Citrix Gateway e XenMobile
Quando você configura o Citrix Gateway usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos localizados na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o Citrix Gateway.
Você configura o Citrix Gateway para uso com o XenMobile exportando um script do XenMobile executado no Citrix Gateway.
Pré-requisitos para usar o script de configuração do Citrix Gateway
Requisitos do Citrix ADC:
- Citrix ADC (versão mínima 11.0, Compilação 70.12).
- O endereço IP do Citrix ADC deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
- O endereço IP do Citrix ADC Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
- O DNS deve poder resolver domínios públicos.
- O Citrix ADC deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consulte https://support.citrix.com/article/CTX126049.
- Um certificado SSL do Citrix Gateway é carregado e instalado no Citrix ADC. Para obter informações, consulte https://support.citrix.com/article/CTX136023.
Requisitos do XenMobile:
- XenMobile Server (versão mínima 10.6).
- O servidor LDAP deve estar configurado.
Configurar a autenticação para o acesso de dispositivos remotos à rede interna
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Settings é exibida.
-
Em Servidor, clique em Citrix Gateway. A página do Citrix Gateway é exibida. No exemplo a seguir, existe uma instância do Citrix Gateway.
-
Defina estas configurações:
- Autenticação: selecione se a autenticação deve ser ativada. O padrão é I.
- Entregar certificado de usuário para autenticação: selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub, para habilitar o Citrix Gateway para manipular a autenticação de certificado cliente. O padrão é O.
- Provedor de credenciais: na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulte Provedores de credenciais.
-
Clique em Salvar.
Adicionar uma instância do Citrix Gateway
Depois de salvar as configurações de autenticação, adicione uma instância do Citrix Gateway ao XenMobile.
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.
-
Em Servidor, clique em Citrix Gateway. A página do Citrix Gateway é exibida.
-
Clique em Adicionar. A página Adicionar novo Citrix Gateway é exibida.
-
Defina estas configurações:
- Nome: digite um nome para a instância do Citrix Gateway.
- Alias: inclua opcionalmente um nome de alias para o Citrix Gateway.
-
URL externa: digite a URL acessível publicamente do Citrix Gateway. Por exemplo,
https://receiver.com
. - Tipo de login: escolha um tipo de login. Os tipos incluem Somente domínio, Somente token de segurança, Domínio e token de segurança, Certificado, Certificado e domínio e Certificado e token de segurança. A configuração padrão para o campo Senha obrigatória muda com base no Tipo de login selecionado. O padrão é Somente domínio.
Se você tiver vários domínios, use Certificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o Citrix Gateway, consulte Configurar a autenticação para vários domínios.
Se você usar Certificado e token de segurança, não necessárias configurações adicionais no Citrix Gateway para dar suporte ao Secure Hub. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.
Para obter mais informações, consulte Autenticação no Manual de implantação.
- Senha obrigatória: selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com o Tipo de login escolhido.
- Definir como padrão: selecione se esse Citrix Gateway deve ser usado como padrão. O padrão é O.
- Exportar script de configuração: clique no botão para exportar um pacote de configuração carregado no Citrix Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um Citrix Gateway local para uso com o XenMobile Server”, após estas etapas.
- URL de retorno de chamada e IP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulte Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway neste artigo.
-
Clique em Salvar.
O novo Citrix Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.
Configurar um Citrix Gateway para uso com o XenMobile Server
Para configurar um Citrix Gateway local para uso com o XenMobile, realize as seguintes etapas gerais, detalhadas neste artigo:
-
Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.
-
Verifique se o seu ambiente atende aos pré-requisitos.
-
Atualize o script do seu ambiente.
-
Execute o script no Citrix ADC.
-
Teste a configuração.
O script configura essas configurações do Citrix Gateway exigidas pelo XenMobile:
- Servidores Citrix Gateway necessários para MDM e MAM
- Políticas de sessão para os servidores virtuais do Citrix Gateway
- Detalhes do XenMobile Server
- Políticas de autenticação e ações para o servidor virtual Citrix Gateway. O script descreve as definições de configuração de LDAP.
- Ações e políticas de tráfego para o servidor proxy
- Perfil de acesso sem cliente
- Registro DNS local estático no Citrix ADC
- Outras associações: política de serviço, certificado de CA
O script não manipula a seguinte configuração:
- Balanceamento de carga do Exchange
- Balanceamento de carga do Citrix Files
- Configuração de proxy ICA
- Descarga de SSL
Para baixar, atualizar e executar o script
-
Se estiver adicionando um Citrix Gateway, clique em Exportar script de configuração na página Adicionar novo Citrix Gateway.
Ou, se você adicionar uma instância do Citrix Gateway e clicar em Salvar antes de exportar o script, retorne à página Configurações > Citrix Gateway, selecione o Citrix ADC, clique em Exportar script de configuração e, em seguida, clique em Download.
Depois de clicar em Exportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:
- Arquivo Leiame com instruções detalhadas
- Script que contém comandos da CLI do Citrix ADC usados para configurar os componentes necessários no Citrix ADC
- Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
- Script que contém os comandos da CLI do Citrix ADC para remover a configuração do Citrix ADC
-
Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.
-
Execute o script editado no bash shell do Citrix ADC, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"
Quando o script for concluído, as seguintes linhas aparecerão.
Testar a configuração
-
Valide que o servidor virtual do Citrix Gateway mostra um estado de UP.
-
Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de UP.
-
Abra um navegador da Web, conecte-se à URL do Citrix Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado
-
Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.
Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway
Depois de adicionar a instância do Citrix Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do Citrix Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.
-
Em Configurações > Citrix Gateway, selecione o Citrix Gateway e clique em Editar.
-
Na tabela, clique em Adicionar.
-
Para URL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do Citrix Gateway.
Certifique-se de que a URL de retorno de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do Citrix Gateway ou alguma outra URL.
-
Digite o endereço IP virtual do Citrix Gateway e clique em Salvar.
Configurar a autenticação para vários domínios
Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente Citrix ADC for XenMobile apenas uma vez.)
Configuração do Citrix Gateway
Para configurar políticas de autenticação do Citrix Gateway e uma política de sessão para um ambiente de vários domínios:
- No utilitário de configuração do Citrix Gateway, na guia Configuration, expanda Citrix Gateway > Policies > Authentication.
- No painel de navegação, clique em LDAP.
-
Clique para editar o perfil LDAP. Mude o Server Logon Name Attribute para userPrincipalName ou para o atributo que você deseja usar para pesquisas. Anote o atributo especificado para que você o tenha ao definir as configurações de LDAP no console XenMobile.
- Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
- Na política de sessão associada ao servidor virtual Citrix Gateway, navegue até Edit session profile > Published Applications. Certifique-se de que Single Sign-On Domain esteja em branco.
Configuração do XenMobile Server
Para configurar o LDAP para um ambiente XenMobile de vários domínios:
-
No console XenMobile, vá para Configurações > LDAP e adicione ou edite um diretório.
-
Forneça as informações.
-
Em Alias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo:
domain1.com,domain2.com,domain3.com
-
Certifique-se de que o campo Pesquisa de usuário por corresponde ao Server Logon Name Attribute especificado na política LDAP do Citrix Gateway.
-
Suprimir solicitações de conexão de entrada para URLs específicas
Se o Gateway Citrix em seu ambiente estiver configurado para descarga de SSL, você talvez prefira que o gateway suprima solicitações de conexão de entrada para URLs específicas.
Se preferir manter essa segurança extra, configure os dois servidores virtuais do balanceador de carga MDM (um para a porta 443 e outro para a porta 8443) no Citrix Gateway. Use as seguintes informações como um modelo para suas configurações.
Importante:
As atualizações a seguir são apenas para um Citrix Gateway configurado para descarga de SSL.
-
Crie um conjunto de padrões com o nome
XMS_DropURLs
.add policy patset XMS_DropURLs
-
Adicione as seguintes URLs ao novo conjunto de padrões. Personalize a lista conforme necessário.
bind policy patset XMS_DropURLs /zdm/shp/console -index 6 bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5 bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4 bind policy patset XMS_DropURLs /zdm/log.jsp -index 3 bind policy patset XMS_DropURLs /zdm/login.jsp -index 2 bind policy patset XMS_DropURLs /zdm/console -index 1
-
Crie uma política para suprimir todo o tráfego para essas URLs, a menos que a solicitação de conexão se origine da sub-rede especificada.
add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT && HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed"
-
Vincule a nova política aos dois servidores virtuais do balanceador de carga MDM (portas 443 e 8443).
bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST
Neste artigo
- Pré-requisitos para usar o script de configuração do Citrix Gateway
- Configurar a autenticação para o acesso de dispositivos remotos à rede interna
- Adicionar uma instância do Citrix Gateway
- Configurar um Citrix Gateway para uso com o XenMobile Server
- Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway
- Configurar a autenticação para vários domínios
- Suprimir solicitações de conexão de entrada para URLs específicas