Citrix Gateway

Proxy RDP sans état

Le proxy RDP sans état accède à un hôte RDP. L’accès est accordé via RDPListener sur Citrix Gateway lorsque l’utilisateur s’authentifie sur un authentificateur Citrix Gateway distinct. Les informations requises par RDPListener pour Citrix Gateway sont stockées en toute sécurité sur un serveur STA. Un serveur STA peut être placé n’importe où à condition que Citrix Gateway et les serveurs d’énumération d’applications puissent y accéder. Pour plus de détails, reportez-vous à https://support.citrix.com/article/CTX101997.

Flux de connexion

Deux connexions sont impliquées dans le flux proxy RDP. La première connexion est la connexion VPN SSL de l’utilisateur à la VIP Citrix Gateway et l’énumération des ressources RDP.

La deuxième connexion est la connexion du client RDP natif à l’écouteur RDP (configuré à l’aide de RDPIP et de port RDPport) sur Citrix Gateway, et le proxy ultérieur du client RDP vers les paquets de serveur en toute sécurité.

Diagramme de flux de connexion

  1. L’utilisateur se connecte à la VIP Authenticator Gateway et fournit les informations d’identification.

  2. Une fois la connexion réussie à la passerelle, l’utilisateur est redirigé vers la page d’accueil/portail externe qui énumère les ressources du poste de travail distant auxquelles l’utilisateur peut accéder.

  3. Une fois que l’utilisateur a sélectionné une ressource RDP, une demande est reçue par le VIP Authenticator Gateway, dans le format https://AGVIP/rdpproxy/ip:port/rdptargetproxy indiquant la ressource publiée sur laquelle l’utilisateur a cliqué. Cette demande contient les informations relatives à l’adresse IP et au port du serveur RDP sélectionné par l’utilisateur.

  4. La passerelle d’authentification traite la demande /rdpproxy/. Étant donné que l’utilisateur est déjà authentifié, cette demande est accompagnée d’un cookie de passerelle valide.

  5. Les RDPUser informations RDPTarget et sont stockées sur le serveur STA et un ticket STA est généré. Les informations sont stockées sous la forme d’un objet blob XML qui est éventuellement chiffré à l’aide de la clé pré-partagée configurée. S’il est chiffré, le blob est codé et stocké en base64. La passerelle Authenticator utilise l’un des serveurs STA configurés sur le serveur virtuel de passerelle.

  6. Le blob XML est au format suivant :

    <Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>n
    
    <Value name=”`Username`”>username</Value>\n<Value name=”Password”>pwd</Value>
    <!--NeedCopy-->
    
  7. Le fichier rdptargetproxy obtenu dans la requête /rdpproxy/ est placé en tant quefulladdress’’ et le ticket STA (pré-ajouté avec l’AuthID STA) est placé loadbalanceinfo dans le fichier .rdp.

  8. Le .rdp fichier est renvoyé au point de terminaison du client.

  9. Le client RDP natif se lance et se connecte au RDPListener Gateway. Il envoie le ticket STA dans le paquet initial x.224.

  10. Le RDPListener Gateway valide le ticket STA et obtient les RDPUser informations RDPTarget et. Le serveur STA à utiliser est récupéré à l’aide du ‘AuthID’ présent dans le loadbalanceinfo.

  11. Une session de passerelle est créée pour stocker les stratégies d’autorisation/d’audit. Si une session existe pour l’utilisateur, elle est réutilisée.

  12. Le RDPListener Gateway se connecte au RDPTarget et se connecte à l’aide de CREDSSP.

Conditions préalables

  • L’utilisateur est authentifié sur l’authentificateur Citrix Gateway.

  • L’URL /rdpproxy initiale et le client RDP sont connectés à un autre RDPListener Citrix Gateway.

  • La passerelle Authenticator utilisant un serveur STA transmet les RDPListener Gateway informations en toute sécurité.

Configurez le proxy RDP sans état à l’aide de l’interface de ligne de commande

  • Ajoutez un rdpServer profil. Le profil de serveur est configuré sur le RDPListener Gateway.

    Remarque :

    • Une fois que le profil RDPServer est configuré sur le serveur virtuel VPN, il ne peut pas être modifié. De plus, le même ServerProfile ne peut pas être réutilisé sur un autre serveur virtuel VPN.
    • Le RDPip et le port RDPport, qui étaient précédemment configurés sur le serveur virtuel VPN, font partie du profil RDPServerProfile. Le paramètre rdp Profile est renommé rdp ClientProfile et le paramètre ClientSSL est supprimé. Par conséquent, la configuration précédente ne fonctionne pas.
     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
     <!--NeedCopy-->
    

    Le profil RDPServer est configuré sur le serveur virtuel VPN à l’aide de la commande suivante :

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
     <!--NeedCopy-->
    

    Important :

    • Pour le proxy RDP sans état, le serveur STA valide le ticket STA, envoyé par le client RDP, pour obtenir les RDPTarget/RDPUser informations. Vous devez lier le serveur STA en plus du serveur virtuel VPN. Par exemple ;
         add vpn url url4 RDP2 "rdp://1.1.1.0/1.1.1.2:443" ---> here RDP is 1.1.1.0 and 1.1.1.2 is the virtual server
     <!--NeedCopy-->
    

La commande rdp de profil est renommée rdpClient profil et comporte de nouveaux paramètres. La commande MultiMonitorSupport a été ajoutée. De plus, une option de configuration des paramètres personnalisés, qui ne sont pas pris en charge dans le profil du client RDP, a été ajoutée. Le paramètre ClientSSL a été supprimé, car la connexion est toujours sécurisée. Le profil client est configuré sur la passerelle d’authentification.

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]

        [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

        [-rdpCookieValidity <positive_integer>][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams <string>]
<!--NeedCopy-->

La configuration —RDPHHost est utilisée dans un déploiement de passerelle unique.

  • Associez le profil RDP au serveur virtuel VPN.

Vous pouvez associer un profil RDP en configurant une SessionAction+SessionPolicy ou en définissant le paramètre VPN global.

Exemple :

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
<!--NeedCopy-->

OU

set vpn parameter –rdpClientprofile <name>
<!--NeedCopy-->

Configurez le proxy RDP sans état à l’aide de l’interface graphique

Les étapes de haut niveau suivantes sont impliquées dans la configuration du proxy RDP sans état. Pour connaître les étapes détaillées, reportez-vous à la section Configuration du proxy RDP.

  • Créer un profil de serveur RDP
  • Créer un profil client RDP
  • Créer un serveur virtuel
  • Créer un signet
  • Créer ou modifier un profil ou une stratégie de session
  • Liez un signet

Important :

Pour le proxy RDP sans état, vous devez lier un serveur STA en plus du serveur virtuel VPN.

Compteur de connexion

Un nouveau compteur de connexions ns_rdp_tot_curr_active_conn a été ajouté, qui conserve l’enregistrement du nombre de connexions actives en cours d’utilisation. Il peut être visualisé dans le cadre de la nsconmsg commande sur le shell Citrix ADC. La commande CLI pour afficher ces compteurs devrait être ajoutée ultérieurement.

Notes de mise

Le RDPip et le port RDPport, qui étaient précédemment configurés sur le serveur virtuel VPN, font partie du profil RDPServerProfile. Le paramètre rdp Profile est renommé rdp ClientProfile et le paramètre ClientSSL est supprimé. Par conséquent, la configuration précédente ne fonctionne pas.

Proxy RDP sans état