製品ドキュメント
Citrix Secure Private Access
2407 - Current Release 2405 2402 2311 2308 Legacy Service
PDFを表示

TCP/UDP アプリケーション用のNetScaler Gateway 構成

August 26, 2024
寄稿者: 
C

Web/SaaSアプリケーションのNetScaler Gateway構成」で説明されている手順を使用して、TCP/UDPアプリケーションを構成できます 。TCP/UDP アプリケーションのゲートウェイを設定するには、スクリプトの Enable TCP/UDP App type サポートパラメータに Y を入力して TCP/UDP サポートを有効にする必要があります

次の図は、TCP/UDP サポートが有効になっている [ TCP/UDP アプリタイプサポートを有効にする ] パラメーターを示しています。

NetScaler 構成 1

NetScaler 構成 2

TCP/UDPアプリ用の既存のNetScaler Gateway構成の更新

構成を以前のバージョンから 2407 に更新する場合は、構成を手動で更新することをお勧めします。詳しくは、「 既存のNetScaler Gateway構成を更新するコマンド例」を参照してください。また、NetScaler Gateway仮想サーバーとセッションアクションの設定を更新する必要があります。

NetScaler Gateway 仮想サーバー設定

既存のNetScaler Gateway仮想サーバーを追加または更新するときは、次のパラメーターが定義済みの値に設定されていることを確認してください。サンプルコマンドについては、「 既存のNetScaler Gateway構成を更新するコマンド例」を参照してください。また、NetScaler Gateway仮想サーバーとセッションアクションの設定を更新する必要があります。

仮想サーバーの追加:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • 展開タイプ:ICA_STOREFRONT (コマンドでのみ使用可能) add vpn vserver
  • icaOnly:オフ

仮想サーバーの更新:

  • tcpProfileName: nstcp_default_XA_XD_profile
  • icaOnly:オフ

仮想サーバーのパラメータの詳細については、 vpn-sessionActionを参照してください。

NetScaler Gateway のセッションアクション設定

セッションアクションは、セッションポリシーを使用してゲートウェイ仮想サーバーにバインドされます。セッションアクションを作成または更新するときは、次のパラメータが定義された値に設定されていることを確認してください。サンプルコマンドについては、「 既存のNetScaler Gateway構成を更新するコマンド例」を参照してください。また、NetScaler Gateway仮想サーバーとセッションアクションの設定を更新する必要があります。

  • transparentInterception: ON
  • SSO: ON
  • ssoCredential: PRIMARY
  • useMIP: NS
  • useIIP: OFF
  • icaProxy: OFF
  • ClientChoices: ON
  • ntDomain: mydomain.com-SSO に使用 (オプション)
  • defaultAuthorizationAction: ALLOW
  • authorizationGroup: SecureAccessGroup
  • clientlessVpnMode: OFF
  • clientlessModeUrlEncoding: TRANSPARENT
  • SecureBrowse: ENABLED

既存のNetScaler Gateway構成を更新するコマンドの例

注:

既存の構成を手動で更新する場合は、次のコマンドに加えて、/nsconfig/rc.netscaler ファイルをnsapimgr_wr.sh -ys ns_vpn_enable_spa_tcp_udp_apps=3コマンドで更新する必要があります。

  • Citrix Secure Accessベースの接続をサポートするための VPN セッションアクションを追加します。

    add vpn sessionAction AC_AG_PLGspaonprem -splitDns BOTH -splitTunnel ON -transparentInterception ON -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -ClientChoices ON -ntDomain gwonprem.corp -clientlessVpnMode OFF -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED

  • Citrix Secure Accessベースの接続をサポートするVPNセッションポリシーを追加します。

    add vpn sessionPolicy PL_AG_PLUGINspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\")" AC_AG_PLGspaonprem

  • セッションポリシーをVPN仮想サーバーにバインドして、Citrix Secure Accessベースの接続をサポートします。

    bind vpn vserver spaonprem -policy PL_AG_PLUGINspaonprem -priority 115 -gotoPriorityExpression NEXT -type REQUEST

  • TCP/UDP ベースの接続の認証検証をサポートする HTTP コールアウトポリシーを追加します。

    add policy httpCallout SecureAccess_httpCallout_TCP -IPAddress 10.109.224.159 -port 443 -returnType BOOL -httpMethod POST -hostExpr "\"spa.gwonprem.corp\"" -urlStemExpr "\"/secureAccess/authorize\"" -headers Content-Type("application/json") X-Citrix-SecureAccess-Cache("dstip="+HTTP.REQ.HEADER("CSIP").VALUE(0)+"&sessid="+aaa.user.sessionid) -bodyExpr q/"{"+"\"userName\":\""+aaa.USER.NAME.REGEX_REPLACE(re#\\#,"\\\\",ALL)+"\","+"\"domain\":\""+aaa.USER.DOMAIN+"\","+"\"customTags\":\""+http.REQ.HEADER("X-Citrix-AccessSecurity").VALUE(0)+"\","+"\"gatewayAddress\":\"ns224158.gwonprem.corp\","+"\"userAgent\":\"CitrixSecureAccess\","+"\"applicationDomain\":\""+http.REQ.HEADER("CSHOST").VALUE(0)+"\","+"\"smartAccessTags\":\""+aaa.user.attribute("smartaccess_tags")+"\",\"applicationType\":\"ztna\",\"applicationDetails\":{\"destinationIp\":\""+HTTP.REQ.HEADER("CSIP").VALUE(0)+"\",\"destinationPort\":\""+HTTP.REQ.HEADER("PORT").VALUE(0)+"\",\"protocol\":\"TCP\"}}"/ -scheme https -resultExpr "http.RES.HEADER(\"X-Citrix-SecureAccess-Decision\").contains(\"ALLOW\")"

  • TCP/UDP ベースの接続をサポートする認証ポリシーを追加します。

    add authorization policy SECUREACCESS_AUTHORIZATION_TCP "HTTP.REQ.URL.EQ(\"/cs\") && HTTP.REQ.HEADER(\"PRTCL\").EQ(\"TCP\") && sys.HTTP_CALLOUT(SecureAccess_httpCallout_TCP)" ALLOW

  • TCP/UDP ベースのアプリケーションをサポートするには、認証ポリシーを認証および承認グループにバインドします。

    bind aaa group SecureAccessGroup -policy SECUREACCESS_AUTHORIZATION_TCP -priority 1010 -gotoPriorityExpression END

追加情報

Secure Private Access用NetScaler Gatewayの詳細については、以下のトピックを参照してください:

TCP/UDP アプリケーション用のNetScaler Gateway 構成
August 26, 2024
寄稿者: 
C
August 26, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.