Citrix Gateway

Sélectionnez l’agent Citrix Secure Access pour les utilisateurs

Lorsque vous configurez Citrix Gateway, vous pouvez choisir comment les utilisateurs ouvrent une session. Les utilisateurs peuvent ouvrir une session à l’aide de l’un des plug-ins suivants :

  • Agent Citrix Secure Access pour Windows
  • Agent Citrix Secure Access pour macOS

Vous terminez la configuration en créant une stratégie de session, puis en la liant aux utilisateurs, groupes ou serveurs virtuels. Vous pouvez également activer les plug-ins en configurant les paramètres globaux. Dans le profil global ou de session, vous sélectionnez Windows ou macOS X comme type de module externe. Lorsque les utilisateurs ouvrent une session, ils reçoivent le plug-in tel que défini globalement ou dans le profil de session et la stratégie. Créez des profils distincts pour le type de plug-in.

Configurez le plug-in globalement

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres globaux.
  3. Dans l’onglet Expérience client, en regard de Type de plug-in, sélectionnez Windows/macOS X, puis cliquez sur OK.

Configurer le type de plug-in pour Windows ou macOS dans un profil de session

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez Citrix Gateway > Stratégies, puis cliquez sur Session.
  2. Procédez comme suit :
    • Si vous créez une stratégie de session, dans le volet d’informations, cliquez sur Ajouter.
    • Si vous modifiez une stratégie existante, sélectionnez-en une, puis cliquez sur Ouvrir.
  3. Créez un profil ou modifiez un profil existant. Pour ce faire, effectuez l’une des opérations suivantes :
    • À côté de Demander un profil, cliquez sur Nouveau.
    • À côté de Profil de demande, cliquez sur Modifier.
  4. Dans l’onglet Expérience client, en regard de Type de plug-in, cliquez sur Override Global, puis sélectionnez Windows/MacOS X.
  5. Procédez comme suit :
    • Si vous créez un profil, cliquez sur Créer, définissez l’expression dans la boîte de dialogue de stratégie, cliquez sur Créer, puis sur Fermer.
    • Si vous modifiez un profil existant, après avoir effectué la sélection, cliquez deux fois sur OK .

Agent Citrix Secure Access pour Windows

Lorsque les utilisateurs ouvrent une session sur Citrix Gateway, ils téléchargent et installent l’agent Citrix Secure Access sur la machine utilisateur.

Pour installer le plug-in, les utilisateurs doivent être un administrateur local ou un membre du groupe Administrateurs. Cette restriction s’applique uniquement à la première installation. Les mises à niveau de plug-in ne nécessitent pas d’accès de niveau administrateur.

Pour permettre aux utilisateurs de se connecter à Citrix Gateway et de l’utiliser, vous devez leur fournir les informations suivantes :

  • Adresse Web Citrix Gateway, telle que https://NetScalerGatewayFQDN/
  • Toute configuration système requise pour exécuter l’agent Citrix Secure Access si vous avez configuré des ressources et des stratégies de point de terminaison

Selon la configuration de la machine utilisateur, vous devrez peut-être également fournir les informations suivantes :

  • Si les utilisateurs exécutent un pare-feu sur leur ordinateur, ils devront peut-être modifier les paramètres du pare-feu afin que le pare-feu ne bloque pas le trafic vers ou depuis les adresses IP correspondant aux ressources auxquelles vous avez accordé l’accès. L’agent Citrix Secure Access gère automatiquement le pare-feu de connexion Internet dans Windows XP et le pare-feu Windows dans Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 ou Windows 8.1.
  • Les utilisateurs qui souhaitent envoyer du trafic vers FTP via une connexion Citrix Gateway doivent configurer leur application FTP pour effectuer des transferts passifs. Un transfert passif signifie que l’ordinateur distant établit la connexion de données à votre serveur FTP, plutôt que l’établissement de la connexion de données par le serveur FTP à l’ordinateur distant.
  • Les utilisateurs qui souhaitent exécuter des applications clientes X sur la connexion doivent exécuter un serveur X, par exemple XManager, sur leurs ordinateurs.
  • Les utilisateurs qui installent Receiver pour Windows ou Receiver pour Mac peuvent démarrer l’agent Citrix Secure Access à partir de Receiver ou à l’aide d’un navigateur Web. Fournissez des instructions aux utilisateurs sur la façon de se connecter à l’aide de l’agent Citrix Secure Access via Receiver ou un navigateur Web.

Étant donné que les utilisateurs travaillent sur des fichiers et des applications comme s’ils étaient locaux sur le réseau de l’organisation, il n’est pas nécessaire de recycler les utilisateurs ou de configurer des applications.

Pour établir une connexion sécurisée pour la première fois, connectez-vous à Citrix Gateway à l’aide de la page d’ouverture de session Web. Le format typique d’une adresse Web est https://companyname.com. Lorsque les utilisateurs ouvrent une session, ils peuvent télécharger et installer l’agent Citrix Secure Access sur leur ordinateur.

Installation de l’agent Citrix Secure Access pour Windows

  1. Dans un navigateur Web, tapez l’adresse Web de Citrix Gateway.
  2. Tapez le nom d’utilisateur et le mot de passe, puis cliquez sur Ouverture de session.
  3. Sélectionnez Accès réseau, puis cliquez sur Télécharger.
  4. Suivez les instructions pour installer le plug-in.

Une fois le téléchargement terminé, l’agent Citrix Secure Access se connecte et affiche un message dans la zone de notification sur un ordinateur Windows.

Si vous souhaitez que les utilisateurs se connectent à l’agent Citrix Secure Access sans utiliser de navigateur Web, vous pouvez configurer le plug-in pour qu’il affiche la boîte de dialogue d’ouverture de session lorsque les utilisateurs cliquent avec le bouton droit sur l’icône Citrix Gateway dans la zone de notification d’un ordinateur Windows ou démarrent le plug-in à partir du menu Démarrer.

Configurer la boîte de dialogue d’ouverture de session pour l’agent Citrix Secure Access pour Windows

Pour configurer l’agent Citrix Secure Access afin qu’il utilise la boîte de dialogue d’ouverture de session, les utilisateurs doivent être connectés pour effectuer cette procédure.

  1. Sur un ordinateur Windows, dans la zone de notification, cliquez avec le bouton droit de la souris sur l’icône Citrix Gateway, puis cliquez sur Configurer Citrix Gateway.
  2. Cliquez sur l’onglet Profil, puis sur Modifier le profil.
  3. Dans l’onglet Options, cliquez sur Utiliser l’agent Citrix Secure Access pour l’ouverture de session. Remarque : Si les utilisateurs ouvrent la boîte de dialogue Configurer Citrix Gateway depuis Receiver, l’onglet Options n’est pas disponible.

Définition du mode d’interception pour l’agent Citrix Secure Access pour Windows

Si vous configurez l’agent Citrix Secure Access pour Windows, vous devez également configurer le mode d’interception et le définir sur transparent.

  1. Dans l’utilitaire de configuration, cliquez sur l’onglet Configuration, développez Citrix Gateway > Ressources, puis cliquez sur Applications intranet.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans Nom, tapez un nom pour la stratégie.
  4. Cliquez sur Transparent.
  5. Dans Protocol, sélectionnez ANY.
  6. Dans Type de destination, sélectionnez Adresse IP et masquede réseau.
  7. Dans la zone Adresse IP, tapez l’adresse IP.
  8. Dans Masque de réseau, tapez le masque de sous-réseau, cliquez sur Créer, puis sur Fermer.

Appliquer l’accès au réseau local aux utilisateurs finaux en fonction de la configuration ADC

Les administrateurs peuvent empêcher les utilisateurs finaux d’activer ou de désactiver l’option d’accès au réseau local sur leurs machines clientes. Une nouvelle option, FORCED, est ajoutée aux valeurs des paramètres d’accès au réseau local existants. Lorsque la valeur Accès au réseau local est définie sur FORCÉ, les utilisateurs finaux ne peuvent pas utiliser l’option d’accès au réseau local sur leurs ordinateurs clients. Si les utilisateurs finaux doivent activer ou désactiver l’accès au réseau local, les administrateurs doivent reconfigurer l’option Accès au réseau local dans l’appliance Citrix ADC en conséquence.

Pour activer l’option Forced à l’aide de l’interface graphique :

  1. Accédez à Citrix Gateway > Paramètres globaux > Modifier les paramètres globaux.
  2. Cliquez sur l’onglet Expérience client, puis sur Paramètres avancés.
  3. Dans Accès au réseau local, sélectionnez FORCÉ.

Activer l'accès au réseau local

Pour activer l’option Forced à l’aide de l’interface de ligne de commande, exécutez la commande suivante :

set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->

Agent Windows Citrix Secure Access utilisant la plate-forme de filtrage Windows

La plate-forme de filtrage Windows (WFP) est un ensemble d’API et de services système qui fournit une plate-forme pour créer une application de filtrage réseau. WFP est conçu pour remplacer les technologies de filtrage de paquets précédentes, le filtre NDIS (Network Driver Interface Specification) qui était utilisé avec le pilote DNE. Le mode WFP est pris en charge par la version 22.6.1.5 de l’agent Windows Citrix Secure Access.

Installez la version WFP

Vous pouvez installer la version WFP en utilisant l’une des méthodes suivantes.

  • Installez le plug-in VPN avec les pilotes DNE et WFP (méthode par défaut)

    Lorsque le plug-in est installé avec les pilotes DNE et WFP, les administrateurs peuvent utiliser le pilote WFP ou DNE pour créer un tunnel via un bouton de registre. Par défaut, le pilote DNE est utilisé pour le tunneling.

  • Installez le plug-in VPN avec uniquement le pilote WFP (Ignorer l’installation du pilote DNE)

    Les pilotes DNE ne sont pas pris en charge par certaines applications tierces, même lorsqu’ils ne sont pas utilisés. Pour ces déploiements, les administrateurs peuvent utiliser ce type d’installation. Comme le pilote DNE n’est pas installé, seul le pilote WFP est utilisé pour le tunneling.

Sélectionnez un pilote WFP au lieu d’un pilote DNE

Effectuez les étapes suivantes pour sélectionner le pilote WFP au lieu du pilote DNE.

Remarque :

Cela fonctionne uniquement avec la méthode d’installation par défaut.

  1. Téléchargez la version du plug-in VPN pris en charge par WFP et installez le nouveau plug-in VPN.
  2. Par défaut, le pilote DNE est utilisé pour tunneler le trafic. Pour utiliser le pilote WFP pour le tunneling, les administrateurs doivent créer l’entrée de registre suivante :
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE — Définissez la valeur sur 1 pour utiliser WFP et 0 pour utiliser DNE (par défaut, DNE est activé si cette valeur de registre n’est pas présente ou est définie sur 0)

Remarque :

Après avoir basculé le mode tunneling de DNE à WFP ou inversement, le système doit être redémarré pour que les modifications soient prises en compte correctement.

Ignorez complètement l’installation DNE

Effectuez les étapes suivantes pour ignorer l’installation du DNE.

  1. Effectuez une désinstallation propre du plug-in VPN.
    1. Désinstallez le plug-in VPN actuel présent sur la machine et redémarrez la machine.
    2. Vérifiez si le pilote DNE est désinstallé à l’aide de l’une des options suivantes.
      • Ouvrez une invite de commandes avec privilèges élevés (ou PowerShell). Exécutez les commandes suivantes (l’exemple de sortie montre que le pilote basé sur DNE est installé sur le système)
      PS C:\Users\Administrator> sc qc cag
      [SC] QueryServiceConfig SUCCESS
      SERVICE_NAME: cag
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 2   AUTO_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys
      LOAD_ORDER_GROUP   :
      TAG                : 0
      DISPLAY_NAME       : Citrix cag plugin for Access Gateway
      DEPENDENCIES       :
      SERVICE_START_NAME :
      PS C:\Users\Administrator> sc qc dne
      [SC] QueryServiceConfig SUCCESS
      
      SERVICE_NAME: dne
      TYPE               : 1  KERNEL_DRIVER
      START_TYPE         : 1   SYSTEM_START
      ERROR_CONTROL      : 1   NORMAL
      BINARY_PATH_NAME   : \SystemRoot\system32\DRIVERS\dnelwf64.sys
      LOAD_ORDER_GROUP   : NDIS
      TAG                : 38
      DISPLAY_NAME       : DNE LightWeight Filter
      DEPENDENCIES       :
      SERVICE_START_NAME :
      <!--NeedCopy-->
      

      Si le pilote n’est pas installé, la sortie suivante s’affiche :

      The specified service does not exist as an installed service.

    Le pilote DNE (dnelwf64.sys) étant également utilisé par d’autres fournisseurs, il peut être présent même lorsque l’agent Citrix Secure Access n’est pas installé sur le système. En revanche, le plug-in CAG n’est utilisé que par l’agent Citrix Secure Access.

    • La présence d’un DNE peut également être vérifiée en essayant de démarrer les pilotes CAG et DNE. Ouvrez l’invite de commandes à l’aide des droits d’administrateur et exécutez les commandes suivantes :

       net start cag
       net start dne
       <!--NeedCopy-->
      
      • Si le message de sortie indique que les services ne peuvent pas être localisés (le nom du service n’est pas valide.), les composants du plug-in et du pilote sont désinstallés avec succès. Dans ce cas, passez à l’étape 2.
      • Si les composants du plug-in et du pilote ne sont pas désinstallés correctement, exécutez l’utilitaire de nettoyage sur la machine cliente en suivant les instructions fournies à la section https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332.
        • Décompressez l’utilitaire Cleanup et copiez-le dans un dossier.
        • Exécutez nsRmSAC.exe à partir de l’invite de commandes.
        • Redémarrez la machine cliente.
  2. Créez les entrées de registre suivantes.

    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - SkipDNE
      • REG_VALUE - Définissez sur 1 pour vous assurer que DNE n’est pas installé sur la machine
    • REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
      • REG_TYPE - REG_DWORD
      • REG_NAME - EnableWFP
      • REG_VALUE - Définissez sur 1 pour activer WFP (cette entrée doit être créée si l’installation DNE est ignorée)

    Remarque :

    • Si les entrées de registre ne sont pas créées avant l’installation, DNE est installé par défaut. Vous pouvez également consulter les fichiers journaux VPN pour vérifier si WFP ou DNE est utilisé.
    • Si l’installation DNE est ignorée, EnableWFP doit être défini sur 1. Dans ce cas, vous ne pouvez pas passer au plug-in basé sur DNE sans réinstaller l’agent Citrix Secure Access.
  3. Installez le nouveau plug-in VPN.
  4. Vérifiez si le pilote WFP est installé sur le système. Ouvrez une invite de commandes avec privilèges élevés et exécutez la commande suivante. L’exemple de sortie montre que le pilote WFP est installé sur le système.

    PS C:\Users\Administrator> sc qc ctxsgwcallout
    [SC] QueryServiceConfig SUCCESS
    
    SERVICE_NAME: ctxsgwcallout
        TYPE               : 1  KERNEL_DRIVER
        START_TYPE         : 1   SYSTEM_START
        ERROR_CONTROL      : 0   IGNORE
        BINARY_PATH_NAME   : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Citrix Secure Access Callout Driver
        DEPENDENCIES       :
        SERVICE_START_NAME :
    <!--NeedCopy-->
    

Si le pilote n’est pas installé, la sortie suivante s’affiche :

The specified service does not exist as an installed service.

  1. Redémarrez la machine cliente.

Avantages de WFP

Voici quelques-uns des avantages de WFP si l’installation du pilote WFP autonome est effectuée sur le client.

  • Prise en charge du split tunneling inversé basé sur le nom de domaine complet : le pilote WFP permet la prise en charge du split tunneling REVERSE basé sur Il n’est pas pris en charge par le pilote DNE. Pour plus de détails, consultez la section Options de split tunneling.

  • Prise en charge de Wireshark : DNE ne permet pas de capturer le trafic bidirectionnel sur une machine cliente en raison de sa liaison avec la carte Ethernet/Wi-Fi. Ce n’est pas un problème avec le nouveau pilote WFP.

  • Prise en charge de NMAP : le nouveau pilote WFP prend en charge l’analyse NMAP alors que le plug-in VPN est utilisé pour tunnel le trafic, tandis que le DNE n’autorise pas l’analyse NMAP, tandis que le plug-in VPN est utilisé pour tunneler le trafic.

  • Vitesse du réseau : dans certains scénarios, si DNE est installé sur une machine cliente, la vitesse de téléchargement et de téléversement est affectée, ce qui n’est pas le cas avec WFP.

  • Amélioration des performances de nslookup : Parfois, avec DNE, nslookup ne répond pas avec un nombre moindre d’essais, et la même chose n’est pas observée avec WFP.

  • Amélioration des performances iperf par rapport à UDP : avec DNE, une certaine perte de paquets a été observée lors des tests d’évolutivité utilisant iperf sur UDP. La perte de paquets n’est pas observée avec le WFP.

Sélectionnez l’agent Citrix Secure Access pour les utilisateurs