NetScaler GatewayとEndpoint Management

Citrix Endpoint Managementを使用してNetScaler Gatewayを構成すると、リモートデバイスで内部ネットワークにアクセスするための認証メカニズムが確立されます。この機能を利用すると、モバイルデバイス上のアプリでイントラネット内にある社内サーバーにアクセスすることができます。Endpoint Managementにより、デバイス上のアプリからNetScaler GatewayへのMicro VPNが作成されます。

Endpoint Managementで使用するNetScaler Gatewayを構成するには、NetScaler Gatewayで実行するスクリプトをEndpoint Managementからエクスポートします。

NetScaler Gateway構成スクリプトを使用するための前提条件

NetScalerの要件

  • NetScaler(最小バージョン11.0、ビルド70.12)
  • NetScalerのIPアドレスが構成済みであり、LDAPサーバーに接続できる(LDAPが負荷分散されていない場合)
  • NetScalerのサブネットIP(SNIP:Subnet IP)アドレスが構成済みであり、必要なバックエンドサーバーに接続でき、ポート8443/TCP経由でパブリックネットワークにアクセスできる
  • DNSでパブリックドメインを解決できる
  • NetScalerにプラットフォーム/ユニバーサルライセンスまたはトライアルライセンスが付与されている。詳しくは、https://support.citrix.com/article/CTX126049を参照してください。
  • NetScaler GatewayのSSL証明書をNetScalerでアップロードしインストールしている。詳しくは、https://support.citrix.com/article/CTX136023を参照してください。

Endpoint Managementの要件:

  • LDAPサーバーが構成済みである

内部ネットワークへのリモートデバイスアクセスに対する認証の構成

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [NetScaler Gateway] をクリックします。[NetScaler Gateway]ページが開きます。次の例では、NetScaler Gatewayインスタンスが1つ存在しています。

    NetScaler Gateway構成画面の画像

  3. 次の設定を構成します。

    • 認証: 認証を有効にするかどうかを選択します。デフォルトは [オン] です。
    • 認証用のユーザー証明書を配信: Endpoint ManagementでSecure Hubと認証証明書を共有し、NetScaler Gatewayでクライアント証明書認証を処理できるようにするかどうかを選択します。デフォルトは [オフ] です。
    • 資格情報プロバイダー: ボックスの一覧で、使用する資格情報プロバイダーを選択します。詳しくは、「資格情報プロバイダー」を参照してください。
  4. [保存] をクリックします。

NetScaler Gatewayインスタンスの追加

認証設定の保存後、NetScaler GatewayインスタンスをEndpoint Managementに追加します。

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  2. [サーバー] の下の [NetScaler Gateway] をクリックします。[NetScaler Gateway]ページが開きます。

  3. [追加] をクリックします。[Add New NetScaler Gateway]ページが開きます。

    NetScaler Gateway構成画面の画像

  4. 次の設定を構成します。

    • 名前: NetScaler Gatewayインスタンスの名前を入力します。
    • エイリアス: オプションで、NetScaler Gatewayのエイリアス名を入力します。
    • 外部URL: NetScaler Gatewayの、パブリックにアクセスできるURLを入力します。例:https://receiver.com
    • ログオンの種類: ログオンの種類を選択します。種類には、[ドメインのみ][セキュリティトークンのみ][ドメインおよびセキュリティトークン][証明書][証明書およびドメイン][証明書およびセキュリティトークン] があります。[パスワードが必要] フィールドのデフォルト設定は、選択した [ログオンの種類] に基づいて変化します。デフォルトは [ドメインのみ] です。

    ドメインが複数ある場合は、[証明書およびドメイン] を使用します。

    [Certificate and security token]を使用する場合、NetScaler GatewayでSecure Hubがサポートされるようにするには、追加の設定が必要となります。詳しくは、「Configuring Endpoint Management for Certificate and Security Token Authentication」を参照してください。

    詳しくは、展開ハンドブックの「認証」を参照してください。

    • パスワードが必要: パスワード認証を必須にするかどうかを選択します。デフォルト値は、選択した [ログオンの種類] に応じて変化します。
    • デフォルトとして設定: このNetScaler Gatewayをデフォルトとして使用するかどうかを選択します。デフォルトは [オフ] です。
    • 構成スクリプトのエクスポート: 構成バンドルをエクスポートする場合はこのボタンをクリックします。エクスポートした構成バンドルはNetScaler Gatewayにアップロードし、Endpoint Managementの設定を使用して構成します。詳しくは、これらの手順の後で「Endpoint Managementで使用するオンプレミスのNetScaler Gatewayの構成」を参照してください。
  5. [保存] をクリックします。

    新しいNetScaler Gatewayが追加され、表に表示されます。インスタンスを編集または削除するには、表で名前をクリックします。

Endpoint Managementで使用するNetScaler Gatewayの構成

Endpoint Managementで使用するオンプレミスのNetScaler Gatewayを構成するには、以下に説明する一般的な手順を実行します:

  1. Endpoint Managementサーバーからスクリプトと関連ファイルをダウンロードします。最新の手順について詳しくは、スクリプトに付属するreadmeファイルを参照してください。

  2. 環境が前提条件を満たしていることを確認します。

  3. 環境に合わせてスクリプトを更新します。

  4. NetScalerでスクリプトを実行します。

  5. 構成をテストします。

スクリプトにより、Endpoint Managementに必要なこれらのNetScaler Gatewayの設定が構成されます:

  • MDMとMAMに必要なNetScaler Gateway仮想サーバー
  • NetScaler Gateway仮想サーバー用セッションポリシー
  • Endpoint Managementサーバーの詳細
  • NSG仮想サーバーの認証ポリシーとアクション。 スクリプトによってLDAPの構成設定が説明されます。
  • プロキシサーバーのトラフィックアクションとポリシー
  • クライアントレスアクセスプロファイル
  • NetScalerの静的ローカルDNSレコード
  • 他のバインディング:サービスポリシー、CA証明書

このスクリプトは以下の構成には対応していません。

  • Exchange負荷分散
  • ShareFile負荷分散
  • ICAプロキシ構成
  • SSLオフロード

スクリプトをダウンロード、更新、実行するには

  1. NetScaler Gatewayを追加中の場合は、[新しいNetScaler Gatewayの追加] ページで [構成スクリプトのエクスポート] をクリックします。

    NetScaler Gateway構成画面の画像

    NetScaler Gatewayインスタンスを追加しスクリプトのエクスポート前に [保存] をクリックしている場合は、[設定]>[NetScaler Gateway] に戻り、目的のNetScalerを選択して [構成スクリプトのエクスポート] をクリックし、[ダウンロード] をクリックします。

    NetScaler Gateway構成画面の画像

    [構成スクリプトのエクスポート] をクリックすると、Endpoint Managementにより.tar.gz形式のスクリプトバンドルが作成されます。このスクリプトバンドルの内容は次のとおりです。

    • 詳細説明付きのreadmeファイル
    • NetScalerの必須コンポーネントの構成に使用するNetScaler CLIコマンドを含むスクリプト
    • Endpoint ManagementサーバーのパブリックルートCA(認証機関:Certificate Authority)証明書および中間CA証明書(現在のリリースでは、SSLオフロードの場合これらの証明書は不要です)
    • NetScalerの構成の削除に使用するNetScaler CLIコマンドを含むスクリプト
  2. スクリプト(NSGConfigBundle_CREATESCRIPT.txt)を編集し、すべてのプレースホルダーを環境の情報で置き換えます。

    サンプルスクリプトファイルの画像

  3. スクリプトバンドルに含まれるreadmeファイルの説明に従って、編集済みのスクリプトをNetScalerのbashシェルで実行します。次に例を示します:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

    NetScalerのbashシェルの画像

    スクリプトが完了すると、次の行が表示されます。

    NetScalerのbashシェルの画像

構成のテスト

  1. NetScaler Gateway仮想サーバーの状態表示が [UP] であることを確認します。

    NetScaler VPX構成画面の画像

  2. Proxy負荷分散仮想サーバーの状態表示が [UP] であることを確認します。

    NetScaler VPX構成画面の画像

  3. Webブラウザーを開いてNetScaler GatewayのURLに接続し、認証を試みます。認証が失敗した場合、「HTTP Status 404 - Not Found」というメッセージが表示されます。

  4. デバイスを登録して、MDMとMAMの両方に登録されたことを確認します。