NetScaler Gateway e XenMobile

July 5, 2019

Contributed by: C

Quando você configura o NetScaler Gateway usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos localizados na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o NetScaler Gateway.

Você configura o NetScaler Gateway para uso com o XenMobile Server exportando um script do XenMobile executado no NetScaler Gateway.

Pré-requisitos para usar o script de configuração do NetScaler Gateway

Requisitos do NetScaler:

NetScaler (versão mínima 11.0, Compilação 70.12).
O endereço IP do NetScaler deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
O endereço IP do NetScaler Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
O DNS deve poder resolver domínios públicos.
O NetScaler deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consulte https://support.citrix.com/article/CTX126049.
Um certificado SSL do NetScaler Gateway deve estar carregado e instalado no NetScaler. Para obter informações, consulte https://support.citrix.com/article/CTX136023.

Requisitos do XenMobile:

XenMobile Server (versão mínima 10.6).
O servidor LDAP deve estar configurado.

Configurar a autenticação para o acesso de dispositivos remotos à rede interna

No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Settings é exibida.
Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida. No exemplo a seguir, existe uma instância do NetScaler Gateway.
Defina estas configurações:
- Autenticação: selecione se a autenticação deve ser ativada. O padrão é I.
- Entregar certificado de usuário para autenticação: selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub para que o NetScaler Gateway manipule a autenticação de certificado cliente. O padrão é O.
- Provedor de credenciais: na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulte Provedores de credenciais.
Clique em Salvar.

Adicionar uma instância do NetScaler Gateway

Depois de salvar as configurações de autenticação, adicione uma instância do NetScaler Gateway ao XenMobile.

No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.
Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida.
Clique em Adicionar. A página Adicionar novo NetScaler Gateway é exibida.
Defina estas configurações:
- Nome: digite um nome para a instância do NetScaler Gateway.
- Alias: inclua opcionalmente um nome de alias para o NetScaler Gateway.
- URL externa: digite a URL acessível publicamente do NetScaler Gateway. Por exemplo, https://receiver.com.
- Tipo de login: escolha um tipo de login. Os tipos incluem Somente domínio, Somente token de segurança, Domínio e token de segurança, Certificado, Certificado e domínio e Certificado e token de segurança. A configuração padrão para o campo Senha obrigatória muda com base no Tipo de login selecionado. O padrão é Somente domínio.
Se você tiver vários domínios, use Certificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o NetScaler Gateway, consulte Configurar a autenticação para vários domínios.

Se você usar Certificado e token de segurança, não necessárias configurações adicionais no NetScaler Gateway para dar suporte ao Secure Hub. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.

Para obter mais informações, consulte Autenticação no Manual de implantação.
- Senha obrigatória: selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com o Tipo de login escolhido.
- Definir como padrão: selecione se esse NetScaler Gateway deve ser usado como padrão. O padrão é O.
- Exportar script de configuração: clique no botão para exportar um pacote de configuração carregado no NetScaler Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um NetScaler Gateway local para uso com o XenMobile Server”, após estas etapas.
- URL de retorno de chamada e IP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulte Adicionar uma URL de retorno de chamada ao IP virtual da VPN do NetScaler Gateway neste artigo.
Clique em Salvar.

O novo NetScaler Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.

Configurar um NetScaler Gateway para uso com o XenMobile Server

Para configurar um NetScaler Gateway local para uso com o XenMobile Server, realize as seguintes etapas gerais, detalhadas neste artigo:

Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.
Verifique se o seu ambiente atende aos pré-requisitos.
Atualize o script do seu ambiente.
Execute o script no NetScaler.
Teste a configuração.

O script configura essas configurações do NetScaler Gateway exigidas pelo XenMobile:

Servidores NetScaler Gateway necessários para MDM e MAM
Políticas de sessão para os servidores virtuais do NetScaler Gateway
Detalhes do XenMobile Server
Políticas de autenticação e ações para o servidor virtual NSG. O script descreve as definições de configuração de LDAP.
Ações e políticas de tráfego para o servidor proxy
Perfil de acesso sem cliente
Registro de DNS local estático no NetScaler
Outras associações: política de serviço, certificado de CA

O script não manipula a seguinte configuração:

Balanceamento de carga do Exchange
Balanceamento de carga do ShareFile
Configuração de proxy ICA
Descarga de SSL

Para baixar, atualizar e executar o script

Se estiver adicionando um NetScaler Gateway, clique em Exportar script de configuração na página Adicionar novo NetScaler Gateway.

Ou, se você adicionar uma instância do NetScaler Gateway e clicar em Salvar antes de exportar o script, retorne à página Configurações > NetScaler Gateway, selecione o NetScaler, clique em Exportar script de configuração e, em seguida, clique em Download.

Depois de clicar em Exportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:
- Arquivo Leiame com instruções detalhadas
- Script que contém comandos da CLI do NetScaler usados para configurar os componentes necessários no NetScaler
- Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
- Script que contém os comandos da CLI do NetScaler para remover a configuração do NetScaler
Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.
Execute o script editado no bash shell NetScaler, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:

/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

Quando o script for concluído, as seguintes linhas aparecerão.

Testar a configuração

Valide que o servidor virtual do NetScaler Gateway mostra um estado de UP.
Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de UP.
Abra um navegador da Web, conecte-se à URL do NetScaler Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado
Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.

Adicionar uma URL de retorno de chamada ao IP virtual da VPN do NetScaler Gateway

Depois de adicionar a instância do NetScaler Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do NetScaler Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.

Em Configurações > NetScaler Gateway, selecione o NetScaler Gateway e clique em Editar.
Na tabela, clique em Adicionar.
Para URL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do NetScaler Gateway.

Certifique-se de que a URL de retono de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do NetScaler Gateway ou alguma outra URL.
Digite o endereço IP virtual do NetScaler Gateway e clique em Salvar.

Configurar a autenticação para vários domínios

Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o NetScaler Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente NetScaler para XenMobile apenas uma vez.)

Configuração do NetScaler Gateway

Para configurar políticas de autenticação do NetScaler Gateway e uma política de sessão para um ambiente de vários domínios:

No utilitário de configuração do NetScaler Gateway, na guia Configuration, expanda NetScaler Gateway > Policies > Authentication.
No painel de navegação, clique em LDAP.
Clique para editar o perfil LDAP. Mude o Server Logon Name Attribute para userPrincipalName ou para o atributo que você deseja usar para pesquisas. Anote o atributo que você especificar. Você deve fornecê-lo ao definir as configurações de LDAP no console XenMobile.
Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
Na política de sessão associada ao servidor virtual NetScaler Gateway, navegue até Edit session profile > Published Applications. Certifique-se de que Single Sign-On Domain esteja em branco.

Configuração do XenMobile Server

Para configurar o LDAP para um ambiente XenMobile de vários domínios:

No console XenMobile, vá para Configurações > LDAP e adicione ou edite um diretório.
Forneça as informações.
- Em Alias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo: domain1.com,domain2.com,domain3.com
- Certifique-se de que o campo Pesquisa de usuário por corresponde ao Server Logon Name Attribute especificado na política LDAP do NetScaler Gateway.

Suprimir solicitações de conexão de entrada para URLs específicas

Se o Gateway Citrix em seu ambiente estiver configurado para descarga de SSL, você talvez prefira que o gateway suprima solicitações de conexão de entrada para URLs específicas.

Se preferir manter essa segurança extra, configure os dois vServers do balanceador de carga MDM (um para a porta 443 e outro para a porta 8443) no Citrix Gateway. Use as seguintes informações como um modelo para suas configurações.

Importante:

As atualizações a seguir são apenas para um Citrix Gateway configurado para descarga de SSL.

Crie um conjunto de padrões com o nome XMS_DropURLs.
```
add policy patset XMS_DropURLs
```

Adicione as seguintes URLs ao novo conjunto de padrões. Personalize a lista conforme necessário.

bind policy patset XMS_DropURLs /zdm/shp/console -index 6

bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5

bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4

bind policy patset XMS_DropURLs /zdm/log.jsp -index 3

bind policy patset XMS_DropURLs /zdm/login.jsp -index 2

bind policy patset XMS_DropURLs /zdm/console -index 1

Crie uma política para suprimir todo o tráfego para essas URLs, a menos que a solicitação de conexão se origine da sub-rede especificada.

add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT &&
HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed"

Vincule a nova política aos dois vServers do balanceador de carga MDM (portas 443 e 8443).

bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST

bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST

The official version of this content is in English. Some of the Citrix documentation content is machine translated for your convenience only. Citrix has no control over machine-translated content, which may contain errors, inaccuracies or unsuitable language. No warranty of any kind, either expressed or implied, is made as to the accuracy, reliability, suitability, or correctness of any translations made from the English original into any other language, or that your Citrix product or service conforms to any machine translated content, and any warranty provided under the applicable end user license agreement or terms of service, or any other agreement with Citrix, that the product or service conforms with any documentation shall not apply to the extent that such documentation has been machine translated. Citrix will not be held responsible for any damage or issues that may arise from using machine-translated content.

NetScaler Gateway e XenMobile

July 5, 2019

Contributed by: C

Neste artigo

Pré-requisitos para usar o script de configuração do NetScaler Gateway
Configurar a autenticação para o acesso de dispositivos remotos à rede interna
Adicionar uma instância do NetScaler Gateway
Configurar um NetScaler Gateway para uso com o XenMobile Server
Adicionar uma URL de retorno de chamada ao IP virtual da VPN do NetScaler Gateway
Configurar a autenticação para vários domínios
Suprimir solicitações de conexão de entrada para URLs específicas

Edit this article