ウェブ/SaaS アプリケーション用のNetScaler Gateway 構成
Web/SaaSアプリケーション用のNetScaler Gatewayを作成するには、次の手順を実行します:
-
最新のスクリプト
*ns_gateway_secure_access.sh*.をhttps://www.citrix.com/downloads/citrix-secure-private-access/Shell-Script/Shell-Script-for-Gateway-Configuration.htmlからダウンロードしてください。 -
これらのスクリプトをNetScalerマシンにアップロードします。WinSCP アプリまたは SCP コマンドを使用できます。例:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*。例:
*scp ns_gateway_secure_access.sh nsroot@nsalfa.fabrikam.local:/var/tmp*注:
- 一時データを保存するには、NetScaler /var/tmpフォルダーを使用することをお勧めします。
- ファイルが LF 行末で保存されていることを確認してください。FreeBSD は CRLF をサポートしていません。
- エラー
-bash: /var/tmp/ns_gateway_secure_access.sh: /bin/sh^M: bad interpreter: No such file or directoryが表示される場合は 、行末が正しくないことを意味します。スクリプトは、Notepad++ などの任意のリッチテキストエディタを使用して変換できます。
- NetScalerにSSH接続し、シェルに切り替えます(NetScaler CLIでは「シェル」と入力します)。
-
アップロードしたスクリプトを実行可能にします。そのためには chmod コマンドを使用してください。
chmod +x /var/tmp/ns_gateway_secure_access.sh -
アップロードしたスクリプトをNetScalerシェルで実行します。
-
Web アプリケーションと SaaS アプリケーションのみにゲートウェイを設定する場合は、「 TCP/UDP アプリケーションタイプサポートを有効にする 」パラメータに N を入力します。
-
必須パラメータを入力します。パラメータのリストについては、「 前提条件」を参照してください。
認証プロファイルとSSL証明書には、NetScaler上の既存のリソースの名前を指定する必要があります。
複数のNetScalerコマンド(デフォルトはvar/tmp/ns_gateway_secure_access)を含む新しいファイルが生成されます。
注:
スクリプトの実行中に、NetScalerとSecure Private Access プラグインの互換性がチェックされます。NetScalerがSecure Private Accessプラグインをサポートしている場合、このスクリプトにより、NetScaler機能がスマートアクセスタグをサポートできるようになり、リソースへのアクセスが制限されたときに改善や新しい拒否ページへのリダイレクトが送信されます。スマートタグの詳細については、「 スマートアクセスタグのサポート」を参照してください。
Secure Private Accessプラグイン機能は/nsconfig/rc.netscalerファイルに保存されているため、NetScalerの再起動後も有効にしておくことができます。
-
NetScaler CLIに切り替え、新しいファイルから生成されたNetScalerコマンドをバッチコマンドで実行します。たとえば:
batch -fileName /var/tmp/ns_gateway_secure_access -outfile/var/tmp/ns_gateway_secure_access_outputNetScalerは、ファイルからコマンドを1つずつ実行します。コマンドが失敗すると、次のコマンドに進みます。
リソースが存在するか、ステップ 6 で入力したパラメータのいずれかが正しくない場合、コマンドは失敗する可能性があります。
- すべてのコマンドが正常に完了したことを確認します。
注:
エラーが発生しても、NetScalerは残りのコマンドを実行し、リソースを部分的に作成、更新、バインドします。したがって、いずれかのパラメータが正しくないために予期しないエラーが発生した場合は、最初から構成をやり直すことをお勧めします。
WebアプリとSaaSアプリ用の既存のNetScaler Gateway構成の更新
ns_gateway_secure_access_update.shこのスクリプトを既存のNetScaler Gatewayで使用して、WebアプリとSaaSアプリの構成を更新できます。ただし、既存の構成(NetScaler Gatewayバージョン14.1~4.42以降)を手動で更新する場合は、 サンプルコマンドを使用して既存のNetScaler Gateway構成を更新してください。また、NetScaler Gateway仮想サーバーとセッションアクションの設定を更新する必要があります。
注:
NetScaler Gateway 14.1~25.56以降では、NetScaler Gateway CLIまたはGUIを使用してNetScaler GatewayのSecure Private Accessプラグインを有効にできます。詳しくは、「 NetScaler GatewayでのSecure Private Accessプラグインの有効化」を参照してください。
既存のNetScaler Gateway上のスクリプトを使用して、Secure Private Accessをサポートすることもできます。ただし、このスクリプトは以下を更新しません:
- 既存のNetScaler Gateway 仮想サーバー
- NetScaler Gatewayにバインドされた既存のセッションアクションとセッションポリシー
実行前に各コマンドを確認し、ゲートウェイ構成のバックアップを作成してください。
NetScaler Gateway 仮想サーバー設定
既存のNetScaler Gateway仮想サーバーを追加または更新するときは、次のパラメーターが定義済みの値に設定されていることを確認してください。サンプルコマンドについては、「 既存のNetScaler Gateway構成を更新するコマンド例」を参照してください。
仮想サーバーの追加:
- tcpProfileName: nstcp_default_XA_XD_profile
- 展開タイプ:ICA_STOREFRONT (コマンドでのみ使用可能)
add vpn vserver - icaOnly:オフ
仮想サーバーの更新:
- tcpProfileName: nstcp_default_XA_XD_profile
- icaOnly:オフ
NetScaler Gateway のセッションアクション設定
セッションアクションは、セッションポリシーを使用してゲートウェイ仮想サーバーにバインドされます。セッションアクションを作成または更新するときは、次のパラメータが定義された値に設定されていることを確認してください。サンプルコマンドについては、「 既存のNetScaler Gateway構成を更新するコマンド例」を参照してください。
-
transparentInterception: OFF -
SSO: ON -
ssoCredential: PRIMARY -
useMIP: NS -
useIIP: OFF -
icaProxy: OFF -
wihome:"https://storefront.mydomain.com/Citrix/MyStoreWeb"-実際のストア URL に置き換えます。/Citrix/MyStoreWebストアへのパスはオプションです。 -
ClientChoices: OFF -
ntDomain: mydomain.com-SSO に使用 (オプション) -
defaultAuthorizationAction: ALLOW -
authorizationGroup: SecureAccessGroup (このグループが作成されていることを確認してください。このグループはSecure Private Access固有の認証ポリシーをバインドするために使用されています) -
clientlessVpnMode: ON -
clientlessModeUrlEncoding: TRANSPARENT -
SecureBrowse: ENABLED -
Storefronturl:"https://storefront.mydomain.com" -
sfGatewayAuthType: ドメイン
既存のNetScaler Gateway構成を更新するコマンドの例
仮想サーバーを追加/更新するには:
add vpn vserver SecureAccess_Gateway SSL 999.999.999.999 443 -Listenpolicy NONE -tcpProfileName nstcp_default_XA_XD_profile -deploymentType ICA_STOREFRONT -vserverFqdn gateway.mydomain.com -authnProfile auth_prof_name -icaOnly OFFset vpn vserver SecureAccess_Gateway -icaOnly OFF
セッションアクションを追加するには:
add vpn sessionAction AC_OSspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domainadd vpn sessionAction AC_WBspaonprem -transparentInterception OFF -defaultAuthorizationAction ALLOW -authorizationGroup SecureAccessGroup -SSO ON -ssoCredential PRIMARY -useMIP NS -useIIP OFF -icaProxy OFF -wihome "https://storefront.gwonprem.corp/Citrix/SPAWeb" -ClientChoices OFF -ntDomain gwonprem.corp -clientlessVpnMode ON -clientlessModeUrlEncoding TRANSPARENT -SecureBrowse ENABLED -storefronturl "https://storefront.gwonprem.corp" -sfGatewayAuthType domain
セッションポリシーを追加するには:
add vpn sessionPolicy PL_OSspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\")" AC_OSspaonpremadd vpn sessionPolicy PL_WBspaonprem "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"CitrixReceiver\").NOT && HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"plugin\").NOT" AC_WBspaonprem
セッションポリシーを VPN 仮想サーバーにバインドするには:
bind vpn vserver SecureAccess_Gateway -policy PL_OSspaonprem -priority 111 -gotoPriorityExpression NEXT -type REQUESTbind vpn vserver SecureAccess_Gateway -policy PL_WBspaonprem -priority 110 -gotoPriorityExpression NEXT -type REQUEST
セッションアクションパラメータの詳細については、 VPN-SessionActionを参照してください。
追加情報
Secure Private Access用NetScaler Gatewayの詳細については、以下のトピックを参照してください: