Configurer Citrix ADC pour StorageZones Controller

NetScaler, version 10.1 build 120.1316.e et versions ultérieures, inclut un assistant qui vous invite à fournir des informations de base sur votre environnement de StorageZones Controller. Ensuite, il génère une configuration qui :

  • Équilibre la charge du trafic entre les contrôleurs de zones de stockage
  • Fournit l’authentification des utilisateurs pour les StorageZone Connector
  • Valide les signatures d’URI pour les téléchargements et téléchargements ShareFile
  • Résiliation des connexions SSL à l’appliance Citrix ADC

Le diagramme montre les composants Citrix ADC créés par la configuration :

  • Serveur virtuel de commutation de contenu Citrix ADC — Envoie les demandes utilisateur de données à partir de ShareFile et de StorageZone Connector vers le serveur virtuel d’équilibrage de charge Citrix ADC approprié.
  • Serveur virtuel d’équilibrage de charge Citrix ADC — La charge équilibre le trafic de vos StorageZone Connector et gère également les éléments suivants :
    • Pour les demandes de données provenant de votre stockage de données privé, un serveur virtuel d’équilibrage de charge effectue une validation de hachage, afin de s’assurer que des signatures d’URI valides sont présentes sur les demandes entrantes.

    • Pour les demandes de données provenant des StorageZone Connector, un serveur virtuel d’équilibrage de charge effectue l’authentification de l’utilisateur. Il arrête une demande d’utilisateur au niveau de l’Citrix ADC, authentifie l’utilisateur, puis effectue une authentification unique de l’utilisateur au Controller de zones de stockage.

    Bien que l’authentification à Citrix ADC soit facultative, elle est recommandée.

À partir de StorageZones Controller 4.0, les administrateurs peuvent limiter les connexions entrantes aux StorageZones Controller à TLS v1.2. Si les protocoles antérieurs à TLS v1.2 sont désactivés pour le trafic entrant vers le Controller de zone de stockage, tous les composants logiciels clients qui interagissent avec la zone de stockage doivent également prendre en charge TLS v1.2. Cliquez ici pour plus d’informations et des instructions de configuration.

Remarque :

Pour configurer les versions de NetScaler antérieures à la version 10.1 120.1316.e, reportez-vous à la section Configurer manuellement Citrix ADC.

L’assistant de configuration de Citrix ADC pour ShareFile ne gère pas la configuration requise pour utiliser Citrix Endpoint Management en tant que fournisseur d’identité SAML pour ShareFile. Pour plus d’informations, cliquez ici.

Conditions préalables

  • Une configuration Citrix ADC fonctionnelle
  • Certificat de sécurité : si un certificat n’est pas déjà disponible dans Citrix ADC, l’assistant vous permet d’en installer un sur le serveur virtuel de commutation de contenu.
  • Informations sur votre configuration Active Directory (l’Assistant Citrix ADC pour ShareFile doit être complété avec la licence Citrix NetScaler Enterprise Edition) :
    • Adresse IP et port de votre serveur Active Directory
    • Nom de domaine Active Directory
    • DN de base LDAP où les utilisateurs sont stockés
    • Nom de compte et mot de passe d’un compte administrateur disposant des autorisations pour communiquer avec Active Directory

Configurer Citrix ADC pour les StorageZones Controller

Les étapes suivantes décrivent comment utiliser l’assistant Citrix ADC pour ShareFile.

  1. Ouvrez une session sur l’appliance Citrix ADC et, sous l’onglet Configuration, accédez à Traffic Management.

  2. Sous Citrix ShareFile, cliquez sur Configurer Citrix ADC pour ShareFile.

    Vous pouvez également accéder à l’Assistant comme suit : Sous Mobilité, cliquez sur Configurer Endpoint Management, ShareFile et Citrix Gateway.

  3. Fourniture des informations demandées dans l’Assistant.

Option Description
Nom Nom complet du serveur virtuel de commutation de contenu.
Adresse IP Adresse IP externe (publique ou DMZ) à utiliser pour le serveur virtuel de commutation de contenu. Si vous utilisez une adresse IP DMZ, vous devez définir un mappage NAT (Network Address Translation) de votre adresse de pare-feu externe vers cette adresse IP DMZ.
Données ShareFile Cette option est activée, indiquant que vous allez utiliser la connexion Citrix ADC pour les zones de stockage pour ShareFile Data.
StorageZone Connector pour le partage de fichiers réseaux/SharePoint Si vous utilisez des connecteurs et que vous souhaitez effectuer l’authentification utilisateur sur Citrix ADC, activez la case à cocher.
Certificat Choisissez un certificat ou installez-en un pour le serveur virtuel de commutation de contenu. Si vous choisissez d’installer un certificat, vous êtes invité à charger le certificat et la clé privée. Pour les zones standard ou pour les zones restreintes avec un nom d’hôte externe, les certificats doivent être approuvés publiquement et non auto-signés.
Adresse IP du Controller de zones de stockage Adresses IP internes pour un ou plusieurs serveurs de StorageZones Controller. Ces adresses IP définissent les serveurs de StorageZones Controller en tant qu’entités à l’intérieur de Citrix ADC. Si vous avez déjà ajouté les serveurs à Citrix ADC, cliquez sur Ajouter à partir d’un serveur existant et sélectionnez les serveurs. Pour utiliser Citrix ADC pour l’équilibrage de charge, entrez une adresse IP interne pour chaque serveur de StorageZones Controller. Pour utiliser Citrix ADC uniquement pour SSL et authentification, entrez une seule adresse IP.
Port et protocole Port et protocole utilisés pour la communication entre Citrix ADC et les StorageZones Controller.
Adresse IP du serveur virtuel d’authentification, d’autorisation et d’audit (Citrix ADC AAA) Adresse IP interne inutilisée pour le serveur virtuel AAA Citrix ADC. Citrix ADC crée ce serveur virtuel pour son propre usage. Le serveur ne nécessite pas d’accès externe.
Adresse IP et port du serveur LDAP Adresse IP et port de votre serveur Active Directory. Si vous avez déjà ajouté un serveur LDAP à Citrix ADC, cliquez sur l’onglet Choisir LDAP et choisissez le serveur.
Délai d’exécution Nombre maximal de secondes pendant lesquelles Citrix ADC attend une réponse du serveur LDAP. La valeur par défaut est de 3 secondes. La valeur minimale est 1 seconde.
Domaine d’authentification unique Nom de domaine Active Directory.
DN de base (emplacement des utilisateurs) Nom distinctif (DN) de base LDAP dans lequel les utilisateurs sont stockés. Spécifiez le DN à l’aide du formulaire général : CN=Utilisateurs, dc=domain, DC=net
Administrateur Bind DN et Mot de passe Compte d’administrateur disposant des autorisations pour communiquer avec Active Directory.
Nom d’ouverture de session Attribut LDAP utilisé par Citrix ADC pour déterminer si les utilisateurs ouvrent une session avec leur nom d’utilisateur ou leur adresse e-mail. Par défaut, SamAccountName permet aux utilisateurs de se connecter avec leur nom d’utilisateur. Pour demander aux utilisateurs d’entrer leur adresse e-mail pour ouvrir une session, modifiez ce champ en UserPrincipalName.

Configurer Citrix ADC pour les zones restreintes ou l’accès Web aux connecteurs

Pour prendre en charge les zones restreintes ou l’accès Web aux StorageZone Connector, vous devez effectuer une configuration supplémentaire de Citrix ADC après avoir terminé l’assistant Citrix ADC for ShareFile.

  • Créez et configurez un troisième serveur virtuel d’équilibrage de charge Citrix ADC, utilisé pour garantir que les clients ShareFile envoient des informations d’identification uniquement lorsqu’ils sont connectés à un domaine ShareFile approuvé.

    StorageZones Controller utilise la norme CORS (Cross-Origin Resource Sharing) pour fournir la sécurité nécessaire pour les demandes aux zones restreintes et de l’interface Web ShareFile aux StorageZone Connector. CORS utilise des en-têtes HTTP pour permettre au client et au serveur de se connaître suffisamment les uns sur les autres pour déterminer si une requête ou une réponse doit réussir.

    Comme décrit dans les étapes suivantes, vous allez configurer le serveur virtuel supplémentaire pour autoriser l’accès anonyme des clients pour le verbe HTTP OPTIONS. La demande OPTIONS passe au StorageZones Controller sans être authentifié et sans légendes HTTPS pour valider la signature. La vérification de contrôle en amont CORS valide l’approbation du domaine avant d’envoyer des informations d’identification.

    Une compréhension de CORS n’est pas nécessaire pour effectuer la configuration. Toutefois, pour plus d’informations sur CORS, reportez-vous à la section http://enable-cors.org/.

    L’utilisation d’Internet Explorer pour l’accès Web aux connecteurs dans les zones restreintes nécessite une configuration d’Internet Explorer.

  • Pour prendre en charge l’accès Web aux StorageZone Connector, ajoutez un chemin (/proxyService) à la stratégie de commutation de contenu utilisée pour le trafic vers /cifs et /sp.

Effectuez les étapes suivantes dans Citrix ADC après avoir terminé l’assistant Citrix ADC pour ShareFile.

  1. Créez un troisième serveur virtuel d’équilibrage de charge :
    1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.

    2. Cliquez sur Ajouter.

    3. Spécifiez les valeurs suivantes :

      Option Valeur
      Nom Un nom de stratégie, tel que SF_ZONE_OPTIONS
      Protocole SSL
      Type d’adresse IP Non adressable
    4. Cliquez ici pour créer le serveur virtuel.

    5. Pour y lier les mêmes services que les serveurs virtuels d’équilibrage de charge créés par l’assistant : dans l’écran Serveur virtuel d’équilibrage de charge, à partir de Service, cliquez sur >, puis sur Enregistrer.

    6. Ajoutez un certificat au serveur virtuel.

  2. Créez une stratégie pour le serveur virtuel que vous venez d’ajouter :
    1. Accédez à Gestion du trafic > Commutation de contenu > Stratégies.

    2. Dans le volet d’informations, cliquez sur Ajouter, puis spécifiez les valeurs Nom, Serveur virtuel LB cible et Expression. Cliquez sur Éditeur d’expression, puis créez cette expression. Sélectionnez HTTP. Sélectionnez REQ. Sélectionnez MÉTHODE. Sélectionnez égaliseur (chaîne) et tapez OPTIONS. L’expression devrait se lire comme suit : HTTP.REQ.METHOD.EQ("OPTIONS")

    3. Cliquez sur Terminé.

    4. Cliquez sur Créer.

  3. Liez la stratégie que vous venez de créer au nouveau serveur virtuel d’équilibrage de charge :
    1. Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuels.

    2. Dans la liste, cliquez sur le serveur virtuel et cliquez sur Modifier.

    3. Accédez à la section Liaison de stratégie de commutation de contenu et cliquez sur 2 stratégies de commutation de contenu.

    4. Cliquez sur Ajouter une liaison.

    5. Sélectionnez la nouvelle stratégie de contenu et sélectionnez le serveur virtuel d’équilibrage de charge cible.

    6. Cliquez sur Bind.

    7. Cliquez sur Modifier la liaison et mettez à jour la priorité. Modifiez la priorité de la nouvelle politique afin qu’elle ait le plus petit nombre des trois politiques.

      La stratégie ayant la valeur la plus faible a la priorité la plus élevée et est donc traitée en premier.

  4. Mettez à jour la stratégie utilisée pour le trafic vers les StorageZone Connector (_SF_CIF_SP_CSPOL) :
    1. Accédez à Gestion du trafic > Changement de contenu > Stratégies.

    2. Sélectionnez la stratégie _SF_CIF_SP_CSOL.

    3. Ajoutez les éléments suivants à l’expression de stratégie :

      || HTTP.REQ.URL.CONTAINS("/ProxyService/")
      

      L’expression de stratégie générale devrait être la suivante :

      HTTP.REQ.URL.CONTAINS("/cifs/") || HTTP.REQ.URL.CONTAINS("/sp/") ||
      HTTP.REQ.URL.CONTAINS("/ProxyService/")
      
  5. Mettez à jour la stratégie utilisée pour le trafic vers les zones de stockage pour ShareFile Data (_SF_SZ_CSOL) :
    1. Accédez à Gestion du trafic > Changement de contenu > Stratégies.

    2. Sélectionnez la stratégie _SF_SZ_CSOL.

    3. Ajoutez les éléments suivants à l’expression de stratégie :

      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

      L’expression de stratégie générale devrait être la suivante :

      HTTP.REQ.URL.CONTAINS("/cifs/").NOT && HTTP.REQ.URL.CONTAINS("/sp/“).NOT
      && HTTP.REQ.URL.CONTAINS("/ProxyService/").NOT
      

Configurer Citrix ADC pour le partage en vue seule

Pour prendre en charge le partage en vue seule, les utilisateurs doivent pouvoir accéder à votre Microsoft Office Web Apps Server (OWA). Si votre serveur OWA est accessible en externe sur sa propre adresse, aucune configuration Citrix ADC supplémentaire ne doit être requise pour votre StorageZones Controller.

Si vous souhaitez combiner le StorageZones Controller et Office Web App Server sur une seule adresse externe à l’aide des stratégies de commutation de contenu Citrix ADC, vous devez effectuer une configuration supplémentaire de Citrix ADC après avoir terminé l’assistant Citrix ADC for ShareFile. La configuration de Citrix ADC est requise pour garantir que le trafic est routé vers votre serveur OWA accessible en externe correctement.

Une fois que les règles Citrix ADC suivantes sont configurées, les administrateurs peuvent réutiliser l’adresse externe existante de leur zone de StorageZones Controller, éliminant ainsi la nécessité de créer une adresse externe supplémentaire pour OWA.

Pour créer et configurer un serveur virtuel d’équilibrage de charge Citrix ADC supplémentaire :

  1. Créez un service d’équilibrage de charge supplémentaire.
    • Accédez à Gestion du trafic > Équilibrage de charge > Services.
    • Cliquez sur Add.
    • Entrez les informations requises pour créer un service correspondant à vos serveurs OWA. Cliquez sur OK.
  2. Créez un serveur virtuel d’équilibrage de charge supplémentaire :
    • Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
    • Cliquez sur Add.
    • Spécifiez les valeurs suivantes :

      Option Valeur
      Nom Un nom de stratégie, tel que SF_OWA_VServer
      Protocole SSL
      Type d’adresse IP Non adressable
    • Cliquez ici pour créer le serveur virtuel.
    • Pour lier le serveur virtuel au service OWA que vous avez créé à l’étape précédente, cliquez sur Liaison de service virtuel d’équilibrage de charge > Sélectionner le service. Cochez la case située en regard du service que vous avez créé à l’étape précédente.
    • Cliquez sur Sélectionner.
    • Cliquez sur Bind.
  3. Créez une nouvelle stratégie utilisée pour acheminer le trafic vers votre serveur OWA.
    • Accédez à Gestion du trafic > Changement de contenu > Stratégies.
    • Sélectionnez Ajouter.
    • Nommez la stratégie.
    • Ajoutez l’expression suivante :
      • HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

        L’expression de stratégie générale devrait être la suivante :

        HTTP.REQ.URL.CONTAINS(“/hosting/discovery”) || HTTP.REQ.URL.CONTAINS(“/x/”) || HTTP.REQ.URL.CONTAINS(“/wv/”) || HTTP.REQ.URL.CONTAINS(“/p/”)

  4. Mettre à jour la priorité de la nouvelle stratégie dans le serveur virtuel d’équilibrage de charge
    • Accédez à Gestion du trafic > Commutation de contenu > Serveurs virtuels.
    • Cliquez sur le serveur virtuel d’équilibrage de charge, puis sélectionnez Stratégies de commutation de contenu.
    • Modifiez la priorité des stratégies de sorte que la stratégie « _SF_OWA » (Exemple) soit troisième en priorité.

      Priorité Nom de la stratégie
      90 SF_ZK_OPTIONS
      95 _SF_CIF_SP_SPOL
      99 _SF_OWA
      100 _SF_SZ_CSPOL
  • Cliquez sur Fermer. Cliquez sur Terminé

Créer un moniteur pour le service de StorageZones Controller

Par défaut, Citrix ADC effectue un ping sur le serveur de StorageZones Controller pour déterminer s’il est en ligne. Cependant, même si le Controller est en ligne, il peut ne pas être en mesure d’envoyer des messages de pulsation au site Web ShareFile. Dans ce cas, Citrix ADC enverra du trafic au StorageZones Controller bien qu’il ne communique pas avec ShareFile.

Pour vérifier la connectivité sortante du StorageZones Controller vers ShareFile, vous pouvez créer un moniteur qui vérifie heartbeat.aspx et le lier au service Citrix ADC pour chaque StorageZones Controller.

    add lb monitor SZC_Heartbeat HTTP-ECV -send "GET /heartbeat.aspx" -recv "\*\*\*ONLINE\*\*\*” -secure YES
bind service StorageZone_Svc -monitorName SZC_Heartbeat

StorageZone_SVC est le service Citrix ADC qui correspond à un StorageZones Controller. Ce nom de service est automatiquement créé par l’assistant Citrix ADC pour ShareFile. Le nom du service inclut l’adresse IP du Controller, telle que _SF_SVC_IP-Address.

-secure YES est requis si le service écoute sur le port 443.

Vérifier la configuration de Citrix ADC

Une fois l’Assistant terminé, accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels pour afficher l’état des serveurs virtuels d’équilibrage de charge créés par l’Assistant.

Afficher le débit des demandes ShareFile via Citrix ADC

Les statistiques de débit sont disponibles dans le menu Tableau de bord.