NetScaler Gateway et XenMobile

Lorsque vous configurez NetScaler Gateway à l’aide de XenMobile, vous établissez le mécanisme d’authentification utilisé par les appareils distants pour accéder au réseau interne. Cette fonctionnalité permet aux applications sur un appareil mobile d’accéder à des serveurs d’entreprise situés dans l’intranet. XenMobile crée un micro VPN depuis les applications vers NetScaler Gateway sur l’appareil.

Vous configurez NetScaler Gateway pour une utilisation avec XenMobile Server en exportant un script depuis XenMobile que vous exécutez sur NetScaler Gateway.

Conditions préalables à l’utilisation du script de configuration de NetScaler Gateway

Configuration requise pour NetScaler :

  • NetScaler (version minimum 11.0, Build 70.12).
  • L’adresse IP NetScaler est configurée et peut se connecter au serveur LDAP, à moins d’un équilibrage de charge de LDAP.
  • L’adresse IP de sous-réseau de NetScaler (SNIP) est configurée, peut se connecter aux serveurs back-end nécessaires et dispose d’un accès réseau public sur le port 8443/TCP.
  • DNS peut résoudre les domaines publics.
  • NetScaler est utilisé sous licence Platform/Universal ou d’évaluation. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX126049.
  • Un certificat SSL de NetScaler Gateway est téléchargé et installé sur le boîtier NetScaler. Pour plus d’informations, veuillez consulter la section https://support.citrix.com/article/CTX136023.

Configuration requise pour XenMobile :

  • XenMobile Server (version minimum 10.6).
  • Serveur LDAP configuré.

Configurer l’authentification pour un accès à distance au réseau interne

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.

  2. Sous Serveur, cliquez sur NetScaler Gateway. La page NetScaler Gateway s’affiche. Dans l’exemple suivant, il existe une instance NetScaler Gateway.

    Image de l'écran de configuration de NetScaler Gateway

  3. Pour configurer ces paramètres :

    • Authentification : sélectionnez cette option pour activer l’authentification. La valeur par défaut est ON.
    • Délivrer un certificat utilisateur pour l’authentification : indiquez si vous voulez que XenMobile partage le certificat d’authentification avec Secure Hub afin que NetScaler Gateway gère l’authentification du certificat client. La valeur par défaut est OFF.
    • Fournisseur d’identités : dans la liste, cliquez sur le fournisseur d’identités. Pour de plus amples informations, consultez la section Fournisseurs d’identités.
  4. Cliquez sur Enregistrer.

Ajouter une instance NetScaler Gateway

Après avoir enregistré les paramètres d’authentification, vous ajoutez une instance NetScaler Gateway à XenMobile.

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’ouvre.

  2. Sous Serveur, cliquez sur NetScaler Gateway. La page NetScaler Gateway s’affiche.

  3. Cliquez sur Ajouter. La page Ajouter une nouvelle passerelle NetScaler Gateway s’affiche.

    Image de l'écran de configuration de NetScaler Gateway

  4. Pour configurer ces paramètres :

    • Nom : entrez un nom pour l’instance NetScaler Gateway.
    • Alias : si vous le souhaitez, vous pouvez inclure un alias pour NetScaler Gateway.
    • URL externe : entrez l’adresse URL publiquement accessible de NetScaler Gateway. Par exemple, https://receiver.com.
    • Type d’ouverture de session : choisissez un type d’ouverture de session. Les types disponibles sont les suivants : Domaine uniquement, Jeton de sécurité uniquement, Domaine et jeton de sécurité, Certificat, Certificat et domaine et Certificat et jeton de sécurité. La valeur par défaut pour le champ Mot de passe requis change selon le Type d’ouverture de session sélectionné. La valeur par défaut est Domaine uniquement.

    Si vous disposez de plusieurs domaines, utilisez Certificat et domaine. Pour plus d’informations sur la configuration de l’authentification multi-domaines avec XenMobile et NetScaler Gateway, consultez la section Configuration de l’authentification multi-domaines.

    Si vous utilisez Certificat et jeton de sécurité, une configuration supplémentaire est requise sur NetScaler Gateway pour la prise en charge de Secure Hub. Pour de plus amples informations, consultez la section Configuration de XenMobile pour l’authentification par certificat et jeton de sécurité.

    Pour plus d’informations, consultez la section Authentification dans le manuel de déploiement.

    • Mot de passe requis : indiquez si vous souhaitez demander l’authentification par mot de passe. La valeur par défaut varie selon le Type d’ouverture de session choisi.
    • Définir par défaut : indiquez si cette passerelle NetScaler Gateway doit être utilisée par défaut. La valeur par défaut est OFF.
    • Exporter le script de configuration : cliquez sur le bouton pour exporter un bundle de configuration que vous chargerez sur NetScaler Gateway pour le configurer avec les paramètres de XenMobile. Pour plus d’informations, consultez « Configurer un NetScaler Gateway sur site à utiliser avec XenMobile Server » après cette procédure.
    • URL de rappel et Adresse IP virtuelle : enregistrez vos paramètres avant d’ajouter ces champs. Pour plus d’informations, consultez la section Ajouter une URL de rappel et une adresse IP virtuelle de VPN NetScaler Gateway dans cet article.
  5. Cliquez sur Enregistrer.

    La nouvelle passerelle NetScaler Gateway est ajoutée et s’affiche dans le tableau. Pour modifier ou supprimer une instance, cliquez sur le nom dans la liste.

Configurer un NetScaler Gateway à utiliser avec XenMobile Server

Pour configurer NetScaler Gateway sur site pour une utilisation avec XenMobile Server, vous devez effectuer les étapes générales suivantes, détaillées dans cet article :

  1. Téléchargez un script et les fichiers associés depuis XenMobile Server. Pour plus d’informations, consultez le fichier Lisez-moi accompagnant le script pour accéder aux instructions détaillées les plus récentes.

  2. Vérifiez que votre environnement répond à la configuration requise.

  3. Mettez à jour le script pour votre environnement.

  4. Exécutez le script sur NetScaler.

  5. Testez la configuration.

Le script configure les paramètres NetScaler Gateway suivants requis par XenMobile :

  • Serveurs virtuels NetScaler Gateway requis pour le mode MDM et MAM
  • Stratégies de session pour les serveurs virtuels NetScaler Gateway
  • Détails XenMobile Server
  • Stratégies d’authentification et Actions pour le serveur virtuel NSG. Le script décrit les paramètres de configuration LDAP.
  • Actions et stratégies de trafic pour le serveur proxy
  • Profil d’accès sans client
  • Enregistrement DNS local statique sur NetScaler
  • Autres liaisons : stratégie de service, certificat d’autorité de certification

Le script ne prend pas en charge la configuration suivante :

  • Équilibrage de charge Exchange
  • Équilibrage de charge ShareFile
  • Configuration du proxy ICA
  • Déchargement SSL

Pour télécharger, mettre à jour et exécuter le script

  1. Si vous ajoutez un NetScaler Gateway, cliquez sur Exporter le script de configuration sur la page Ajouter une passerelle NetScaler Gateway.

    Image de l'écran de configuration de NetScaler Gateway

    Ou, si vous ajoutez une instance NetScaler Gateway et cliquez sur Enregistrer avant d’exporter le script : revenez à Paramètres > NetScaler Gateway, sélectionnez le NetScaler, cliquez sur Exporter le script de configuration, puis cliquez sur Télécharger.

    Image de l'écran de configuration de NetScaler Gateway

    Après avoir cliqué sur Exporter le script de configuration, XenMobile crée un bundle de script tar.gz. Le bundle de script inclut les éléments suivants :

    • Fichier Lisez-moi avec instructions détaillées
    • Script contenant les commandes d’interface de ligne de commande NetScaler permettant de configurer les composants requis dans NetScaler
    • Certificat d’autorité de certification racine public et certificat d’autorité de certification intermédiaire de XenMobile Server (ces certificats, pour le déchargement SSL, ne sont pas nécessaires pour la version actuelle)
    • Script contenant les commandes d’interface de ligne de commande NetScaler permettant de supprimer la configuration de NetScaler
  2. Modifiez le script (NSGConfigBundle_CREATESCRIPT.txt) en remplaçant tous les espaces réservés avec les détails de votre environnement.

    Image de l'exemple de fichier de script

  3. Exécutez le script modifié dans le shell bash NetScaler, comme décrit dans le fichier Lisez-moi accompagnant le bundle de script. Par exemple :

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    Image de shell bash NetScaler

    Lorsque le script prend fin, les lignes suivantes s’affichent.

    Image de shell bash NetScaler

Tester la configuration

  1. Vérifiez que le serveur virtuel NetScaler Gateway affiche un état Actif.

    Image de l'écran de configuration de NetScaler VPX

  2. Vérifiez que le serveur virtuel d’équilibrage de charge du proxy indique un état Actif.

    Image de l'écran de configuration de NetScaler VPX

  3. Ouvrez un navigateur Web, connectez-vous à l’adresse URL de NetScaler Gateway et essayez de vous authentifier. Si l’authentification échoue, ce message s’affiche : État HTTP 404 - introuvable

  4. Inscrivez un appareil et assurez-vous qu’il est inscrit auprès de MDM et MAM.

Ajouter une URL de rappel et une adresse IP virtuelle de VPN NetScaler Gateway

Après avoir ajouté l’instance NetScaler Gateway, vous pouvez ajouter une adresse URL de rappel et spécifier l’adresse IP virtuelle d’un boîtier NetScaler Gateway. Ces paramètres sont facultatifs, mais peut être configurée pour plus de sécurité, plus particulièrement lorsque XenMobile Server est dans la DMZ.

  1. Dans Paramètres > NetScaler Gateway, sélectionnez le NetScaler Gateway et cliquez sur Modifier.

  2. Dans le tableau, cliquez sur Ajouter.

  3. Pour URL de rappel, entrez le nom de domaine complet. L’URL de rappel vérifie que la demande provient de NetScaler Gateway.

    Assurez-vous que l’URL de rappel devient une adresse IP qui est accessible à partir de XenMobile Server. L’URL de rappel peut être une URL NetScaler Gateway externe ou d’autres URL.

  4. Entrez l’adresse IP virtuelle NetScaler Gateway et cliquez sur Enregistrer.

Configuration de l’authentification multi-domaines

Si vous disposez de plusieurs instances XenMobile Server, telles que les environnements de test, de développement et de production, configurez manuellement NetScaler Gateway pour les environnements supplémentaires. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Configuration de NetScaler Gateway

Pour configurer les stratégies d’authentification NetScaler Gateway et une stratégie de session pour un environnement multi-domaine :

  1. Dans l’onglet Configuration de l’outil de configuration NetScaler Gateway, développez NetScaler Gateway > Policies > Authentication.
  2. Dans le panneau de navigation, cliquez sur LDAP.
  3. Cliquez pour modifier le profil LDAP. Définissez Server Logon Name Attribute sur userPrincipalName ou sur l’attribut que vous souhaitez utiliser pour vos recherches. Prenez note de l’attribut que vous spécifiez. Vous devez le founir lorsque vous configurez les paramètres LDAP dans la console XenMobile.

    Image de l'écran de configuration de NetScaler Gateway

  4. Répétez ces étapes pour chaque stratégie LDAP. Une stratégie LDAP distincte est requise pour chaque domaine.
  5. Dans la stratégie de session liée au serveur virtuel NetScaler Gateway, accédez à Edit session profile > Published Applications. Assurez-vous que le champ Single Sign-On Domain est vide.

Configuration de XenMobile Server

Pour configurer LDAP pour un environnement XenMobile multi-domaine :

  1. Dans la console XenMobile, accédez à Settings > LDAP et ajoutez ou modifiez un répertoire.

    Image de l'écran de paramètres XenMobile LDAP

  2. Entrez les informations.

    • Dans Domain Alias, spécifiez chaque domaine à utiliser pour l’ authentification utilisateur. Séparez les domaines avec une virgule et n’insérez pas d’espaces entre les domaines. Par exemple : domain1.com,domain2.com,domain3.com

    • Assurez-vous que le champ User search by correspond à l’attribut Server Logon Name Attribute spécifié dans la stratégie LDAP NetScaler Gateway.

    Image de l'écran de paramètres XenMobile LDAP