Configuration de NetScaler Gateway pour les applications TCP/UDP
Vous pouvez utiliser la procédure décrite dans Configuration de NetScaler Gateway pour les applications Web/SaaS afin de configurer les applications TCP/UDP. Pour configurer la passerelle pour les applications TCP/UDP, vous devez activer la prise en charge TCP/UDP en saisissant Y pour le paramètre Activer la prise en charge du type d’application TCP/UDP dans le script.
La figure suivante montre le paramètre Activer la prise en charge du type d’application TCP/UDP activé pour la prise en charge TCP/UDP.
Mettre à jour la configuration NetScaler Gateway existante pour les applications TCP/UDP
Si vous mettez à jour la configuration depuis des versions antérieures vers la version 2407, il est recommandé de la mettre à jour manuellement. Pour plus de détails, consultez la section Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.
Paramètres du serveur virtuel NetScaler Gateway
Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.
Ajouter un serveur virtuel :
- tcpProfileName : nstcp_default_XA_XD_profile
- deploymentType : ICA_STOREFRONT (disponible uniquement avec la commande
add vpn vserver) - icaOnly : OFF
Mettre à jour un serveur virtuel :
- tcpProfileName : nstcp_default_XA_XD_profile
- icaOnly : OFF
Pour plus de détails sur les paramètres du serveur virtuel, consultez VPN-SessionAction.
Paramètres d’action de session NetScaler Gateway
L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez ou mettez à jour une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.
-
transparentInterception: ON -
SSO: ON -
ssoCredential: PRIMARY -
useMIP: NS -
useIIP: OFF -
icaProxy: OFF -
ClientChoices: ON -
ntDomain: mydomain.com - utilisé pour l’authentification unique (facultatif) -
defaultAuthorizationAction: ALLOW -
authorizationGroup: Groupe d’accès sécurisé -
clientlessVpnMode: OFF -
clientlessModeUrlEncoding: TRANSPARENT -
SecureBrowse: ENABLED
Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante
Remarque :
Si vous mettez à jour manuellement la configuration existante, en plus des commandes suivantes, vous devez mettre à jour le fichier /nsconfig/rc.netscaler à l’aide de la commande.
nsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3
-
Ajoutez une action de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.
add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -
Ajoutez une stratégie de session VPN pour prendre en charge les connexions basées sur Citrix Secure Access.
add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem -
Liez la stratégie de session au serveur virtuel VPN pour prendre en charge les connexions basées sur Citrix Secure Access.
bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST -
Ajoutez une stratégie de légende HTTP pour prendre en charge la validation des autorisations pour les connexions basées sur TCP/UDP.
add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")" -
Ajoutez une stratégie d’autorisation pour prendre en charge les connexions basées sur TCP/UDP.
add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW -
Liez la stratégie d’autorisation au groupe d’authentification et d’autorisation pour prendre en charge les applications basées sur TCP/UDP.
bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END
Informations supplémentaires
Pour plus d’informations sur NetScaler Gateway for Secure Private Access, consultez les rubriques suivantes :