Citrix Gateway e XenMobile

April 23, 2020

Contribuíram por: C

Quando você configura o Citrix Gateway usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos localizados na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o Citrix Gateway.

Você configura o Citrix Gateway para uso com o XenMobile Server exportando um script do XenMobile executado no Citrix Gateway.

Pré-requisitos para usar o script de configuração do Citrix Gateway

Requisitos do Citrix ADC:

Citrix ADC (versão mínima 11.0, Compilação 70.12).
O endereço IP do Citrix ADC deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
O endereço IP do Citrix ADC Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
O DNS deve poder resolver domínios públicos.
O Citrix ADC deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consulte https://support.citrix.com/article/CTX126049.
Um certificado SSL do Citrix Gateway é carregado e instalado no Citrix ADC. Para obter informações, consulte https://support.citrix.com/article/CTX136023.

Requisitos do XenMobile:

XenMobile Server (versão mínima 10.6).
O servidor LDAP deve estar configurado.

Configurar a autenticação para o acesso de dispositivos remotos à rede interna

No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Settings é exibida.
Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida. No exemplo a seguir, existe uma instância do Citrix Gateway.
Defina estas configurações:
- Autenticação: selecione se a autenticação deve ser ativada. O padrão é I.
- Entregar certificado de usuário para autenticação: selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub para que o Citrix Gateway manipule a autenticação de certificado cliente. O padrão é O.
- Provedor de credenciais: na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulte Provedores de credenciais.
Clique em Salvar.

Adicionar uma instância do Citrix Gateway

Depois de salvar as configurações de autenticação, adicione uma instância do Citrix Gateway ao XenMobile.

No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.
Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida.
Clique em Adicionar. A página Adicionar novo NetScaler Gateway é exibida.
Defina estas configurações:
- Nome: digite um nome para a instância do Citrix Gateway.
- Alias: inclua opcionalmente um nome de alias para o Citrix Gateway.
- URL externa: digite a URL acessível publicamente do Citrix Gateway. Por exemplo, https://receiver.com.
- Tipo de login: escolha um tipo de login. Os tipos incluem Somente domínio, Somente token de segurança, Domínio e token de segurança, Certificado, Certificado e domínio e Certificado e token de segurança. A configuração padrão para o campo Senha obrigatória muda com base no Tipo de login selecionado. O padrão é Somente domínio.
Se você tiver vários domínios, use Certificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o Citrix Gateway, consulte Configurar a autenticação para vários domínios.

Se você usar Certificado e token de segurança, não necessárias configurações adicionais no Citrix Gateway para dar suporte ao Secure Hub. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.

Para obter mais informações, consulte Autenticação no Manual de implantação.
- Senha obrigatória: selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com o Tipo de login escolhido.
- Definir como padrão: selecione se esse Citrix Gateway deve ser usado como padrão. O padrão é O.
- Exportar script de configuração: clique no botão para exportar um pacote de configuração carregado no Citrix Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um Citrix Gateway local para uso com o XenMobile Server”, após estas etapas.
- URL de retorno de chamada e IP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulte Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway neste artigo.
Clique em Salvar.

O novo Citrix Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.

Configurar um Citrix Gateway para uso com o XenMobile Server

Para configurar um Citrix Gateway local para uso com o XenMobile Server, realize as seguintes etapas gerais, detalhadas neste artigo:

Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.
Verifique se o seu ambiente atende aos pré-requisitos.
Atualize o script do seu ambiente.
Execute o script no Citrix ADC.
Teste a configuração.

O script configura essas configurações do Citrix Gateway exigidas pelo XenMobile:

Servidores Citrix Gateway necessários para MDM e MAM
Políticas de sessão para os servidores virtuais do Citrix Gateway
Detalhes do XenMobile Server
Políticas de autenticação e ações para o servidor virtual NSG. O script descreve as definições de configuração de LDAP.
Ações e políticas de tráfego para o servidor proxy
Perfil de acesso sem cliente
Registro DNS local estático no Citrix ADC
Outras associações: política de serviço, certificado de CA

O script não manipula a seguinte configuração:

Balanceamento de carga do Exchange
Balanceamento de carga do Citrix Files
Configuração de proxy ICA
Descarga de SSL

Para baixar, atualizar e executar o script

Se estiver adicionando um Citrix Gateway, clique em Exportar script de configuração na página Adicionar novo Citrix Gateway.

Ou, se você adicionar uma instância do Citrix Gateway e clicar em Salvar antes de exportar o script, retorne à página Configurações > NetScaler Gateway, selecione o Citrix ADC, clique em Exportar script de configuração e, em seguida, clique em Download.

Depois de clicar em Exportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:
- Arquivo Leiame com instruções detalhadas
- Script que contém comandos da CLI do Citrix ADC usados para configurar os componentes necessários no Citrix ADC
- Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
- Script que contém os comandos da CLI do Citrix ADC para remover a configuração do Citrix ADC
Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.
Execute o script editado no bash shell do Citrix ADC, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:

/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

Quando o script for concluído, as seguintes linhas aparecerão.

Testar a configuração

Valide que o servidor virtual do Citrix Gateway mostra um estado de UP.
Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de UP.
Abra um navegador da Web, conecte-se à URL do Citrix Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado
Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.

Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway

Depois de adicionar a instância do Citrix Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do Citrix Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.

Em Configurações > NetScaler Gateway, selecione o Citrix Gateway e clique em Editar.
Na tabela, clique em Adicionar.
Para URL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do Citrix Gateway.

Certifique-se de que a URL de retono de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do Citrix Gateway ou alguma outra URL.
Digite o endereço IP virtual do Citrix Gateway e clique em Salvar.

Configurar a autenticação para vários domínios

Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o Citrix Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente Citrix ADC for XenMobile apenas uma vez.)

Configuração do Citrix Gateway

Para configurar políticas de autenticação do Citrix Gateway e uma política de sessão para um ambiente de vários domínios:

No utilitário de configuração do Citrix Gateway, na guia Configuration, expanda NetScaler Gateway > Policies > Authentication.
No painel de navegação, clique em LDAP.
Clique para editar o perfil LDAP. Mude o Server Logon Name Attribute para userPrincipalName ou para o atributo que você deseja usar para pesquisas. Anote o atributo que você especificar. Você deve fornecê-lo ao definir as configurações de LDAP no console XenMobile.
Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
Na política de sessão associada ao servidor virtual Citrix Gateway, navegue até Edit session profile > Published Applications. Certifique-se de que Single Sign-On Domain esteja em branco.

Configuração do XenMobile Server

Para configurar o LDAP para um ambiente XenMobile de vários domínios:

No console XenMobile, vá para Configurações > LDAP e adicione ou edite um diretório.
Forneça as informações.
- Em Alias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo: domain1.com,domain2.com,domain3.com
- Certifique-se de que o campo Pesquisa de usuário por corresponde ao Server Logon Name Attribute especificado na política LDAP do Citrix Gateway.

Suprimir solicitações de conexão de entrada para URLs específicas

Se o Gateway Citrix em seu ambiente estiver configurado para descarga de SSL, você talvez prefira que o gateway suprima solicitações de conexão de entrada para URLs específicas.

Se preferir manter essa segurança extra, configure os dois vServers do balanceador de carga MDM (um para a porta 443 e outro para a porta 8443) no Citrix Gateway. Use as seguintes informações como um modelo para suas configurações.

Importante:

As atualizações a seguir são apenas para um Citrix Gateway configurado para descarga de SSL.

Crie um conjunto de padrões com o nome XMS_DropURLs.
```
add policy patset XMS_DropURLs
```

Adicione as seguintes URLs ao novo conjunto de padrões. Personalize a lista conforme necessário.

bind policy patset XMS_DropURLs /zdm/shp/console -index 6

bind policy patset XMS_DropURLs /zdm/login_xdm_uc.jsp -index 5

bind policy patset XMS_DropURLs /zdm/helper.jsp -index 4

bind policy patset XMS_DropURLs /zdm/log.jsp -index 3

bind policy patset XMS_DropURLs /zdm/login.jsp -index 2

bind policy patset XMS_DropURLs /zdm/console -index 1

Crie uma política para suprimir todo o tráfego para essas URLs, a menos que a solicitação de conexão se origine da sub-rede especificada.

add responder policy XMS_DROP_pol “CLIENT.IP.SRC.IN_SUBNET(192.168.0.0/24).NOT &&
HTTP.REQ.URL.CONTAINS_ANY(”XMS_DropURLs”)” DROP -comment "Allow only subnet 192.168.0.0/24 to access these URLs. All other connections are DROPed"

Vincule a nova política aos dois vServers do balanceador de carga MDM (portas 443 e 8443).

bind lb vserver _XM_LB_MDM_XenMobileMDM_443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST

bind lb vserver _XM_LB_MDM_XenMobileMDM_8443 -policyName XMS_DROP_pol -priority 100 -gotoPriorityExpression END -type REQUEST

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Citrix é traduzida automaticamente para sua conveniência. A Citrix não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Citrix com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Citrix, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Citrix não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Citrix Gateway e XenMobile

April 23, 2020

Contribuíram por: C

Neste artigo

Pré-requisitos para usar o script de configuração do Citrix Gateway
Configurar a autenticação para o acesso de dispositivos remotos à rede interna
Adicionar uma instância do Citrix Gateway
Configurar um Citrix Gateway para uso com o XenMobile Server
Adicionar uma URL de retorno de chamada ao IP virtual da VPN do Citrix Gateway
Configurar a autenticação para vários domínios
Suprimir solicitações de conexão de entrada para URLs específicas

Edit this article