Citrix Gateway

ゲートウェイのインストール前チェックリスト

チェックリストは、Citrix Gateway をインストールする前に完了する必要があるタスクと計画情報のリストで構成されています。

各タスクを完了してメモを作成すると、各タスクをチェックオフできるスペースが用意されています。インストールプロセス中およびCitrix Gateway の構成中に入力する必要がある構成値をメモしておくことをお勧めします。

Citrix Gateway をインストールおよび構成する手順については、「Citrix Gateway のインストール」を参照してください。

ユーザーデバイス

  • ユーザーデバイスが「 Citrix Secure Access のシステム要件」で説明されているインストールの前提条件を満たしていることを確認します。
  • ユーザーが接続するモバイルデバイスを特定します。:ユーザーがiOSデバイスに接続する場合は、セッションプロファイルでSecure Browse を有効にする必要があります。

Citrix Gateway の基本的なネットワーク接続

アプライアンスの構成を開始する前に、ライセンスと署名付きサーバー証明書を取得することをお勧めします。

  • Citrix Gateway ホスト名を特定して書き留めます。:これは完全修飾ドメイン名 (FQDN) ではありません。FQDN は、仮想サーバーにバインドされた署名付きサーバー証明書に含まれています。
  • Citrix Webサイトからユニバーサルライセンスを取得する
  • 証明書署名要求 (CSR) を生成し、認証局 (CA) に送信します。CSR を認証局に送信する日付を入力します。
  • システム IP アドレスとサブネットマスクを書き留めます。
  • サブネット IP アドレスとサブネットマスクを書き留めます。
  • 管理者パスワードを書き留めます。Citrix Gateway に付属するデフォルトのパスワードはnsrootです。
  • Citrix Gateway がセキュリティで保護されたユーザー接続をリッスンするポート番号を書き留めます。デフォルトは TCP ポート 443 です。このポートは、セキュリティで保護されていないネットワーク (インターネット) と DMZ の間のファイアウォールで開いている必要があります。
  • デフォルトゲートウェイの IP アドレスを書き留めます。
  • DNS サーバの IP アドレスとポート番号を書き留めます。デフォルトのポート番号は 53 です。さらに、DNS サーバを直接追加する場合は、アプライアンスで ICMP(ping)も設定する必要があります。
  • 最初の仮想サーバの IP アドレスとホスト名を書き留めます。
  • 2 番目の仮想サーバの IP アドレスとホスト名(該当する場合)を書き留めます。
  • WINS サーバの IP アドレスを書き留めます(該当する場合)。

Citrix Gateway を介してアクセス可能な内部ネットワーク

  • ユーザーがCitrix Gateway を介してアクセスできる内部ネットワークを書き留めます。例:10.10.0.0/24
  • ユーザーがCitrix Secure Accessエージェントを使用してCitrix Gateway 経由で接続するときにアクセスする必要のあるすべての内部ネットワークおよびネットワークセグメントを入力します。

高可用性

2つのCitrix Gateway アプライアンスがある場合は、1つのCitrix Gateway が接続を受け入れて管理し、2番目のCitrix Gateway が最初のアプライアンスを監視する高可用性構成でそれらを展開できます。最初のCitrix Gateway が何らかの理由で接続の受け入れを停止した場合、2番目のCitrix Gateway が引き継ぎ、アクティブな接続の受け入れを開始します。

  • Citrix Gateway ソフトウェアのバージョン番号を書き留めます。
  • バージョン番号は、両方のCitrix Gateway アプライアンスで同じである必要があります。
  • 管理者パスワードを書き留めます (nsroot)。パスワードは両方のアプライアンスで同じである必要があります。
  • プライマリCitrix Gateway IPアドレスとIDを書き留めます。最大 ID 番号は 64 です。
  • セカンダリCitrix Gateway IPアドレスとIDを書き留めます。
  • ユニバーサルライセンスを取得し、両方のアプライアンスにインストールします。
  • 両方のアプライアンスに同じユニバーサルライセンスをインストールします。
  • RPC ノードのパスワードを書き留めます。

認証と承認

Citrix Gateway は、さまざまな組み合わせで使用できるいくつかの異なる認証および承認タイプをサポートしています。認証と認可の詳細については、「 認証と承認」を参照してください。

LDAP認証

環境に LDAP サーバが含まれている場合は、認証に LDAP を使用できます。

  • LDAP サーバの IP アドレスとポートを書き留めます。

    LDAP サーバへのセキュアでない接続を許可する場合、デフォルトのポートは 389 です。LDAP サーバーへの接続を SSL で暗号化する場合、デフォルトのポートは 636 です。

  • セキュリティの種類を書き留めます。

    セキュリティは、暗号化の有無にかかわらず構成できます。

  • 管理者バインド DN を書き留めます。

    LDAPサーバーで認証が必要な場合は、Citrix Gateway がLDAPディレクトリにクエリを実行するときに認証に使用する必要がある管理者DNを入力します。例として、cn=管理者、cn=Users、dc=ace、dc=comがある。

  • 管理者パスワードを書き留めます。

    パスワードは、管理者バインド DN に関連付けられています。

  • ベース DN を書き留めます。

    ユーザが配置されている DN(またはディレクトリレベル)。たとえば、ou=users、dc=ace、dc=com などです。

  • サーバのログオン名属性を書き留めます。

    ユーザーのログオン名を指定する LDAP ディレクトリのユーザーオブジェクト属性を入力します。デフォルトは samAccountName です。Active Directory を使用していない場合、この設定の一般的な値は cn または uid です。 LDAP ディレクトリ設定の詳細については、 LDAP 認証の設定を参照してください

  • グループ属性を書き留めます。 ユーザが属するグループを指定する LDAP ディレクトリの Person オブジェクト属性を入力します。デフォルトは memberOf です。この属性により、Citrix Gateway はユーザーが属するディレクトリグループを識別できます。
  • サブ属性名を書き留めます。

RADIUS 認証および認可

環境に RADIUS サーバが含まれている場合は、認証に RADIUS を使用できます。 RADIUS認証には、RSA SecurID、SafeWord、Gemalto Protiva製品が含まれる。

  • プライマリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • プライマリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • セカンダリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • セカンダリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • パスワードエンコーディングのタイプ(PAP、CHAP、MS-CHAP v1、MSCHAP v2)を書き留めます。

SAML認証

セキュリティアサーションマークアップ言語 (SAML) は、ID プロバイダ (IdP) とサービスプロバイダの間で認証と承認を交換するための XML ベースの標準です。

  • Citrix Gateway にセキュアなIdP証明書を取得してインストールします。
  • リダイレクト URL を書き留めます。
  • ユーザーフィールドを書き留めます。
  • 署名証明書の名前を書き留めます。
  • SAML 発行者名を書き留めます。
  • デフォルトの認証グループを書き留めます。

ファイアウォールを介してポートを開く(シングルホップ DMZ)

組織が単一のDMZで内部ネットワークを保護し、DMZにCitrix Gateway を展開する場合は、ファイアウォールを介して次のポートを開きます。ダブルホップDMZ展開に2つのCitrix Gateway アプライアンスをインストールする場合は、 ファイアウォールで適切なポートを開くを参照してください

セキュリティで保護されていないネットワークと DMZ の間のファイアウォール上

  • インターネットとCitrix Gateway の間のファイアウォールでTCP/SSLポート(デフォルトは443)を開きます。ユーザーデバイスは、このポートでCitrix Gateway に接続します。

セキュリティで保護されたネットワーク間のファイアウォール上

  • DMZ とセキュリティで保護されたネットワーク間のファイアウォールで、1 つ以上の適切なポートを開きます。Citrix Gateway は、1つ以上の認証サーバー、またはこれらのポート上のセキュリティで保護されたネットワーク内のCitrix Virtual Apps and Desktopsを実行しているコンピューターに接続します。
  • 認証ポートを書き留めます。

    Citrix Gateway 構成に適したポートのみを開きます。

    • LDAP 接続の場合、デフォルトは TCP ポート 389 です。
    • RADIUS 接続の場合、デフォルトは UDP ポート 1812 です。Citrix Virtual Apps and Desktops のポートを書き留めます。
  • Citrix GatewayをCitrix Virtual Apps and Desktopsで使用している場合は、TCPポート1494を開きます。セッション画面の保持を有効にする場合は、1494 ではなく TCP ポート 2598 を開きます。これらのポートは両方とも開いたままにしておくことをお勧めします。

Citrix Virtual Desktops、Citrix Virtual Apps、Webインターフェイス、またはStoreFront

Citrix Gateway を展開して、Web InterfaceまたはStoreFront を介してCitrix Virtual Apps and Desktops へのアクセスを提供する場合は、次のタスクを実行します。この展開では、Citrix Secure Accessエージェントは必要ありません。ユーザーは、WebブラウザーとCitrix Receiverのみを使用して、Citrix Gateway を介して公開アプリケーションおよびデスクトップにアクセスします。

  • WebインターフェイスまたはStoreFrontを実行しているサーバーのFQDNまたはIPアドレスを書き留めます。
  • Secure Ticket Authority(STA)を実行しているサーバの FQDN または IP アドレスを書き留めます(Web インターフェイスの場合のみ)。

Citrix Endpoint Management

内部ネットワークにCitrix Endpoint Managementを展開する場合は、次のタスクを実行します。ユーザーがインターネットなどの外部ネットワークからEndpoint Managementに接続する場合、ユーザーはモバイル、Web、およびSaaSアプリにアクセスする前にCitrix Gateway に接続する必要があります。

  • Endpoint Management 完全修飾ドメイン名または IP アドレスを書き留めます。
  • ユーザーがアクセスできるウェブ、SaaS、モバイル iOS または Android アプリケーションを特定します。

Citrix Virtual Apps を使用したダブルホップ DMZ 展開

Citrix Virtual Appsを実行しているサーバーへのアクセスをサポートするために、ダブルホップDMZ構成で2つのCitrix Gateway アプライアンスを展開する場合は、次のタスクを実行します。

最初のDMZのCitrix Gateway

最初の DMZ は、内部ネットワークの最も外側のエッジ(インターネットまたはセキュリティ保護されていないネットワークに最も近い)にある DMZ です。クライアントは、DMZからインターネットを分離するファイアウォールを介して最初のDMZのCitrix Gateway に接続します。最初のDMZにCitrix Gateway をインストールする前に、この情報を収集してください。

  • このCitrix Gateway のこのチェックリストの「Citrix Gateway の基本ネットワーク接続」セクションの項目を完了します。

    これらの項目を完了すると、インターフェイス0はこのCitrix Gatewayをインターネットに接続し、インターフェイス1はこのCitrix Gatewayを2番目のDMZのCitrix Gatewayに接続します。

  • プライマリアプライアンスで 2 番目の DMZ アプライアンス情報を設定します。

    Citrix Gateway をダブルホップDMZの最初のホップとして構成するには、最初のDMZのアプライアンスの2番目のDMZでCitrix Gateway のホスト名またはIPアドレスを指定する必要があります。最初のホップでアプライアンスでCitrix Gateway プロキシが構成されるタイミングを指定したら、Citrix Gateway にグローバルにバインドするか、仮想サーバーにバインドします。

  • アプライアンス間の接続プロトコルとポートを書き留めます。

    Citrix Gateway をダブルDMZの最初のホップとして構成するには、2番目のDMZのCitrix Gateway が接続をリッスンする接続プロトコルとポートを指定する必要があります。接続プロトコルとポートは SSL を使用した SOCKS(デフォルトポート 443)です。プロトコルとポートは、最初の DMZ と 2 番目の DMZ を分離するファイアウォールを介して開く必要があります。

2番目のDMZのCitrix Gateway

2 番目の DMZ は、内部のセキュアネットワークに最も近い DMZ です。2番目のDMZに展開されたCitrix Gateway は、ICAトラフィックのプロキシとして機能し、外部ユーザーデバイスと内部ネットワーク上のサーバー間で2番目のDMZを通過します。

  • このCitrix Gateway のこのチェックリストの「Citrix Gateway 基本的なネットワーク接続」セクションのタスクを完了します。

    これらの項目を完了すると、インターフェイス0は、最初のDMZでこのCitrix GatewayをCitrix Gatewayに接続します。インターフェイス1は、このCitrix Gateway をセキュリティで保護されたネットワークに接続します。