ステートレス RDP プロキシ

ステートレス RDP プロキシは、RDP ホストにアクセスします。ユーザーが別のCitrix Gatewayオーセンティケータで認証を行うと、Citrix Gateway 上のRDPListenerによってアクセスが許可されます。Citrix Gateway のRDPListenerに必要な情報は、STAサーバーに安全に保存されます。

ここでは、この機能用に作成されたフローノブと新しいノブについて説明します。

前提条件

  • ユーザーはCitrix Gateway 認証システム上で認証されます。

  • 最初の /rdpproxy URL および RDP クライアントは、別の RDPListener Citrix Gateway に接続されています。

  • RDPListener Gateway情報は、STA サーバを使用してオーセンティケータゲートウェイによって安全に渡されます。

構成

  • 新しい rdpServer プロファイルを追加します。サーバプロファイルは、RDPListener Gateway上で構成されます。

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
    

    ステートレス RDP プロキシの場合、STA サーバーは、RDP クライアントから送信される STA チケットを検証して、RDP ターゲット/RDPUser 情報を取得します。

    rdpServer プロファイルは、次のコマンドを使用して vpn 仮想サーバ上で設定します。

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
    

    警告: rdpServerProfile が仮想サーバ上で構成されると、変更することはできません。また、同じ serverProfile を別の vpn 仮想サーバで再利用することはできません。

rdp プロファイル コマンドの名前が rdpClient プロファイル に変更され、新しいパラメータが追加されました。マルチモニターサポートコマンドが追加されました。また、RDP クライアントプロファイルの一部としてサポートされていないカスタムパラメータを設定するオプションが追加されました。接続は常にセキュリティで保護されているため、clientSSL パラメータが削除されました。クライアントプロファイルは、オーセンティケータ Gateway で設定されます。

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )]

        [-redirectPrinters ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-audioCaptureMode ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]

        [-rdpCookieValidity <positive_integer>][-multiMonitorSupport ( ENABLE | DISABLE )] [-rdpCustomParams <string>] —rdpHost構成は、単一の Gateway展開で使用されます。
  • RDP プロファイルを vpn 仮想サーバに関連付けます。

これは、sessionAction+sessionPolicy を設定するか、グローバル vpn パラメータを設定することによって実行できます。

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

または

set vpn parameter –rdpClientprofile <name>

接続カウンタ

新しい接続カウンタ ns_rdp_tot_curr_active_conn が追加されました。このカウンタは、使用中のアクティブな接続数の記録を保持します。これは、NetScaler シェル上のnsconmsgコマンドの一部として見ることができます。後で、このカウンタを表示する新しい CLI コマンドを提供します。

接続フロー

RDP プロキシフローには 2 つの接続があります。最初の接続は、Citrix Gateway VIPへのユーザーのSSL VPN接続であり、RDPリソースの列挙です。

2番目の接続は、Citrix Gateway上のRDPリスナーへのネイティブRDPクライアント接続(rdpIPとrdpPortを使用して構成)であり、その後RDPクライアントからサーバーパケットへのセキュアなプロキシです。

ローカライズされた画像

  1. ユーザは、オーセンティケータゲートウェイ VIP に接続し、クレデンシャルを提供します。

  2. Gateway へのログインに成功すると、ユーザーはホームページ/外部ポータルにリダイレクトされ、ユーザーがアクセスできるリモートデスクトップリソースを列挙します。

  3. ユーザーが RDP リソースを選択すると、ユーザーがクリックした公開リソースhttps://AGVIP/rdpproxy/ip:port/rdptargetproxy を示す形式で、オーセンティケータゲートウェイ VIP によって要求が受信されます。この要求には、ユーザーが選択した RDP サーバーの IP およびポートに関する情報が含まれます。

  4. /rdpproxy/ 要求は、オーセンティケータゲートウェイによって処理されます。ユーザーはすでに認証されているため、このリクエストには有効な Gatewayクッキーが付属しています。

  5. RDPTarget および RDPUser 情報は STA サーバーに格納され、STA チケットが生成されます。情報は XML BLOB として保存されます。XML BLOB は、設定済みの事前共有キーを使用してオプションで暗号化されます。暗号化されている場合、BLOB は base64 でエンコードされ、保存されます。オーセンティケータゲートウェイは、 Gateway仮想サーバ上に構成されている STA サーバの 1 つを使用します。

  6. XML BLOB は次の形式になります。

    <Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>\n

    <Value name=”Username”>username</Value>\n<Value name=”Password”>pwd</Value>

  7. /rdpproxy/リクエストで取得した「rdptargetproxy」は「フルアドレス」として配置され、STAチケット(STA認証IDの前に付加される)は.rdpファイルの「ロードバランス情報」として配置されます。

  8. .rdp ファイルは、クライアントエンドポイントに送り返されます。

  9. ネイティブ RDP クライアントが起動し、RDPListener Gatewayに接続します。STA チケットを最初の x.224 パケットで送信します。

  10. RDPListener Gatewayは、STA チケットを検証し、RDPTarget および RDPUser の情報を取得します。使用する STA サーバーは、ロードバランス情報に存在する ‘AuthID’ を使用して取得されます。

  11. Gateway セッションは、認可/監査ポリシーを保存するために作成されます。そのユーザーのセッションがすでに存在する場合、そのセッションは再利用されます。

  12. RDPListener Gatewayは RDPTarget に接続し、CREDSSP を使用してシングルサインオンします。

シングル Gatewayの互換性

RDP ファイルが /rdpproxy/rdptarget/rdptargetproxy URL を使用して生成される場合は、STA チケットが生成されます。そうでない場合は、セッションを直接参照する ‘loadbalanceinfo’ の現在のメソッドが使用されます。

ローカライズされた画像

単一のGateway 展開の場合、/rdpproxy URL はオーセンティケータゲートウェイ自体に送信されます。STAサーバは必要ありません。オーセンティケータ Gateway は、RDPTarget および AAA セッションクッキーを安全にエンコードし、これを.rdp ファイル内の「loadbalanceinfo」として送信します。RDP クライアントが x.224 パケットでこのトークンを送信すると、オーセンティケータ Gateway は RDPTarget 情報をデコードし、セッションを検索して RDPTarget に接続します。

アップグレードに関する注意事項

以前の構成は、この新しいリリースでは機能しません。これは、vpn vserver 上で以前に構成されていたパラメータ rdpIP および rdpPort が rdpServerProfile の一部になるように更新され、’rdp プロファイル ‘の名前が ‘rdp クライアントプロファイル’ に変更され、古いパラメータ clientSSL が削除されているためです。

RDP サーバープロファイルの作成

  1. Citrix Gateway >[ポリシー]>[RDP]の順に選択します。

    ローカライズされた画像

  2. 「サーバープロファイル」タブに移動し、「 追加」をクリックします。

    ローカライズされた画像

  3. RDP サーバープロファイルを作成するには、次の情報を入力します。

    ローカライズされた画像

RDP クライアントプロファイルの構成

  1. Citrix Gateway >ポリシー>RDPに移動します。

    ローカライズされた画像

  2. [クライアントプロファイル] タブに移動し、[ 追加] をクリックします。

    ローカライズされた画像

  3. RDP サーバープロファイルを構成するには、次の情報を入力します。

    ローカライズされた画像

仮想サーバーのセットアップ

  1. Citrix Gateway >[仮想サーバー]の順に選択します。

    ローカライズされた画像

  2. [ 追加 ] をクリックして、新しい RDP サーバーを作成します。

    ローカライズされた画像

  3. この [基本設定] ページのデータを入力し、[ OK] をクリックします。

    ローカライズされた画像

  4. 鉛筆 をクリックしてページを編集します。

    ローカライズされた画像