Documentation produit
Serveur XenMobile®
Voir PDF

Citrix Gateway et XenMobile®

April 16, 2026
Contributeur: 
C C

Lorsque vous configurez Citrix Gateway à l’aide de XenMobile, vous établissez le mécanisme d’authentification pour l’accès à distance des appareils au réseau interne. Cette fonctionnalité permet aux applications sur un appareil mobile d’accéder aux serveurs d’entreprise dans l’intranet. XenMobile crée un micro-VPN des applications sur l’appareil vers Citrix Gateway.

Vous configurez Citrix Gateway pour l’utiliser avec XenMobile en exportant un script depuis XenMobile que vous exécutez sur Citrix Gateway.

Conditions préalables à l’utilisation du script de configuration de Citrix Gateway

Exigences de Citrix ADC :

  • Citrix ADC (version minimale 11.0, build 70.12).
  • L’adresse IP de Citrix ADC est configurée et dispose d’une connectivité au serveur LDAP, sauf si LDAP est équilibré en charge.
  • L’adresse IP du sous-réseau (SNIP) de Citrix ADC est configurée, dispose d’une connectivité aux serveurs back-end nécessaires et d’un accès au réseau public via le port 8443/TCP.
  • Le DNS peut résoudre les domaines publics.
  • Citrix ADC est sous licence Platform/Universal ou Trial. Pour plus d’informations, consultez https://support.citrix.com/article/CTX126049.
  • Un certificat SSL Citrix Gateway est téléchargé et installé sur Citrix ADC. Pour plus d’informations, consultez https://support.citrix.com/article/CTX136023.

Exigences de XenMobile :

  • XenMobile Server (version minimale 10.6).
  • Le serveur LDAP est configuré.

Configurer l’authentification pour l’accès à distance des appareils au réseau interne

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche. Dans l’exemple suivant, une instance Citrix Gateway existe.

    Écran de configuration de Citrix Gateway

  3. Configurez les paramètres suivants :

    • Authentification : Sélectionnez si vous souhaitez activer l’authentification. La valeur par défaut est ACTIVÉ.
    • Fournir un certificat utilisateur pour l’authentification : Sélectionnez si vous souhaitez que XenMobile partage le certificat d’authentification avec Secure Hub, afin de permettre à Citrix Gateway de gérer l’authentification par certificat client. La valeur par défaut est DÉSACTIVÉ.
    • Fournisseur d’informations d’identification : Dans la liste, cliquez sur le fournisseur d’informations d’identification à utiliser. Pour plus d’informations, consultez Fournisseurs d’informations d’identification.

  4. Cliquez sur Enregistrer.

Ajouter une instance Citrix Gateway

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance Citrix Gateway à XenMobile.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console. La page Paramètres s’ouvre.

  2. Sous Serveur, cliquez sur Citrix Gateway. La page Citrix Gateway s’affiche.

  3. Cliquez sur Ajouter. La page Ajouter un nouveau Citrix Gateway s’affiche.

    Écran de configuration de Citrix Gateway

  4. Configurez les paramètres suivants :

    • Nom : Saisissez un nom pour l’instance Citrix Gateway.
    • Alias : Incluez éventuellement un nom d’alias pour Citrix Gateway.
    • URL externe : Saisissez l’URL publiquement accessible pour Citrix Gateway. Par exemple, https://receiver.com.
    • Type d’ouverture de session : Choisissez un type d’ouverture de session. Les types incluent Domaine uniquement, Jeton de sécurité uniquement, Domaine et jeton de sécurité, Certificat, Certificat et domaine et Certificat et jeton de sécurité. Le paramètre par défaut du champ Mot de passe requis change en fonction du Type d’ouverture de session que vous sélectionnez. La valeur par défaut est Domaine uniquement.

    Si vous avez plusieurs domaines, utilisez Certificat et domaine. Pour plus d’informations sur la configuration de l’authentification multi-domaine avec XenMobile et Citrix Gateway, consultez Configurer l’authentification pour plusieurs domaines.

    Si vous utilisez Certificat et jeton de sécurité, une configuration supplémentaire est requise sur Citrix Gateway pour prendre en charge Secure Hub. Pour plus d’informations, consultez Configuring XenMobile for Certificate and Security Token Authentication.

    Pour plus d’informations, consultez Authentification dans le guide de déploiement.

    • Mot de passe requis : Sélectionnez si vous souhaitez exiger l’authentification par mot de passe. La valeur par défaut varie en fonction du Type d’ouverture de session choisi.
    • Définir comme valeur par défaut : Sélectionnez si vous souhaitez utiliser ce Citrix Gateway comme valeur par défaut. La valeur par défaut est DÉSACTIVÉ.
    • Exporter le script de configuration : Cliquez sur le bouton pour exporter un bundle de configuration que vous téléchargez sur Citrix Gateway afin de le configurer avec les paramètres XenMobile. Pour plus d’informations, consultez « Configurer un Citrix Gateway local pour l’utiliser avec XenMobile Server » après ces étapes.
    • URL de rappel et IP virtuelle : Enregistrez vos paramètres avant d’ajouter ces champs. Pour plus d’informations, consultez Ajouter une URL de rappel et une adresse IP virtuelle VPN Citrix Gateway dans cet article.

  5. Cliquez sur Enregistrer.

    Le nouveau Citrix Gateway est ajouté et apparaît dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

Configurer Citrix Gateway pour l’utiliser avec XenMobile Server

Pour configurer un Citrix Gateway local pour l’utiliser avec XenMobile, vous effectuez les étapes générales suivantes, détaillées dans cet article :

  1. Téléchargez un script et les fichiers associés depuis XenMobile Server. Consultez le fichier Lisez-moi fourni avec le script pour les dernières instructions détaillées.

  2. Vérifiez que votre environnement répond aux conditions préalables.

  3. Mettez à jour le script pour votre environnement.

  4. Exécutez le script sur Citrix ADC.

  5. Testez la configuration.

Le script configure les paramètres Citrix Gateway suivants requis par XenMobile :

  • Serveurs virtuels Citrix Gateway nécessaires pour MDM et MAM
  • Stratégies de session pour les serveurs virtuels Citrix Gateway
  • Détails de XenMobile Server
  • Stratégies et actions d’authentification pour le serveur virtuel Citrix Gateway. Le script décrit les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur Citrix ADC
  • Autres liaisons : Stratégie de service, certificat CA

Le script ne gère pas la configuration suivante :

  • Équilibrage de charge Exchange
  • Équilibrage de charge Citrix Files
  • Configuration du proxy ICA®
  • Déchargement SSL

Pour télécharger, mettre à jour et exécuter le script

  1. Si vous ajoutez un Citrix Gateway, cliquez sur Exporter le script de configuration sur la page Ajouter un nouveau Citrix Gateway.

    Écran de configuration de Citrix Gateway

    Ou, si vous ajoutez une instance Citrix Gateway et cliquez sur Enregistrer avant d’exporter le script : Revenez à Paramètres > Citrix Gateway, sélectionnez le Citrix ADC, cliquez sur Exporter le script de configuration, puis cliquez sur Télécharger.

    Écran de configuration de Citrix Gateway

    Après avoir cliqué sur Exporter le script de configuration, XenMobile crée un bundle de script .tar.gz. Le bundle de script comprend :

    • Fichier Lisez-moi avec des instructions détaillées
    • Script contenant les commandes CLI de Citrix ADC utilisées pour configurer les composants requis dans Citrix ADC
    • Certificat CA racine public et certificat CA intermédiaire de XenMobile Server (ces certificats, pour le déchargement SSL, ne sont pas nécessaires pour la version actuelle)
    • Script contenant les commandes CLI de Citrix ADC utilisées pour supprimer la configuration de Citrix ADC

  2. Modifiez le script (NSGConfigBundle_CREATESCRIPT.txt) pour remplacer tous les espaces réservés par les détails de votre environnement.

    Exemple de fichier de script

  3. Exécutez votre script modifié dans le shell bash de Citrix ADC, comme décrit dans le fichier Lisez-moi inclus dans le bundle de script. Par exemple :

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    Shell bash de Citrix ADC

    Lorsque le script est terminé, les lignes suivantes apparaissent.

    Shell bash de Citrix ADC

Tester la configuration

  1. Vérifiez que le serveur virtuel Citrix Gateway affiche un état UP.

    Écran de configuration de Citrix ADC VPX

  2. Vérifiez que le serveur virtuel d’équilibrage de charge proxy affiche un état UP.

    Écran de configuration de Citrix ADC VPX

  3. Ouvrez un navigateur web, connectez-vous à l’URL de Citrix Gateway et tentez de vous authentifier. Si l’authentification échoue, le message suivant s’affiche : HTTP Status 404 - Not Found

  4. Enregistrez un appareil et assurez-vous qu’il obtient l’enregistrement MDM et MAM.

Ajouter une URL de rappel et une adresse IP virtuelle VPN Citrix Gateway

Après avoir ajouté l’instance Citrix Gateway, vous pouvez ajouter une URL de rappel et spécifier une adresse IP virtuelle Citrix Gateway. Ces paramètres sont facultatifs, mais peuvent être configurés pour une sécurité supplémentaire, en particulier lorsque le serveur XenMobile se trouve dans la DMZ.

  1. Dans Paramètres > Citrix Gateway, sélectionnez le Citrix Gateway, puis cliquez sur Modifier.

  2. Dans le tableau, cliquez sur Ajouter.

  3. Pour URL de rappel, saisissez le nom de domaine complet (FQDN). L’URL de rappel vérifie qu’une requête provient de Citrix Gateway.

    Assurez-vous que l’URL de rappel se résout en une adresse IP accessible depuis le serveur XenMobile. L’URL de rappel peut être une URL Citrix Gateway externe ou une autre URL.

  4. Saisissez l’adresse IP virtuelle de Citrix Gateway, puis cliquez sur Enregistrer.

Configurer l’authentification pour plusieurs domaines

Si vous avez plusieurs instances XenMobile Server, par exemple pour des environnements de test, de développement et de production, vous configurez Citrix Gateway pour les environnements supplémentaires manuellement. (Vous ne pouvez utiliser l’assistant Citrix ADC pour XenMobile qu’une seule fois.)

Configuration de Citrix Gateway

Pour configurer les stratégies d’authentification Citrix Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’utilitaire de configuration de Citrix Gateway, sous l’onglet Configuration, développez Citrix Gateway > Stratégies > Authentification.
  2. Dans le volet de navigation, cliquez sur LDAP.

  3. Cliquez pour modifier le profil LDAP. Modifiez l’Attribut de nom d’ouverture de session du serveur en userPrincipalName ou l’attribut que vous souhaitez utiliser pour les recherches. Notez l’attribut que vous spécifiez afin de l’avoir lors de la configuration des paramètres LDAP dans la console XenMobile.

    Écran de configuration de Citrix Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel Citrix Gateway, accédez à Modifier le profil de session > Applications publiées. Assurez-vous que le champ Domaine d’authentification unique est vide.

Configuration de XenMobile Server

Pour configurer LDAP pour un environnement XenMobile multi-domaine :

  1. Dans la console XenMobile, accédez à Paramètres > LDAP et ajoutez ou modifiez un répertoire.

    Écran des paramètres LDAP de XenMobile

  2. Fournissez les informations.

    • Dans Alias de domaine, spécifiez chaque domaine à utiliser pour l’authentification utilisateur. Séparez les domaines par une virgule et n’utilisez pas d’espaces entre les domaines. Par exemple : domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champ Recherche utilisateur par correspond à l’Attribut de nom d’ouverture de session du serveur spécifié dans la stratégie LDAP de Citrix Gateway.

    Écran des paramètres LDAP de XenMobile

Supprimer les requêtes de connexion entrantes vers des URL spécifiques

Si le Citrix Gateway de votre environnement est configuré pour le déchargement SSL, vous préférerez peut-être que la passerelle supprime les requêtes de connexion entrantes pour des URL spécifiques.

Si vous préférez cette sécurité supplémentaire, configurez les deux serveurs virtuels d’équilibrage de charge MDM (un pour le port 443 et un pour le port 8443) sur Citrix Gateway. Utilisez les informations suivantes comme modèle pour vos paramètres.

Important :

Les mises à jour suivantes concernent uniquement un Citrix Gateway configuré pour le déchargement SSL.

  1. Créez un ensemble de modèles nommé XMS_DropURLs.

    add policy patset XMS_DropURLs
<!--NeedCopy-->

  2. Ajoutez les URL suivantes au nouvel ensemble de modèles. Personnalisez cette liste si nécessaire.

    bind policy patset XMS_DropURLs /zdm/shp/console -index 6

bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5

bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4

bind policy patset XMS_DropURLs /zdm/log.jsp -index 3

bind policy patset XMS_DropURLs /zdm/login.jsp -index 2

bind policy patset XMS_DropURLs /zdm/console -index 1
<!--NeedCopy-->

  3. Créez une stratégie pour supprimer tout le trafic vers ces URL, sauf si la requête de connexion provient du sous-réseau spécifié.

    add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT &&
HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed"
<!--NeedCopy-->

  4. Lieez la nouvelle stratégie aux deux serveurs virtuels d’équilibrage de charge MDM (ports 443 et 8443).

    bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST

bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST
<!--NeedCopy-->

  5. Bloquer l’accès à l’URL MAM via le navigateur

    L’accès direct à l’URL MAM via le navigateur invite les utilisateurs à saisir leurs informations d’identification Active Directory. Bien que cela serve d’outil aux utilisateurs pour valider leurs informations d’identification, certains utilisateurs pourraient le considérer comme une violation de sécurité. La section suivante vous aide à restreindre l’accès du navigateur à l’URL MAM (NetScaler® Gateway VIP), en utilisant la fonctionnalité Responder Policy sur NetScaler.

    Créez l’une des stratégies de répondeur suivantes et liez-la à votre serveur virtuel NetScaler Gateway :

    • add responder policy Resp_Brow_Pol "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"Mozilla\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "!HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    • add responder policy Resp_Brow_Pol_CR "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT&&HTTP.REQ.URL.PATH_AND_QUERY.EQ(\"/vpn/index.html\")" DROP

    Lieez au serveur virtuel NetScaler Gateway à l’aide de bind vpn vserver _XM_XenMobileGateway -policy Resp_Brow_Pol_CR -priority 100 -gotoPriorityExpression END -type REQUEST

    Remarque :

    _XM_XenMobileGateway est un exemple de nom de serveur virtuel NetScaler Gateway.

Citrix Gateway et XenMobile®
April 16, 2026
Contributeur: 
C C
April 16, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.