Citrix Gateway

Configurer le VPN Always On avant l’ouverture de session Windows

Cette section contient les détails nécessaires pour configurer le VPN permanent avant l’ouverture de session Windows à l’aide d’une stratégie avancée.

Conditions préalables

  • Citrix Gateway et le plug-in VPN doivent être à la version 13.0.41.20 et ultérieure.
  • Citrix ADC Advanced Edition et versions ultérieures sont nécessaires au fonctionnement de la solution.
  • Vous pouvez configurer la fonctionnalité uniquement à l’aide de stratégies avancées.
  • Le serveur virtuel VPN doit être opérationnel.

Étapes de configuration de

La configuration Always On VPN avant l’ouverture de session Windows implique les étapes de haut niveau suivantes :

  1. Configurer un tunnel au niveau de la machine
  2. Configurer un tunnel au niveau utilisateur (facultatif)
  3. Activer l’authentification des utilisateurs
    1. Configurez le serveur virtuel VPN et liez la clé de certificat au serveur virtuel.
    2. Créer un profil d’authentification
    3. Créer un serveur virtuel d’authentification
    4. Créer des stratégies d’authentification
    5. Liez les stratégies au profil d’authentification

Tunnel de niveau machine

Le tunnel au niveau de la machine est établi vers Citrix Gateway en utilisant le certificat d’appareil comme identité. Le certificat d’appareil doit être installé sur la machine cliente sous le magasin de machines. Cela s’applique uniquement au service Always On before Windows Logon.

Pour plus de détails sur le certificat d’appareil, voir Utiliser des certificats d’appareil pour l’authentification.

Important :

Si le serveur virtuel VPN sur l’appliance Citrix Gateway est configuré sur un port non standard (autre que 443), le tunnel au niveau de la machine ne fonctionne pas comme prévu.

Configurer le tunnel au niveau de la machine à l’aide du certificat de l’appareil

Configuration de l’authentification basée sur le certificat d’appareil à l’aide de

  1. Dans l’onglet Configuration, accédez à Citrix Gateway > Serveurs virtuels.
  2. Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
  3. Sur la page Serveur virtuel VPN, cliquez sur l’icône Modifier.
  4. Cliquez sur Ajouter en regard de la section Autorité de certification pour le certificat de périphérique, puis cliquez sur OK.

    Ajouter un certificat d'autorité de certification pour appareil

    Remarque : Ne cochez pas la case Activer le certificat de périphérique .

  5. Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification sous la section Certificat . Cliquez sur Ajouter une liaison sous la page Liaison de certificat de l’autorité de certification du serveur virtuel SSL .

    Remarque :

    • Le champ Nom commun de l’objet (CN) du certificat de périphérique ne doit pas être vide. Si un appareil tente de se connecter avec des certificats d’appareil CN vides, sa session VPN est créée avec le nom d’utilisateur « anonyme ». Dans IIP, si plusieurs sessions ont le même nom d’utilisateur, les sessions précédentes sont déconnectées. Ainsi, lorsque l’IIP est activé, vous remarquez l’impact de la fonctionnalité en raison d’un nom commun vide.
    • Tous les certificats d’autorité de certification (racine et intermédiaire) susceptibles de signer le certificat de périphérique émis aux clients doivent être liés sous la section CA for Device Certificate et également dans la section Liaison de certificat d’autorité de certification pour le serveur virtuel aux étapes 4 et 5. Pour plus d’informations sur la liaison d’un certificat d’autorité de certification avec des certificats intermédiaires/subordonnés, consultez Installer, lier et mettre à jour des certificats.
      • Si plusieurs certificats d’appareil sont configurés, le certificat dont la date d’expiration est la plus longue est essayé pour la connexion VPN. Si ce certificat autorise l’analyse EPA avec succès, la connexion VPN est établie. Si ce certificat échoue au cours du processus d’analyse, le certificat suivant est utilisé. Ce processus se poursuit jusqu’à ce que tous les certificats soient essayés.
  6. Cliquez sur Cliquez pour sélectionner pour sélectionner le certificat requis.

    Ajouter un certificat d'autorité de certification pour appareil

  7. Sélectionnez le certificat d’autorité de certification requis.

    Ajouter un certificat d'autorité de certification pour appareil

  8. Cliquez sur Bind.

  9. Créez un serveur virtuel d’authentification.
    1. Sur la page Serveurs virtuels VPN, sous Profil d’authentification, cliquez sur Ajouter.
    2. Sur la page Créer un profil d’authentification, saisissez un nom pour le profil d’authentification, puis cliquez sur Ajouter. Créer un profil d'authentification
    3. Sur la page Serveur virtuel d’authentification, indiquez un nom pour le serveur virtuel d’authentification. Sélectionnez Type d’adresse IP comme non adressable, puis cliquez sur OK. Sélectionnez le type d'adresse IP non adressable Remarque : Le serveur virtuel d’authentification reste toujours à l’état DOWN.
  10. Créez une stratégie d’authentification.
    1. Sous Stratégies d’authentification avancées, cliquez à l’intérieur de la stratégie d’authentification.
    2. Sur la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie.
    3. Sur la page Créer une stratégie d’authentification ;
      1. Entrez le nom de la stratégie d’authentification avancée.
      2. Sélectionnez EPA dans la liste Type d’action .
      3. Cliquez sur Ajouter en regard de Action. Sélectionnez le type d'action EPA
    4. Sur la page Créer une action EPA d’authentification ;
      1. Entrez le nom de l’action EPA à créer.
      2. Entrez sys.client_expr("device-cert_0_0") dans le champ Expression .
      3. Cliquez sur Créer.

    Créer une expression

  11. Sur la page Créer une stratégie d’authentification ;
    1. Entrez le nom de la stratégie d’authentification.
    2. Entrez is_aoservice dans le champ Expression .
    3. Cliquez sur Créer.

    Créer une expression 2

  12. Sur la page Liaison de stratégie, saisissez 100 dans Priorité, puis cliquez sur Liaison.

    Stratégie de liaison

Configuration de l’authentification basée sur le certificat d’appareil à l’aide de

  1. Liez un certificat d’autorité de certification au serveur virtuel VPN.

    bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
    <!--NeedCopy-->
    

    Exemple

    bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
    <!--NeedCopy-->
    
  2. Ajouter et authentifier un serveur virtuel.

    add authentication authnProfile <name>  {-authnVsName <string>}
    <!--NeedCopy-->
    

    Exemple

    add authentication authnProfile always_on -authnVsName always_on_auth_server
    <!--NeedCopy-->
    
  3. Créez une action d’authentification EPA.

    add authentication epaAction <name> -csecexpr <expression>
    <!--NeedCopy-->
    

    Example

    ``` add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass ```

  4. Création d’une stratégie d’authentification

    add authentication Policy <name> -rule <expression> -action <string>
    

    Exemple :

    add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
    

Important :

  • La configuration du tunnel au niveau de la machine est maintenant terminée. Pour configurer le tunnel au niveau utilisateur après l’ouverture de session Windows, reportez-vous à la section Tunnel de niveau utilisateur.

  • Sur l’ordinateur client, le certificat de périphérique est au format .pfx. Le certificat .pfx est installé sur l’ordinateur Windows car Windows comprend le format .pfx. Ce fichier contient les fichiers de certificat et de clé. Ce certificat doit appartenir au même domaine qui est lié au serveur virtuel. Les certificats et clés .pfx et serveur peuvent être générés à l’aide de l’assistant de certificat client. Ces certificats peuvent être utilisés avec l’autorité de certification pour générer le .pfx respectif avec le certificat du serveur et le domaine. Le certificat .pfx est installé dans le compte d’ordinateur dans le dossier personnel. La commande show aaa session affiche le tunnel de l’appareil sur l’appliance Citrix ADC.

Tunnel au niveau utilisateur

Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur à l’aide de l’interface graphique

Remarque : L’expression is_aoservice.not est applicable à partir de Citrix Gateway versions 13.0.41.20 et ultérieures.

  1. Configurez une stratégie pour l’authentification des utilisateurs.
    1. Accédez à Citix Gateway > Serveurs virtuels et dans Paramètres avancés, cliquez sur Profil d’authentification.
    2. Configurez le profil d’authentification.
    3. Sur la page Serveur virtuel d’authentification, cliquez à l’intérieur de la stratégie d’authentification.
    4. Dans Sélectionner une action, cliquez sur Modifier la liaison et remplacez Expression GoTo par NEXT au lieu de END pour la liaison de stratégie.

      Stratégie de liaison

      Stratégie de liaison

    5. Cliquez sur Lier, puis sur la page Stratégie d’authentification, cliquez sur Ajouter une liaison.

      Stratégie de liaison 2

    6. Sur la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie. Stratégie de liaison 2 Sur la page Créer une stratégie d’authentification ;
      1. Entrez le nom de la stratégie « aucune authentification » à créer.
      2. Sélectionnez le type d’action No_Authn.
      3. Entrez is_aoservice.not dans le champ Expression .
      4. Cliquez sur Créer. ! [No-auth-policy] (/en-us/citrix-gateway/media/aos-noauth-policy-7bb.png)
  2. Dans Sélectionner une action, cliquez sur Modifier la liaison.

    Edit-binding-user-tunnel

  3. Sur la page Liaison de stratégie, saisissez 110 dans Priorité. Cliquez sur Ajouter en regard de Sélectionner le facteur suivant.
    1. Sur la page Étiquette de stratégie d’authentification, saisissez un nom descriptif pour l’étiquette de stratégie, sélectionnez le schéma de connexion, puis cliquez sur Continuer.
    2. Dans Sélectionner une stratégie, cliquez sur Ajouter et créez une stratégie d’authentification LDAP.
    3. Cliquez sur Créer, puis cliquez sur Liaison.
    4. Cliquez sur Terminé, puis sur Liaison.

    Dans la page Stratégie d’authentification, la colonne Facteur suivant affiche la stratégie de facteur suivant configurée.

    ! [Alwayson-complete-configuration] (/en-us/citrix-gateway/media/always-on-complete-policy-configuration.png)

  4. Vous pouvez configurer la stratégie LDAP en tant que facteur suivant de la stratégie d’authentification.
    1. Sur la page Créer une stratégie d’authentification, entrez un nom pour la stratégie LDAP.
    2. Sélectionnez Type d’action en tant que LDAP.
    3. Entrez Action en tant qu’action LDAP configurée.

    Remarque :

Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur en utilisant l’interface de ligne de commande

  1. Lier une stratégie au serveur virtuel d’authentification

    bind authentication vserver <name> -policy <name> -priority  <positive_integer> -gotoPriorityExpression <expression>
    

    Exemple

    bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
    
    
  2. Ajoutez une stratégie d’authentification avec l’action en tant que NO_AUTH et l’expression is_aoservice.not, et liez-la à la stratégie.

    add authentication Policy <name> -rule <expression> -action <string>
    
    bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
    

    Exemple

    add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN
    
    bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
    
  3. Ajoutez un facteur suivant et liez l’étiquette de stratégie au facteur suivant.

    add authentication policylabel <labelName> -loginSchema <string>
    
    bind authentication  policylabel <string>  -policyName <string>  -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
    

    Exemple

    add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson
    
    bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
    
  4. Configurez une stratégie LDAP et liez-la à l’étiquette de stratégie de tunnel utilisateur.

    
    add authentication policy <name>  -rule <expression>  -action <string>
    
    bind authentication vserver <vserver_name> -policy <string>  -priorit < positive integer>  gotoPriorityExpression <string>
    

    Exemple

    add authentication Policy LDAP_new -rule true -action LDAP_new
    
    bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
    

Configuration côté client

Ils AlwaysOn, locationDetection, and suffixList registries sont facultatifs et ne sont nécessaires que si la fonctionnalité de détection d’emplacement est requise.

Pour accéder aux entrées de clé de registre, accédez au chemin suivant : Ordinateur> HKEY_LOCAL_MACHINE>Software>Citrix>Secure Access Client

Clé de registre Type de registre Valeurs et description
AlwaysOnService REG_DWORD 1 => Établir un tunnel au niveau machine mais pas un tunnel au niveau utilisateur ; 2 => Établir un tunnel au niveau machine et un tunnel au niveau utilisateur
AlwaysOnURL REG SZ URL du serveur virtuel Citrix Gateway auquel l’utilisateur souhaite se connecter. Exemple : https://xyz.companyDomain.com Important : Une seule URL est responsable du tunnel au niveau de la machine et du tunnel au niveau utilisateur. Le registre AlwaysOnURL aide le composant de niveau service et utilisateur à travailler et à connecter un tunnel distinct, c’est-à-dire un tunnel au niveau machine et un tunnel au niveau utilisateur en fonction de la conception
AlwaysOn REG_DWORD 1 => Autoriser l’accès au réseau en cas de défaillance du VPN ; 2=> Bloquer l’accès réseau en cas de panne VPN
AlwaysOnAllowlist REG_SZ Liste d’adresses IP ou de noms de domaine FQDN séparés par des points-virgules qui doivent être mis sur liste blanche lorsque la machine fonctionne en mode strict. Exemple : 8.8.8.8;linkedin.com
UserCertCAList REG_SZ Liste de noms d’autorité de certification racine séparés par des virgules ou des points-virgules, c’est-à-dire le nom de l’émetteur du certificat. Utilisé dans le contexte d’un service Always On dans lequel un client peut spécifier la liste des autorités de certification dans lesquelles choisir le certificat client. Exemple : cgwsanity.net;xyz.gov.in
locationDetection REG_DWORD 1 => Pour activer la détection de position ; 0 => Pour désactiver la détection de position
suffixList REG SZ Liste de domaines séparés par des virgules et est responsable de vérifier si la machine est dans l’intranet ou pas à un moment donné lorsque la détection de localisation est activée. Exemple : citrite.net,cgwsanity.net

Pour plus d’informations sur ces entrées de Registre, consultez Toujours allumé. ```

Configurer le VPN Always On avant l’ouverture de session Windows