NetScaler Gateway e XenMobile

Quando você configura o NetScaler Gateway usando o XenMobile, estabelece o mecanismo de autenticação para o acesso remoto do dispositivo à rede interna. Essa funcionalidade permite que os aplicativos em um dispositivo móvel acessem servidores corporativos localizados na intranet. O XenMobile cria uma micro VPN entre os aplicativos no dispositivo e o NetScaler Gateway.

Você configura o NetScaler Gateway para uso com o XenMobile Server exportando um script do XenMobile executado no NetScaler Gateway.

Pré-requisitos para usar o script de configuração do NetScaler Gateway

Requisitos do NetScaler:

• NetScaler (versão mínima 11.0, Compilação 70.12).
• O endereço IP do NetScaler deve estar configurado e ter conectividade com o servidor LDAP, a menos que o LDAP tenha balanceamento de carga.
• O endereço IP do NetScaler Subnet (SNIP) deve estar configurado, ter conectividade com os servidores back-end necessários e ter acesso à rede pública por meio da porta 8443/TCP.
• O DNS deve poder resolver domínios públicos.
• O NetScaler deve estar licenciado com licenças de Plataforma/Universais ou de Avaliação. Para obter informações, consulte https://support.citrix.com/article/CTX126049.
• Um certificado SSL do NetScaler Gateway deve estar carregado e instalado no NetScaler. Para obter informações, consulte https://support.citrix.com/article/CTX136023.

Requisitos do XenMobile:

• XenMobile Server (versão mínima 10.6).
• O servidor LDAP deve estar configurado.

Configurar a autenticação para o acesso de dispositivos remotos à rede interna

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

2. Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida. No exemplo a seguir, existe uma instância do NetScaler Gateway.

   

3. Defina estas configurações:

   • Autenticação: selecione se a autenticação deve ser ativada. O padrão é I.
   • Entregar certificado de usuário para autenticação: selecione se o XenMobile deve compartilhar o certificado de autenticação com o Secure Hub para que o NetScaler Gateway manipule a autenticação de certificado cliente. O padrão é O.
   • Provedor de credenciais: na lista, clique no provedor de credenciais a ser usado. Para obter mais informações, consulte Provedores de credenciais.

4. Clique em Salvar.

Adicionar uma instância do NetScaler Gateway

Depois de salvar as configurações de autenticação, adicione uma instância do NetScaler Gateway ao XenMobile.

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é aberta.

2. Em Servidor, clique em NetScaler Gateway. A página NetScaler Gateway é exibida.

3. Clique em Adicionar. A página Adicionar novo NetScaler Gateway é exibida.

   

4. Defina estas configurações:

   • Nome: digite um nome para a instância do NetScaler Gateway.
   • Alias: inclua opcionalmente um nome de alias para o NetScaler Gateway.
   • URL externa: digite a URL acessível publicamente do NetScaler Gateway. Por exemplo, https://receiver.com.
   • Tipo de login: escolha um tipo de login. Os tipos incluem Somente domínio, Somente token de segurança, Domínio e token de segurança, Certificado, Certificado e domínio e Certificado e token de segurança. A configuração padrão para o campo Senha obrigatória muda com base no Tipo de login selecionado. O padrão é Somente domínio.

   Se você tiver vários domínios, use Certificado e domínio. Para obter mais informações sobre como configurar a autenticação de vários domínios com o XenMobile e o NetScaler Gateway, consulte Configurar a autenticação para vários domínios.

   Se você usar Certificado e token de segurança, não necessárias configurações adicionais no NetScaler Gateway para dar suporte ao Secure Hub. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.

   Para obter mais informações, consulte Autenticação no Manual de implantação.

   • Senha obrigatória: selecione se a autenticação de senha deve ser exigida. O padrão varia de acordo com o Tipo de login escolhido.
   • Definir como padrão: selecione se esse NetScaler Gateway deve ser usado como padrão. O padrão é O.
   • Exportar script de configuração: clique no botão para exportar um pacote de configuração carregado no NetScaler Gateway para defini-lo com as configurações do XenMobile. Para obter informações, consulte “Configurar um NetScaler Gateway local para uso com o XenMobile Server”, após estas etapas.
   • URL de retorno de chamada e IP virtual: salve suas configurações antes de adicionar esses campos. Para obter informações, consulte Adicionar uma URL de retorno de chamada e um IP virtual de VPN do NetScaler Gateway, neste artigo.

5. Clique em Salvar.

   O novo NetScaler Gateway é adicionado e exibido na tabela. Para editar ou excluir uma instância, clique no nome na lista.

Configurar um NetScaler Gateway para uso com o XenMobile Server

Para configurar um NetScaler Gateway local para uso com o XenMobile Server, realize as seguintes etapas gerais, detalhadas neste artigo:

1. Baixe um script e os arquivos relacionados do XenMobile Server. Consulte o arquivo leiame fornecido com o script para obter as instruções detalhadas mais recentes.

2. Verifique se o seu ambiente atende aos pré-requisitos.

3. Atualize o script do seu ambiente.

4. Execute o script no NetScaler.

5. Teste a configuração.

O script configura essas configurações do NetScaler Gateway exigidas pelo XenMobile:

• Servidores NetScaler Gateway necessários para MDM e MAM
• Políticas de sessão para os servidores virtuais do NetScaler Gateway
• Detalhes do XenMobile Server
• Políticas de autenticação e ações para o servidor virtual NSG. O script descreve as definições de configuração de LDAP.
• Ações e políticas de tráfego para o servidor proxy
• Perfil de acesso sem cliente
• Registro de DNS local estático no NetScaler
• Outras associações: política de serviço, certificado de CA

O script não manipula a seguinte configuração:

• Balanceamento de carga do Exchange
• Balanceamento de carga do ShareFile
• Configuração de proxy ICA
• Descarga de SSL

Para baixar, atualizar e executar o script

1. Se estiver adicionando um NetScaler Gateway, clique em Exportar script de configuração na página Adicionar novo NetScaler Gateway.

   

   Ou, se você adicionar uma instância do NetScaler Gateway e clicar em Salvar antes de exportar o script, retorne à página Configurações > NetScaler Gateway, selecione o NetScaler, clique em Exportar script de configuração e, em seguida, clique em Download.

   

   Depois de clicar em Exportar script de configuração, o XenMobile criará um pacote de script .tar.gz. O pacote de script inclui:

   • Arquivo Leiame com instruções detalhadas
   • Script que contém comandos da CLI do NetScaler usados para configurar os componentes necessários no NetScaler
   • Certificado de CA de raiz pública e o certificado de CA intermediária do XenMobile Server (esses certificados, para descarga de SSL, não são necessários para a versão atual)
   • Script que contém os comandos da CLI do NetScaler para remover a configuração do NetScaler

2. Edite o script (NSGConfigBundle_CREATESCRIPT.txt) para substituir todos os espaços reservados por detalhes do seu ambiente.

   

3. Execute o script editado no bash shell NetScaler, conforme descrito no arquivo leiame incluído no pacote de script. Por exemplo:

   /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/NSGConfigBundle_CREATESCRIPT.txt"

   

   Quando o script for concluído, as seguintes linhas aparecerão.

   

Testar a configuração

1. Valide que o servidor virtual do NetScaler Gateway mostra um estado de UP.

   

2. Valide que o servidor virtual de balanceamento de carga proxy mostra um estado de UP.

   

3. Abra um navegador da Web, conecte-se à URL do NetScaler Gateway e tente autenticar. Se a autenticação falhar, esta mensagem será exibida: HTTP Status 404 - Não encontrado

4. Registre um dispositivo e verifique se ele obtém os registros de MDM e MAM.

Adicionar uma URL de retorno de chamada ao IP virtual da VPN do NetScaler Gateway

Depois de adicionar a instância do NetScaler Gateway, você poderá adicionar uma URL de retorno de chamada e especificar um endereço IP virtual do NetScaler Gateway. Essas configurações são opcionais, mas podem ser definidas para obter segurança extra, especialmente quando o XenMobile Server está na DMZ.

1. Em Configurações > NetScaler Gateway, selecione o NetScaler Gateway e clique em Editar.

2. Na tabela, clique em Adicionar.

3. Para URL de retorno de chamada, digite o nome de domínio totalmente qualificado (FQDN). A URL de retorno de chamada verifica se uma solicitação é proveniente do NetScaler Gateway.

   Certifique-se de que a URL de retono de chamada seja resolvida para um endereço IP acessível no XenMobile Server. A URL de retorno de chamada pode ser uma URL externa do NetScaler Gateway ou alguma outra URL.

4. Digite o endereço IP virtual do NetScaler Gateway e clique em Salvar.

Configurar a autenticação para vários domínios

Se você tiver várias instâncias do XenMobile Server, como ambientes de teste, desenvolvimento e produção, deverá configurar o NetScaler Gateway para os ambientes adicionais manualmente. (Você pode usar o assistente NetScaler para XenMobile apenas uma vez.)

Configuração do NetScaler Gateway

Para configurar políticas de autenticação do NetScaler Gateway e uma política de sessão para um ambiente de vários domínios:

1. No utilitário de configuração do NetScaler Gateway, na guia Configuration, expanda NetScaler Gateway > Policies > Authentication.
2. No painel de navegação, clique em LDAP.

3. Clique para editar o perfil LDAP. Mude o Server Logon Name Attribute para userPrincipalName ou para o atributo que você deseja usar para pesquisas. Anote o atributo que você especificar. Você deve fornecê-lo ao definir as configurações de LDAP no console XenMobile.

   

4. Repita essas etapas para cada política LDAP. Uma política LDAP separada é necessária para cada domínio.
5. Na política de sessão associada ao servidor virtual NetScaler Gateway, navegue até Edit session profile > Published Applications. Certifique-se de que Single Sign-On Domain esteja em branco.

Configuração do XenMobile Server

Para configurar o LDAP para um ambiente XenMobile de vários domínios:

1. No console XenMobile, vá para Configurações > LDAP e adicione ou edite um diretório.

   

2. Forneça as informações.

   • Em Alias de domínio, especifique cada domínio a ser usado para autenticação de usuário. Separe os domínios com uma vírgula e não use espaços entre os domínios. Por exemplo: domain1.com,domain2.com,domain3.com

   • Certifique-se de que o campo Pesquisa de usuário por corresponde ao Server Logon Name Attribute especificado na política LDAP do NetScaler Gateway.