RDPプロキシ

Citrix Gateway によるRDPプロキシの概要と機能拡張

以下のRDPプロキシ機能を使用すると、Citrix Gateway 経由でリモートデスクトップファームにアクセスできます。

  • CVPNまたはICAプロキシモード(フルトンネルなし)を介してRDPトラフィックを保護します。

  • Citrix Gateway を介してRDPサーバーへのシングルサインオン(SSO)。また、必要に応じてSSOを無効にするオプションも用意されています)。

  • 適用(SmartAccess)機能。Citrix ADC管理者は、Citrix Gateway 構成を通じて特定のRDP機能を無効にできます。

  • すべてのニーズに対応するシングル/ステートレス(デュアル) Gatewayソリューション(VPN/ICA/RDP/Citrix Endpoint Management)。

  • カスタムクライアントを必要とせずに、RDP 用のネイティブ Windows MSTSC クライアントとの互換性。

  • Microsoftが提供する既存の RDP クライアントを MACOSX、iOS、Android で使用する。

導入の概要

次の図は、展開の概要を示しています。

RDP プロキシの概要

RDPプロキシ機能は、Citrix Gateway の一部として提供されます。一般的な展開では、RDP クライアントはリモートユーザーのマシンで実行されます。Citrix Gateway アプライアンスはDMZ内に展開され、RDPサーバーファームは社内ネットワークにあります。リモートユーザーは、Citrix Gateway のパブリックIPアドレスに接続し、SSL VPN接続を確立し、自己認証を行います。その後、ユーザーはCitrix Gatewayアプライアンスを介してリモートデスクトップにアクセスできます。

RDPプロキシ機能は、CVPNおよびICAプロキシモードでサポートされています。

注: Citrix Gateway は、リモートデスクトップセッションホスト(RDSH)/リモートアプリケーション/RDSマルチユーザーRDPセッションをサポートしていません。

CVPN を介した配置

このモードでは、RDP リンクは、 Gatewayのホームページまたはポータルに、ブックマークとして、「Add vpn URL」構成を介して、または外部ポータル経由で公開されます。ユーザーは、これらのリンクをクリックして、リモートデスクトップにアクセスできます。

ICAプロキシによる展開

このモードでは、wihome パラメーターを使用して、 Gateway VIP にカスタムホームページが設定されます。このホームページは、ユーザーがアクセスできるリモートデスクトップリソースの一覧を使用してカスタマイズできます。このカスタムページは、Citrix ADC でホストできます。外部の場合は、既存の Gateway ポータルページの iFrame にすることができます。

どちらのモードでも、プロビジョニングされたRDPリンクまたはアイコンをクリックすると、対応するリソースに対するHTTPSリクエストがCitrix Gateway に到着します。 Gatewayは、要求された接続の RDP ファイルのコンテンツを生成し、クライアントにプッシュします。ネイティブ RDP クライアントが呼び出され、Gateway 上の RDP リスナーに接続します。Gateway は、適用(SmartAccess)をサポートすることにより、RDPサーバーへのSSOを実行します。SmartAccess では、Citrix ADC構成に基づいてゲートウェイが特定のRDP機能へのクライアントアクセスをブロックし、RDPクライアントとサーバー間のRDPトラフィックをプロキシします。

強制の詳細

Citrix ADC管理者は、Citrix Gateway 構成を使用して特定のRDP機能を設定できます。Citrix Gateway では、重要なRDPパラメーターに対して「RDP強制」機能が提供されます。Citrix ADCは、クライアントがブロックされたパラメータを有効にできないようにします。ブロックされたパラメータが有効になっている場合、RDP 強制機能はクライアント対応パラメータよりも優先され、これらのパラメータは考慮されません。

適用でサポートされる RDP パラメータ

次のリダイレクションパラメータの適用がサポートされています。これらは、RDP クライアントプロファイルの一部として構成できます。

  • クリップボードのリダイレクト

  • プリンタのリダイレクト

  • ディスクドライブのリダイレクト

  • COM ポートのリダイレクト

  • pnp デバイスのリダイレクト

接続フロー

接続フローは、次の 2 つのステップに分けることができます。

  • RDP リソースの列挙と RDP ファイルのダウンロード。

  • RDP 接続の起動。

上記の接続フローに基づいて、2 つの展開ソリューションがあります。

  • ステートレス(デュアル)Gateway ソリューション-RDPリソースの列挙とRDPファイルのダウンロードはオーセンティケータGateway を介して行われますが、RDP接続の起動はRDPリスナーGateway を介して行われます。

  • 単一Gateway ソリューション-RDP リソース列挙、RDP ファイルのダウンロード、および RDP 接続の起動は、同じGateway を介して行われます。

ステートレス(デュアル) Gateway互換性

次の図は、展開を示しています。

デュアルGateway の互換性

  • ユーザはオーセンティケータゲートウェイ VIP に接続し、クレデンシャルを提供します。

  • Gateway へのログインに成功すると、ユーザーはホームページまたは外部ポータルにリダイレクトされ、ユーザーがアクセスできるリモートデスクトップリソースが列挙されます。

  • ユーザーが RDP リソースを選択すると、ユーザーがクリックした公開リソースを示す形式https://vserver-vip/rdpproxy/rdptarget/listenerで、オーセンティケータゲートウェイ VIP によって要求が受信されます。この要求には、ユーザーが選択した RDP サーバーの IP アドレスとポートに関する情報が含まれます。

  • /rdpproxy/ 要求は、オーセンティケータゲートウェイによって処理されます。ユーザーはすでに認証されているため、このリクエストには有効な Gatewayクッキーが付属しています。

  • RDPTarget および RDPUser 情報は STA サーバーに格納され、STA チケットが生成されます。STAサーバに保存された情報は、構成済みの事前共有キーを使用して暗号化されます。オーセンティケータ Gateway は、 Gateway仮想サーバ上に構成されている STA サーバの 1 つを使用します。

  • /rdpproxy/要求で取得された「リスナー」情報は、「fulladdress」として.rdpファイルに格納され、STAチケット(STA認証IDが先頭に付属)は、「loadbalanceinfo」として.rdpファイルに格納されます。

  • .rdp ファイルは、クライアントエンドポイントに送り返されます。

  • ネイティブ RDP クライアントが起動し、RDPListener Gatewayに接続します。STA チケットを初期パケットで送信します。

    RDPListener Gatewayは、STA チケットを検証し、RDPTarget および RDPUser の情報を取得します。使用する STA サーバーは、ロードバランス情報に存在する ‘AuthID’ を使用して取得されます。

シングル Gatewayの互換性

次の図は、展開を示しています。

単一Gateway の互換性

単一Gateway 配置の場合、STA サーバーは必要ありません。オーセンティケータGateway は、RDPTargetとCitrix ADC AAAセッションCookieを安全にエンコードし、.rdpファイルに負荷分散情報として送信します。RDP クライアントが最初のパケットでこのトークンを送信すると、オーセンティケータ Gateway は RDPTarget 情報をデコードし、セッションを検索して RDPTarget に接続します。

RDP プロキシのライセンス要件

プレミアムエディション、アドバンスエディション

注: Gatewayプラットフォームライセンスのみまたは標準エディションのみをお持ちのお客様には、RDP Proxy 機能をご利用いただけません。

RDP プロキシが機能するには、RDP プロキシ機能を有効にする必要があります。

enable feature rdpProxy

構成の手順

構成手順の概要は、次のとおりです。

  1. 機能の有効化
  2. Gatewayポータルでブックマークを作成するか、RDPリソースを列挙するカスタマイズされたGatewayポータルを使用する
  3. RDP クライアントプロファイルの構成
  4. RDP サーバープロファイルの構成

必要な機能とモードを有効にする

  • enable ns feature ssl

  • enable ns feature sslvpn

  • enable ns feature rdpproxy

  • enable mode usnip

ブックマークの作成

  1. RDP リソースにアクセスするために、ポータルページにブックマークを作成します (actualURL は rdp: // で始まります)。

  2. vpn url <urlName> <linkName>  <actualURL>の追加

    • URL は、次の形式である必要があります:rdp://<TargetIP:Port>
    • ステートレス RDP プロキシモードの場合、URL は次の形式である必要があります:rdp://<TargetIP:Port>/<ListenerIP:Port>

    • URL は、次の形式でポータルに公開されます: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. ブックマークをユーザ、グループ、または vpn 仮想サーバ、または vpn グローバルにバインドします。

クライアントプロファイルの設定

オーセンティケータ Gateway でクライアントプロファイルを設定します。次に、設定例を示します。

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

RDP クライアントプロファイルを vpn vserver に関連付けます。

これは、sessionAction+sessionPolicy を設定するか、グローバル vpn パラメータを設定することによって実行できます。

例:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

または

set vpn parameter –rdpClientprofile <name>

サーバプロファイルの設定

リスナーGateway でサーバープロファイルを設定します。

add rdpServer Profile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>

rdpServer プロファイルは、「vpn 仮想サーバー」で構成する必要があります。

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>

構成例

構成例

  • 必要な機能とモードを有効にする

    • enable ns feature ssl

    • enable ns feature sslvpn

    • enable ns feature rdpproxy

    • enable mode usnip

  • ターゲット情報を持つユーザーの VPN URL を追加する

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
    
  • VPN 接続用の RDP クライアントとサーバープロファイルを構成する

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
    
  • Citrix ADCからターゲットに接続するためのSNIPを追加

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
    

SSO を無効にするオプション

RDPプロキシを使用したSSO(シングルサインオン)機能は、Citrix ADCトラフィックポリシーを構成することで無効にできます。これにより、ユーザーは常に資格情報の入力を求められます。SSO が無効になっていると、RDP の適用 (SmartAccess) が機能しません。

設定例:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF

トラフィックポリシーは、要件に従って設定できます。次に、2 つの例を示します。

• すべてのトラフィックの SSO を無効にするには、次の手順を実行します。

add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>

• 送信元/宛先 IP/FQDN に基づいて SSO を無効にするには

add vpn trafficPolicy <TrafficPolicyName>  "REQ.HTTP.URL CONTAINS rdpproxy && REQ.IP.SOURCEIP == <IP/FQDN>" <TrafficActionName> bind vpnvserver rdp -policy <TrafficActionName>

単一リスナーのサポート

  • RDP トラフィックと SSL トラフィックの両方に対する単一リスナー。

  • RDPファイルのダウンロードとRDPトラフィックは、Citrix ADC上の同じ2タプル(IPとポート)を介して処理できます。

ブックマーク

ポータル経由の RDP リンク生成。ユーザーの RDP リンクを構成したり、外部ポータル経由で RDP リンクを公開したりする代わりに、targerIP: Port を指定することで、ユーザーに独自の URL を生成するオプションを与えることができます。ステートレス RDP プロキシ展開の場合、管理者は RDP クライアントプロファイルの一部として FQDN: ポート形式で RDP リスナー情報を含めることができます。これは、rdpListener オプションの下で行われます。この構成は、デュアル Gatewayモードでポータルを介した RDP リンク生成に使用されます。

ブックマーク

RDP プロキシの設定

RDP プロキシを設定するには、次の手順を実行します。

  1. [Citrix Gateway]を展開し、[ ポリシー]を展開し、[RDP]を右クリックして[ 機能を有効にする]をクリックします。

    機能を有効にする

  2. 左側の [RDP] をクリックします。右側の [ クライアントプロファイル ] タブに切り替えて、[ 追加 ] をクリックします。

    クライアントプロファイルの作成

  3. クライアントプロファイルに名前を付け、必要に応じて構成します。下にスクロールする

    プロファイルの名前を追加

  4. [RDPホスト]フィールドに、RDPプロキシリスナーに解決するFQDNを入力します。これは通常、Citrix Gateway アプライアンスのFDQNと同じFQDNです。

  5. 下部付近には事前共有キーがあります。パスワードを入力し、[ OK] をクリックします。これは後で必要になります。

    事前共有キーのパスワード

  6. サーバプロファイルに名前を付けます。

  7. これをバインドする Gateway仮想サーバーのIPアドレスを入力します。

  8. RDP クライアントプロファイルに設定したのと同じ事前共有キーを入力します。[作成] をクリックします。

    事前共有キーのパスワードを再入力

  9. クライアントレスアクセスのポータルページにRDPブックマークを配置する場合は、左側で [Citrix Gateway]、[ リソース]、[ ブックマーク]の順に展開します。

    ブックマークを追加

  10. 右側の [ 追加] をクリックします。

    ブックマークを追加 2

  11. ブックマークに名前を付けます。

  12. URL には、「rdp: //IP または DNS を使用して MyRDPサーバ」と入力します。

  13. [Citrix Gatewayをリバースプロキシとして使用]の横にあるチェックボックスをオンにし、[作成]をクリックします。

  14. 必要に応じて、さらにブックマークを作成します。

    複数のブックマークを追加する

  15. セッションプロファイルまたはポリシーを作成または編集します。

  16. [セキュリティ] タブで、[ 既定の承認操作 ] を [ 許可 ] に設定します。または、承認ポリシーを使用してアクセスを制御することもできます。

    デフォルトの認証アクションを設定する

  17. [リモートデスクトップ] タブで、前に作成した RDP クライアントプロファイルを選択します。

    RDP クライアントプロファイルの選択

  18. ブックマークを使用する場合は、[ クライアントエクスペリエンス ] タブで、[ クライアントレスアクセス ] を [オン ] に設定します。

    クライアントレスアクセスを On に設定します。

  19. [ 公開アプリケーション ] タブで、 ICAプロキシがOFF になっていることを確認します。

    ICAプロキシをOFFに設定

  20. Gateway仮想サーバーを変更または作成します。

  21. [ 基本設定] セクションで、[ 詳細 ] をクリックします。

    基本設定の設定

  22. RDP サーバープロファイルリストを使用して、前に作成した RDP サーバープロファイルを選択します。

    RDP サーバープロファイルを使用する

  23. 下にスクロールします。[ ICAのみ] がオフになっていることを確認します。

    ICAのみをオフに設定する

  24. 証明書をバインドします。

  25. バインド認証ポリシー。

  26. RDP クライアントプロファイルが設定されているセッションポリシー/プロファイルをバインドします。

    セッションポリシーのバインド

  27. ブックマークは、Citrix Gateway仮想サーバーまたはCitrix ADC AAAグループにバインドできます。Citrix Gateway 仮想サーバーにバインドするには、右側の[詳細設定]セクションで[ 公開アプリケーション]をクリックします。

    [公開アプリケーション] をクリックします。

  28. 左側の [ 公開アプリケーション ] セクションで、[ URL なし ] をクリックします。

    URL を設定しない

  29. ブックマークをバインドします。

    ブックマークをバインド

  30. このCitrix Gateway 仮想サーバーにはICAのみが指定されていないため、Citrix Gatewayユニバーサルライセンスが正しく構成されていることを確認してください。左側で Citrix Gateway を展開し、[ グローバル設定] をクリックします。

    グローバル設定の設定

  31. 右側の [ 認証 AAA 設定の変更] をクリックします。

    Citrix ADC AAAの設定を変更する

  32. [ 最大ユーザー数] をライセンス制限に変更します。

    最大ユーザー数を設定

  33. DNS を使用して RDP サーバーに接続する場合は、アプライアンスで DNS サーバーが設定されていることを確認します(トラフィック管理 > DNS > ネームサーバー)

    DNS サーバーを構成する

  34. FQDN の代わりに短い名前を使用する場合は、DNS サフィックスを追加します ([トラフィック管理] > [DNS] > [DNS サフィックス])

    FQDN を使用する

  35. Gatewayに接続してログオンします。

    Gateway に接続

  36. ブックマークを設定した場合は、 **ブックマーク**をクリックします。

    ブックマークをクリック

  37. アドレスバーを /rdpproxy/MyRDPServerに変更することができます。IP アドレス (例:rdpproxy/192.168.1.50) または DNS 名 (/rdpproxy/myserver) を入力できます。

    アドレスバーの変更

  38. ダウンロードした.rdp ファイルを開きます。

    RDP ファイルのダウンロード

  39. Citrix Gateway ポリシー]>[RDP]の順に選択して、現在接続しているユーザーを表示できます。 **右側は [ **接続 ] タブです。

    [接続] タブをクリックします。