveur WINS (le cas échéant).

Réseaux internes accessibles via Citrix Gateway

  • Notez les réseaux internes auxquels les utilisateurs peuvent accéder via Citrix Gateway. Exemple : 10.10.0.0/24
  • Entrez tous les réseaux internes et les segments de réseau auxquels les utilisateurs doivent accéder lorsqu’ils se connectent via Citrix Gateway à l’aide de l’agent Citrix Secure Access.

Haute disponibilité

Si vous disposez de deux appliances Citrix Gateway, vous pouvez les déployer dans une configuration haute disponibilité dans laquelle un Citrix Gateway accepte et gère les connexions, tandis qu’un second Citrix Gateway surveille le premier dispositif. Si le premier Citrix Gateway cesse d’accepter les connexions pour une raison quelconque, le second Citrix Gateway prend le relais et commence à accepter activement les connexions.

  • Notez le numéro de version du logiciel Citrix Gateway.
  • Le numéro de version doit être le même sur les deux appliances Citrix Gateway.
  • Notez le mot de passe administrateur (nsroot). Le mot de passe doit être le même sur les deux solutions matérielles-logicielles.
  • Notez l’adresse IP et l’ID Citrix Gateway principaux. Le numéro d’identification maximal est de 64.
  • Notez l’adresse IP et l’ID Citrix Gateway secondaires.
  • Obtenez et installez la licence universelle sur les deux appliances.
  • Installez la même licence universelle sur les deux appliances.
  • Notez le mot de passe du nœud RPC.

Authentification et autorisation

Citrix Gateway prend en charge plusieurs types d’authentification et d’autorisation différents qui peuvent être utilisés dans différentes combinaisons. Pour plus d’informations sur l’authentification et l’autorisation, consultez la section Authentification et autorisation.

Authentification LDAP

Si votre environnement inclut un serveur LDAP, vous pouvez utiliser LDAP pour l’authentification.

  • Notez l’adresse IP et le port du serveur LDAP.

    Si vous autorisez les connexions non sécurisées au serveur LDAP, le port par défaut est 389. Si vous chiffrez les connexions au serveur LDAP avec SSL, le port par défaut est 636.

  • Notez le type de sécurité.

    Vous pouvez configurer la sécurité avec ou sans chiffrement.

  • Notez le nom unique de liaison de l’administrateur.

    Si votre serveur LDAP nécessite une authentification, entrez le nom unique de l’administrateur que Citrix Gateway doit utiliser pour s’authentifier lors de l’envoi de requêtes à l’annuaire LDAP. Un exemple est cn=administrator, CN=Users, dc=ace, dc=com.

  • Notez le mot de passe administrateur.

    Le mot de passe est associé au nom unique de liaison de l’administrateur.

  • Notez le nom unique de base.

    DN (ou niveau répertoire) sous lequel se trouvent les utilisateurs ; par exemple, ou=users, dc=ace, dc=com.

  • Notez l’attribut du nom d’ouverture de session du serveur.

    Entrez l’attribut d’objet personne de l’annuaire LDAP qui spécifie le nom d’ouverture de session d’un utilisateur. La valeur par défaut est SAMAccountName. Si vous n’utilisez pas Active Directory, les valeurs communes de ce paramètre sont cn ou uid. Pour plus d’informations sur les paramètres de l’annuaire LDAP, consultez Configuration de l’authentification LDAP

  • Notez l’attribut de groupe. Entrez l’attribut d’objet personne de l’annuaire LDAP qui spécifie les groupes auxquels appartient un utilisateur. La valeur par défaut est MemberOf. Cet attribut permet à Citrix Gateway d’identifier les groupes d’annuaires auxquels appartient un utilisateur.
  • Notez le nom du sous-attribut.

Authentification et autorisation RADIUS

Si votre environnement inclut un serveur RADIUS, vous pouvez utiliser RADIUS pour l’authentification. L’authentification RADIUS inclut les produits RSA SecurID, SafeWord et Gemalto Protiva.

  • Notez l’adresse IP et le port du serveur RADIUS principal. Le port par défaut est 1812.
  • Notez le secret du serveur RADIUS principal (secret partagé).
  • Notez l’adresse IP et le port du serveur RADIUS secondaire. Le port par défaut est 1812.
  • Notez le secret du serveur RADIUS secondaire (secret partagé).
  • Notez le type de codage du mot de passe (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

Authentification SAML

Le langage SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services.

  • Obtenez et installez sur Citrix Gateway un certificat IdP sécurisé.
  • Notez l’URL de redirection.
  • Notez le champ utilisateur.
  • Notez le nom du certificat de signature.
  • Notez le nom de l’émetteur SAML.
  • Notez le groupe d’authentification par défaut.

Ouverture de ports via les pare-feu (DMZ à saut unique)

Si votre organisation protège le réseau interne avec une zone démilitarisée unique et que vous déployez Citrix Gateway dans la zone démilitarisée, ouvrez les ports suivants via les pare-feu. Si vous installez deux appliances Citrix Gateway dans un déploiement DMZ à double saut, reportez-vous à la section Ouverture des ports appropriés sur les pare-feu.

Sur le pare-feu entre le réseau non sécurisé et la zone démilitarisée

  • Ouvrez un port TCP/SSL (443 par défaut) sur le pare-feu entre Internet et Citrix Gateway. Les machines utilisateur se connectent à Citrix Gateway sur ce port.

Sur le pare-feu entre le réseau sécurisé

  • Ouvrez un ou plusieurs ports appropriés sur le pare-feu entre la zone démilitarisée et le réseau sécurisé. Citrix Gateway se connecte à un ou plusieurs serveurs d’authentification ou à des ordinateurs exécutant Citrix Virtual Apps and Desktops dans le réseau sécurisé sur ces ports.
  • Notez les ports d’authentification.

    Ouvrez uniquement le port approprié à votre configuration Citrix Gateway.

    • Pour les connexions LDAP, la valeur par défaut est le port TCP 389.
    • Pour une connexion RADIUS, la valeur par défaut est le port UDP 1812. Notez les ports Citrix Virtual Apps and Desktops.
  • Si vous utilisez Citrix Gateway avec Citrix Virtual Apps and Desktops, ouvrez le port TCP 1494. Si vous activez la fiabilité de session, ouvrez le port TCP 2598 au lieu de 1494. Citrix recommande de garder ces deux ports ouverts.

Citrix Virtual Desktops, Citrix Virtual Apps, l’interface Web ou StoreFront

Effectuez les tâches suivantes si vous déployez Citrix Gateway pour fournir un accès à Citrix Virtual Apps and Desktops via l’interface Web ou StoreFront. L’agent Citrix Secure Access n’est pas requis pour ce déploiement. Les utilisateurs accèdent aux applications et bureaux publiés via Citrix Gateway en utilisant uniquement des navigateurs Web et Citrix Receiver.

  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant l’interface Web ou StoreFront.
  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant la Secure Ticket Authority (STA) (pour l’interface Web uniquement).

Citrix Endpoint Management

Effectuez les tâches suivantes si vous déployez Citrix Endpoint Management sur votre réseau interne. Si les utilisateurs se connectent à Endpoint Management à partir d’un réseau externe, tel qu’Internet, ils doivent se connecter à Citrix Gateway avant d’accéder aux applications mobiles, Web et SaaS.

  • Notez le nom de domaine complet ou l’adresse IP d’Endpoint Management.
  • Identifiez les applications Web, SaaS et mobiles iOS ou Android auxquelles les utilisateurs peuvent accéder.

Déploiement DMZ à double saut avec Citrix Virtual Apps

Effectuez les tâches suivantes si vous déployez deux appliances Citrix Gateway dans une configuration DMZ à double saut pour prendre en charge l’accès aux serveurs exécutant Citrix Virtual Apps.

Citrix Gateway dans la première zone démilitarisée

La première zone démilitarisée est la zone démilitarisée située à la périphérie de votre réseau interne (la plus proche d’Internet ou d’un réseau non sécurisé). Les clients se connectent à Citrix Gateway dans la première zone démilitarisée via le pare-feu séparant Internet de la zone démilitarisée. Collectez ces informations avant d’installer Citrix Gateway dans la première zone démilitarisée.

  • Complétez les éléments de la section Connectivité réseau de base Citrix Gateway de cette liste de contrôle pour Citrix Gateway.

    Une fois ces éléments terminés, l’interface 0 connecte Citrix Gateway à Internet et l’interface 1 connecte Citrix Gateway à Citrix Gateway dans la deuxième zone démilitarisée.

  • Configurez les informations de la deuxième appliance DMZ sur l’appliance principale.

    Pour configurer Citrix Gateway en tant que premier saut dans la zone démilitarisée à double saut, vous devez spécifier le nom d’hôte ou l’adresse IP de Citrix Gateway dans la deuxième zone démilitarisée de l’appliance dans la première zone démilitarisée. Après avoir spécifié quand le proxy Citrix Gateway est configuré sur l’appliance au premier saut, liez-le à Citrix Gateway globalement ou à un serveur virtuel.

  • Notez le protocole de connexion et le port entre les appliances.

    Pour configurer Citrix Gateway en tant que premier saut dans la zone démilitarisée double, vous devez spécifier le protocole de connexion et le port sur lesquels Citrix Gateway dans la deuxième zone démilitarisée écoute les connexions. Le protocole de connexion et le port sont SOCKS avec SSL (port 443 par défaut). Le protocole et le port doivent être ouverts via le pare-feu qui sépare la première DMZ de la deuxième DMZ.

Citrix Gateway dans la deuxième zone démilitarisée

La deuxième zone démilitarisée est la zone démilitarisée la plus proche de votre réseau interne et sécurisé. Citrix Gateway déployé dans la deuxième zone démilitarisée sert de proxy pour le trafic ICA, traversant la deuxième zone démilitarisée entre les machines utilisateur externes et les serveurs sur le réseau interne.

  • Effectuez les tâches de la section Connectivité réseau de base Citrix Gateway de cette liste de contrôle pour ce Citrix Gateway.

    Une fois ces éléments terminés, l’interface 0 connecte Citrix Gateway à Citrix Gateway dans la première zone démilitarisée. L’interface 1 connecte cette passerelle Citrix Gateway au réseau sécurisé.