Citrix Gateway

Configurer SmartControl

SmartControl permet aux administrateurs de définir des stratégies granulaires pour configurer et appliquer les attributs d’environnement utilisateur pour Citrix Virtual Apps and Desktops sur Citrix Gateway. SmartControl permet aux administrateurs de gérer ces stratégies à partir d’un seul emplacement, plutôt que sur chaque instance de ces types de serveurs.

SmartControl est implémenté via des stratégies ICA sur Citrix Gateway. Chaque stratégie ICA est une combinaison d’expression et de profil d’accès qui peut être appliquée aux utilisateurs, aux groupes, aux serveurs virtuels et globalement. Les stratégies ICA sont évaluées après l’authentification de l’utilisateur lors de l’établissement de la session.

Le tableau suivant répertorie les attributs d’environnement utilisateur que SmartControl peut appliquer :

| | | | ———————————————————————————— | ————————————————————————————————————————————— | | ConnectClientDrives | Spécifie la connexion par défaut aux lecteurs clients lorsque l’utilisateur ouvre une session. |ConnectClientLPTPorts|Spécifie la connexion automatique des ports LPT depuis le client lorsque l’utilisateur ouvre une session. Les ports LPT sont les ports de l’imprimante locale.| |ClientAudioRedirection|Spécifie les applications hébergées sur le serveur pour transmettre l’audio via un périphérique audio installé sur l’ordinateur client.| |ClientClipboardRedirection|Spécifie et configure l’accès au presse-papiers sur l’appareil client et mappe le presse-papiers sur le serveur.| |ClientCOMPortRedirection|Spécifie la redirection du port COM vers et depuis le client. Les ports COM sont les ports de communication. Les ports COM sont des ports série.| |ClientDriveRedirection|Spécifie la redirection du lecteur vers et depuis le client.| |Multistream|Spécifie la fonctionnalité multiflux pour les utilisateurs spécifiés.| |ClientUSBDeviceRedirection|Spécifie la redirection des périphériques USB vers et depuis le client (hôtes de station de travail uniquement).| |Localremotedata|Spécifie la capacité de téléchargement de fichiers HTML5 pour l’application Citrix Workspace.| |ClientPrinterRedirection|Spécifie les imprimantes clientes à mapper sur un serveur lorsqu’un utilisateur ouvre une session.| |Stratégies|Action|Profils d’accès | |Ajouter/Modifier|Supprimer| |Afficher les liaisons |Gestionnaire de politiques|Action|

Politiques de l’ICA

Une stratégie ICA spécifie une action, un profil d’accès, une expression et, éventuellement, une action de journal. Vous pouvez ajouter, modifier, supprimer, lier une stratégie et afficher les liaisons de stratégie à partir de l’onglet Stratégies ICA .

Création d’une stratégie ICA

  1. Accédez à Citrix Gateway > Stratégies, puis cliquez sur ICA.

  2. Dans le volet d’informations, cliquez sur l’onglet Stratégies ICA, puis sur Ajouter.

  3. Dans lechamp Nom, saisissez le nom de la stratégie.

    Nom de la stratégie

  4. À côté de Action, effectuez l’une des opérations suivantes :

    • Cliquez sur l’icône ** pour sélectionner une action existante.
    • Cliquez sur Ajouter pour créer une action.
  5. Créez une expression.

  6. Créez une action de journal. Pour plus de détails, consultez la section Créer une action de journal.

  7. Saisissez un message dans la zone Commentaires. Le commentaire est écrit dans le journal des messages. Ce champ est facultatif.

  8. Cliquez sur Créer.

Ajouter une liaison de stratégie

  1. Accédez à Citrix Gateway > Stratégies, puis cliquez sur ICA.

  2. Sélectionnez la stratégie ICA dans la liste et cliquez sur Policy Manager.

  3. Dans Point de liaison, sélectionnez l’une des stratégies suivantes.

    • Override Global
    • Serveur virtuel VPN
    • Serveur virtuel de redirection de cache
    • Global par défaut
  4. Dans Type de connexion, sélectionnez le type de connexion.

    Remarque : si vous sélectionnez le serveur virtuel VPN ou le point de liaison du serveur virtuel de redirection de cache, vous vous connectez au serveur à l’aide du menu.

  5. Cliquez sur Continuer.

    Page de configuration de la stratégie ICA

  6. Sélectionnez une stratégie et cliquez sur Ajouter une liaison.

    • Cliquez sur **>** pour sélectionner une stratégie existante.
    • Cliquez sur Ajouter pour créer une stratégie.

    Important :

    Une fois que vous avez lié la stratégie et défini la priorité, et une fois que la première correspondance est atteinte, les autres stratégies ne sont pas évaluées. Par défaut, la valeur Expression Goto est définie sur END.

Point de liaison suivant de la stratégie ICA

Remarque :

  • Pour dissocier une stratégie, sélectionnez-la et cliquez sur le bouton Dissocier .
  • Pour une stratégie qui ne nécessite pas de point de liaison, sélectionnez-la et cliquez sur Bind NOPOLICY.

    Stratégie de liaison

Modification d’une liaison, d’une stratégie ou d’une action dans l’onglet Gestionnaire de stratégies

Vous pouvez modifier la liaison à partir de l’onglet Policy Manager.

  1. Sélectionnez la stratégie que vous souhaitez modifier, puis cliquez sur Policy Manager.
  2. Cliquez sur Continuer.
  3. Dans Sélectionner une action, choisissez l’action. Vous pouvez modifier une liaison, une stratégie ou une action.
  4. Cliquez sur Terminé.

Action de l’ICA

Une action connecte une stratégie à un profil d’accès. Vous pouvez ajouter, modifier, supprimer ou renommer une action ICA à partir de l’onglet Action ICA  :

Ajouter une action ICA

  1. Accédez à Citrix Gateway > ICA.

  2. Dans le volet d’informations, sous l’onglet Action ICA, cliquez sur Ajouter.
  3. Entrez le nom de l’action ICA.

    Ajouter une action ICA

  4. Cliquez sur l’icône **>** pour sélectionner un profil d’accès ICA existant ou cliquez sur Ajouter pour ajouter un profil d’accès ICA.
  5. Cliquez sur l’icône **>** pour sélectionner un profil de latence ICA existant ou cliquez sur Ajouter pour ajouter un profil de latence ICA.

  6. Cliquez surCréer.

Après la création d’une action ICA, vous pouvez modifier, supprimer ou renommer l’action dans l’onglet Action ICA .

Création d’une action de journalisation

  1. Sur la page Créer une stratégie ICA, en regard de Log Action, cliquez sur Ajouter.

  2. La page Action Créer un message d’audit s’affiche.

Action Créer un message d'audit

  1. Entrez un nom pour le message d’audit. Le message d’audit n’accepte que des chiffres, des lettres ou un trait de soulignement.

  2. Dans Niveau du journal, sélectionnez le niveau du journal d’audit.

       
    Emergency Événements qui indiquent une crise immédiate sur le serveur.
    Alerte Événements pouvant nécessiter une action.
    Critical Événements qui indiquent une crise de serveur imminente.
    Error Événements qui indiquent un certain type d’erreur.
    Avertissement Événements qui nécessitent une action rapide.
    Avis Événements dont l’administrateur doit être informé.
    Informationnel Tous les événements sauf ceux de bas niveau.
    Débogage Tous les événements, dans les moindres détails.
  3. Entrez une expression. L’expression définit le format et le contenu du journal.

  4. Sélectionnez log in newnslog pour envoyer le message au nouveau fichier nslog.

  5. Cliquez sur Créer.

Profils d’accès

Un profil d’accès ICA définit les paramètres des connexions utilisateur.

Les profils d’accès spécifient les actions qui sont appliquées à l’environnement Citrix Virtual Apps and Desktops ICA d’un utilisateur si la machine utilisateur répond aux conditions d’expression de stratégie. Vous pouvez utiliser l’interface graphique pour créer des profils ICA séparément d’une stratégie ICA, puis utiliser le profil pour plusieurs stratégies. Vous ne pouvez utiliser qu’un seul profil avec une stratégie.

Vous pouvez créer des profils d’accès indépendamment d’une stratégie ICA. Lorsque vous créez la stratégie, vous pouvez sélectionner le profil d’accès à attacher à la stratégie. Un profil d’accès spécifie les ressources disponibles pour un utilisateur. Vous pouvez ajouter, modifier ou supprimer un profil d’accès dans l’onglet Profils d’accès .

Expressions

Les expressions suivantes sont les expressions ICA typiques. Pour les expressions HTTP, entrez le nom avec les “” et supprimez le ().

|                                                                                      |                                                                                                                                         |
| ------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| ICA.SERVER.PORT                                                                      | This expression checks that the port specified matches the port number on the Citrix Virtual Apps and Desktops that the user is attempting to connect. |
| ICA.SERVER.IP                                                                        | This expression checks that the IP specified matches the IP address on the Citrix Virtual Apps and Desktops that the user is attempting to connect.    |
| `AAA.USER.IS_MEMBER_OF(“”)`.NOT                                                 | This expression checks that the current connection is accessed by a user that is NOT a member of the specified group name.                |
| AAA.USER.IS_MEMBER_OF(“`group name`”)                                            | This expression checks that the user accessing the current connection is a member of the specified group.                               |
| AAA.USER.NAME.CONTAINS(“”).NOT                                                   | This expression checks that the user accessing the current connection is NOT a member of the specified group.                           |
| AAA.USER.NAME.CONTAINS(“enter `user name`”) Specifies the resources for a user name. | This expression checks that the current connection is accessed by the specified name.                                                     |
| CLIENT.IP.DST.EQ(enter the IP address here).NOT                                          | This expression checks that the destination IP of the current traffic is NOT equal to the specified IP address.                         |
| CLIENT.IP.DST.EQ(enter the IP address here)                                              | This expression checks that the destination IP of the current traffic is equal to the specified IP address.                             |
| CLIENT.TCP.DSTPORT.EQ (enter port number).NOT                                        | This expression checks that the destination port is NOT equal to the specified port number.                                             |
| CLIENT.TCP.DSTPORT.EQ (enter port number)                                            | This expression checks that the destination port is equal to the specified port number.                                                 |

Vous pouvez cliquer sur le lien Expression Editor de la page Créer une stratégie ICA pour créer une expression.

Remarque : Pour modifier une action de journal existante, cliquez sur Modifier en regard de Log Action dans la page Créer une stratégie ICA .

Configurer l’analyse des points de terminaison de pré-authentification et de post-authentification

Vous pouvez configurer l’analyse des points de terminaison pour la pré-authentification ou la post-authentification.

  • Pour la post-authentification, vous devez configurer l’expression d’analyse du point de terminaison sur une ou plusieurs stratégies de session. Pour configurer l’EPA post-authentification avec SmartControl, utilisez le Smartgroup paramètre de l’action de session VPN. L’expression EPA est configurée sur la stratégie de session VPN. Vous pouvez spécifier un nom de groupe pour le paramètre Smart Group. Ce nom de groupe peut être n’importe quelle chaîne. Il n’est pas nécessaire que le nom du groupe soit un groupe existant dans Active Directory.

    Configurez la stratégie ICA avec l’expression HTTP.REQ.IS_MEMBER_OF (»groupname«). Utilisez le nom de groupe précédemment spécifié pour le groupe dynamique.

  • Pour la pré-authentification, vous devez configurer une expression d’analyse du point de terminaison dans une stratégie de préauthentification. Pour configurer l’EPA de pré-authentification avec SmartControl, utilisez le paramètre de groupe EPA par défaut du profil de pré-authentification. L’expression EPA est configurée sur la stratégie de pré-authentification. Vous pouvez spécifier un nom de groupe pour le paramètre de groupe EPA par défaut. Ce nom de groupe peut être n’importe quelle chaîne. Il n’est pas nécessaire que le nom du groupe soit un groupe existant dans Active Directory.

    Configurez la stratégie ICA avec l’expression HTTP.REQ.IS_MEMBER_OF (»groupname«), utilisez le nom de groupe précédemment spécifié pour le groupe EPA par défaut.

Configuration après authentification

Suivez la procédure suivante pour configurer des groupes intelligents pour la configuration de post-authentification.

  1. Accédez à Citrix Gateway > Stratégies > Session.

  2. Cliquez sur Profils de session, puis sur Ajouter.

  3. Sélectionnez l’onglet Sécurité.

    Ajouter une session

  4. Entrez un nom pour votre profil Citrix Gateway (action).

  5. Dans Action d’autorisation par défaut, sélectionnez l’action selon vos besoins.

    Spécifiez les ressources réseau auxquelles les utilisateurs ont accès lorsqu’ils ouvrent une session sur le réseau interne. Le paramètre par défaut de l’autorisation consiste à refuser l’accès à toutes les ressources réseau. Citrix recommande d’utiliser le paramètre global par défaut, puis de créer des stratégies d’autorisation pour définir les ressources réseau auxquelles les utilisateurs peuvent accéder. Si vous définissez la stratégie d’autorisation par défaut sur REFUSER, vous devez autoriser explicitement l’accès à n’importe quelle ressource réseau, ce qui améliore la sécurité.

  6. Dans Secure Browse, activez ou désactivez la navigation sécurisée selon vos besoins.

    Autorisez les utilisateurs à se connecter via Citrix Gateway aux ressources réseau à partir d’appareils mobiles iOS et Android avec l’application Citrix Workspace. Les utilisateurs n’ont pas besoin d’établir un tunnel VPN complet pour accéder aux ressources du réseau sécurisé.

  7. Dans Smartgroup, entrez le nom du groupe par défaut qui doit être sélectionné une fois l’authentification réussie.

    Il s’agit du groupe dans lequel l’utilisateur est placé lorsque la stratégie de session associée à cette action de session réussit. La stratégie de session VPN effectue la vérification EPA post-authentification et si la vérification réussit, l’utilisateur est placé dans le groupe spécifié avec un groupe intelligent. L’expression is_member_of (aaa.user.is_member_of) peut ensuite être utilisée avec des stratégies pour vérifier si l’EPA a transmis l’utilisateur appartenant à ce groupe intelligent.

  8. Cliquez sur Créer.

  9. Cliquez sur Stratégies de session, puis sur Ajouter.

  10. Entrez le nom de la nouvelle stratégie de session qui est appliquée une fois que l’utilisateur ouvre une session sur Citrix Gateway.

  11. Sélectionnez l’action Profil à l’aide du menu.

    Action appliquée par la nouvelle stratégie de session si le critère de règle est satisfait.

    Remarque : Si le profil souhaité doit être créé, sélectionnez le +. Pour plus d’informations, consultez la section Créer un profil de session Citrix Gateway.

  12. Dans Expression, définissez l’expression qui spécifie le trafic correspondant à la stratégie.

    La longueur maximale d’une chaîne littérale pour l’expression est de 255 caractères. Une chaîne plus longue peut être divisée en chaînes plus petites de 255 caractères chacune, et les plus petites chaînes peuvent être concaténées avec l’opérateur +. Par exemple, vous pouvez créer une chaîne de 500 caractères comme suit : ‘“» + «”’

    Les exigences suivantes s’appliquent uniquement à l’interface de ligne de commande Citrix ADC :

    • Si l’expression comprend un ou plusieurs espaces, insérez l’expression entière entre guillemets doubles.
    • Si l’expression elle-même inclut des guillemets doubles, échappez les guillemets en utilisant le caractère.* Vous pouvez également utiliser des guillemets simples pour entourer la règle, auquel cas vous n’avez pas besoin d’échapper les guillemets doubles.

    Remarque : Les expressions de stratégie classiques sont déconseillées à partir de Citrix ADC version 13.1 et ultérieure. Citrix vous recommande d’utiliser des stratégies avancées. Pour plus d’informations, voir Stratégies avancées.

  13. Cliquez sur Créer.

  14. Sur la page Stratégies de session, sélectionnez la stratégie de session et cliquez sur Liaisons globales dans le menu Sélectionner une action .

  15. Dans Sélectionner une stratégie, cliquez sur ** pour choisir une stratégie existante ou en ajouter une nouvelle.

  16. Saisissez la priorité et cliquez sur Liaison.

  17. Cliquez sur Terminé.

Configuration de la pré-authentification

Pour configurer la configuration de pré-authentification, procédez comme suit.

  1. Accédez à Citrix Gateway > Stratégies > Préauthentification.

  2. Sélectionnez l’onglet Profils de pré-authentification, puis Ajouter.

    Ajouter un profil de pré-authentification

  3. Entrez le nom de l’action de pré-authentification.

    Le nom doit commencer par une lettre, un chiffre ou le caractère de soulignement (_) et doit être composé uniquement de lettres, de chiffres et de traits d’union (-), point (.), livre (#), espace (), at (@), égal (=), deux-points (:) et caractères de soulignement. Impossible de modifier une fois l’action de pré-authentification créée.

    Remarque : La condition suivante s’applique uniquement à l’interface de ligne de commande Citrix ADC : Si le nom comprend un ou plusieurs espaces, inscrivez le nom entre guillemets doubles ou simples.

  4. Dans Action, sélectionnez une action de demande que la stratégie doit appeler lorsqu’une connexion correspond à la stratégie. Cette option peut être utilisée pour autoriser ou refuser l’ouverture de session après les résultats de l’analyse des points finaux (EPA).

  5. Dans Processus à annuler, entrez la chaîne de processus que l’outil d’analyse des points de terminaison (EPA) doit mettre fin.

  6. Dans Fichiers à supprimer, entrez la chaîne spécifiant les chemins et les noms des fichiers que l’outil d’analyse des points de terminaison (EPA) doit supprimer.

  7. Dans Groupe EPA par défaut, entrez le groupe EPA par défaut qui doit être choisi lorsque la vérification EPA réussit.

  8. Cliquez sur Créer.

  9. Sur la page Stratégies de préauthentification, sélectionnez la stratégie de préauthentification et cliquez sur Liaisons globales dans le menu Sélectionner une action .

  10. Dans Sélectionner une stratégie, cliquez sur ** pour choisir une stratégie existante ou en ajouter une nouvelle.

  11. Saisissez la priorité et cliquez sur Liaison.

  12. Cliquez sur Terminé.

Configurer SmartControl