Configuration de NetScaler Gateway pour les applications Web/SaaS
Pour créer NetScaler Gateway pour les applications Web/SaaS, effectuez les opérations suivantes :
-
Téléchargez le script le plus récent
*ns_gateway_secure_access.sh*.
depuis https://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.html. -
Téléchargez ces scripts sur la machine NetScaler. Vous pouvez utiliser l’application WinSCP ou la commande SCP. Par exemple,
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
.Par exemple,
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*
Remarque :
- Il est recommandé d’utiliser le dossier NetScaler /var/tmp pour stocker les données temporaires.
- Assurez-vous que le fichier est enregistré avec des fins de ligne LF. FreeBSD ne supporte pas le CRLF.
- Si vous voyez l’erreur
-bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directory
, cela signifie que les fins de ligne sont incorrectes. Vous pouvez convertir le script à l’aide de n’importe quel éditeur de texte enrichi, tel que Notepad++.
- Connectez-vous à NetScaler en SSH et passez au shell (tapez « shell » sur NetScaler CLI).
-
Rendez le script chargé exécutable. Pour ce faire, utilisez la commande chmod.
chmod +x /var/tmp/ns_gateway_secure_access.sh
-
Exécutez le script chargé sur le shell NetScaler.
-
Entrez N pour le paramètre Activer la prise en charge du type d’application TCP/UDP si vous souhaitez configurer la passerelle uniquement pour les applications Web et SaaS.
-
Entrez les paramètres requis. Pour la liste des paramètres, consultez la section Prérequis.
Pour le profil d’authentification et le certificat SSL, vous devez fournir les noms des ressources existantes sur NetScaler.
Un nouveau fichier contenant plusieurs commandes NetScaler (la valeur par défaut est var/tmp/ns_gateway_secure_access) est généré.
Remarque :
lors de l’exécution du script, la compatibilité entre NetScaler et le plug-in Secure Private Access est vérifiée. Si NetScaler prend en charge le plug-in Secure Private Access, le script active les fonctionnalités NetScaler pour prendre en charge les balises d’accès intelligentes, l’envoi d’améliorations et la redirection vers une nouvelle page de refus lorsque l’accès à une ressource est restreint. Pour plus de détails sur les balises intelligentes, consultez la section Prise en charge des balises d’accès intelligentes.
Les fonctionnalités du plug-in Secure Private Access conservées dans le fichier /nsconfig/rc.netscaler permettent de les garder activées après le redémarrage de NetScaler.
-
Passez à la CLI NetScaler et exécutez les commandes NetScaler résultantes à partir du nouveau fichier à l’aide de la commande batch. Par exemple ;
batch -fileName /var/tmp/ns_gateway_secure_access -outfile
/var/tmp/ns_gateway_secure_access_output
NetScaler exécute les commandes du fichier une par une. Si une commande échoue, elle passe à la commande suivante.
Une commande peut échouer si une ressource existe ou si l’un des paramètres saisis à l’étape 6 est incorrect.
- Assurez-vous que toutes les commandes sont correctement exécutées.
Remarque :
en cas d’erreur, NetScaler exécute toujours les commandes restantes et crée/met à jour/lie partiellement les ressources. Par conséquent, si vous constatez une erreur inattendue en raison de l’inexactitude de l’un des paramètres, il est recommandé de recommencer la configuration depuis le début.
Mettre à jour la configuration NetScaler Gateway existante pour les applications Web et SaaS
Vous pouvez utiliser le ns_gateway_secure_access_update.sh
script sur un NetScaler Gateway existant pour mettre à jour la configuration des applications Web et SaaS. Toutefois, si vous souhaitez mettre à jour la configuration existante (NetScaler Gateway versions 14.1—4.42 et versions ultérieures) manuellement, utilisez les commandes Example pour mettre à jour uneconfiguration NetScaler Gateway existante. Vous devez également mettre à jour le serveur virtuel NetScaler Gateway et les paramètres d’action de session.
Remarque :
à partir de NetScaler Gateway 14.1—25.56 et versions ultérieures, vous pouvez activer le plug-in Secure Private Access sur NetScaler Gateway à l’aide de l’interface de ligne de commande NetScaler Gateway ou de l’interface graphique. Pour plus de détails, consultez la section Activer le plug-in Secure Private Access sur NetScaler Gateway.
Vous pouvez également utiliser les scripts sur un NetScaler Gateway existant pour prendre en charge Secure Private Access. Toutefois, le script ne met pas à jour les éléments suivants :
- Serveur virtuel NetScaler Gateway existant
- Actions de session existantes et stratégies de session liées à NetScaler Gateway
Assurez-vous de passer en revue chaque commande avant de l’exécuter et de créer des sauvegardes de la configuration de la passerelle.
Paramètres du serveur virtuel NetScaler Gateway
Lorsque vous ajoutez ou mettez à jour le serveur virtuel NetScaler Gateway existant, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante.
Ajouter un serveur virtuel :
- tcpProfileName : nstcp_default_XA_XD_profile
- deploymentType : ICA_STOREFRONT (disponible uniquement avec la commande
add vpn vserver
) - icaOnly : OFF
Mettre à jour un serveur virtuel :
- tcpProfileName : nstcp_default_XA_XD_profile
- icaOnly : OFF
Paramètres des actions de session NetScaler Gateway
L’action de session est liée à un serveur virtuel de passerelle avec des stratégies de session. Lorsque vous créez ou mettez à jour une action de session, assurez-vous que les paramètres suivants sont définis sur les valeurs définies. Pour des exemples de commandes, voir Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante.
-
transparentInterception
: OFF -
SSO
: ON -
ssoCredential
: PRIMARY -
useMIP
: NS -
useIIP
: OFF -
icaProxy
: OFF -
wihome
:"https://storefront.mydomain.com/Citrix/MyStoreWeb"
- remplacez par l’URL réelle du magasin. Le chemin d’accès au magasin/Citrix/MyStoreWeb
est facultatif. -
ClientChoices
: OFF -
ntDomain
: mydomain.com - utilisé pour l’authentification unique (facultatif) -
defaultAuthorizationAction
: ALLOW -
authorizationGroup
: SecureAccessGroup (assurez-vous que ce groupe est créé, il est utilisé pour lier les stratégies d’autorisation spécifiques à Secure Private Access) -
clientlessVpnMode
: ON -
clientlessModeUrlEncoding
: TRANSPARENT -
SecureBrowse
: ENABLED -
Storefronturl
:"https://storefront.mydomain.com"
-
sfGatewayAuthType
: domain
Exemples de commandes pour mettre à jour une configuration NetScaler Gateway existante
Pour ajouter/mettre à jour un serveur virtuel :
add vpn vserver SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFF
set vpn vserver SecureAccess_Gateway -icaOnly OFF
Pour ajouter une action de session :
add vpn sessionAction AC_OSspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
add vpn sessionAction AC_WBspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
Pour ajouter une stratégie de session :
add vpn sessionPolicy PL_OSspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")" AC_OSspaonprem
add vpn sessionPolicy PL_WBspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\").NOT" AC_WBspaonprem
Pour lier la stratégie de session au serveur virtuel VPN :
bind vpn vserver SecureAccess_Gateway -policy PL_OSspaonprem -priority 111 -gotoPriorityExpression NEXT -type REQUEST
bind vpn vserver SecureAccess_Gateway -policy PL_WBspaonprem -priority 110 -gotoPriorityExpression NEXT -type REQUEST
Pour plus de détails sur les paramètres d’action de session, VPN-SessionAction.
Informations supplémentaires
Pour plus d’informations sur NetScaler Gateway for Secure Private Access, consultez les rubriques suivantes :