NetScaler Gateway 和 Citrix Endpoint Management
与 Citrix Endpoint Management 集成后,NetScaler Gateway 提供对内部网络和资源的远程设备访问。Citrix Endpoint Management 创建了一个从设备上的应用程序到 NetScaler Gateway 的 Micro VPN。
您可以使用 Citrix Gateway 服务(预览版)或本地 NetScaler Gateway(也称为 NetScaler Gateway)。有关两种 NetScaler Gateway 解决方案的概述,请参阅在 Citrix Endpoint Management 中配置 NetScaler Gateway 的使用。
配置身份验证以便远程设备能够访问内部网络
-
在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。此时将显示设置页面。
-
在服务器下方,单击 NetScaler Gateway。此时将显示 NetScaler Gateway 页面。在以下示例中,存在一个 NetScaler Gateway 实例。
-
配置以下设置:
- 身份验证: 选择是否启用身份验证。默认值为开。
- 提供用于身份验证的用户证书: 选择是否希望 Citrix Endpoint Management 与 Citrix Secure Hub 共享身份验证证书。共享证书使 NetScaler Gateway 能够处理客户证书身份验证。默认值为关。
- 凭据提供程序: 在列表中,单击要使用的凭据提供程序。有关详细信息,请参阅 凭据提供程序。
-
单击保存。
添加 Citrix Gateway 服务实例(预览版)
保存身份验证设置后,将一个 NetScaler Gateway 实例添加到 Citrix Endpoint Management。
-
在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将打开设置页面。
-
在 设置 页面上,滚动到 NetScaler Gateway 磁贴,然后单击 开始安装程序。此时将显示 NetScaler Gateway 页面。
-
选择 Citrix Gateway service (cloud)(Citrix Gateway 服务(云))并指定网关服务的资源位置。
- 网关服务的资源位置:如果您使用 Citrix Secure Mail,则为 必填项。指定 STA 服务的资源位置。资源位置必须包括已配置的 NetScaler Gateway。如果稍后要删除为网关服务配置的资源位置,请更新此设置。
完成这些设置后,单击连接以建立连接。添加了新的 NetScaler Gateway。Citrix Gateway service (cloud)(Citrix Gateway 服务(云))磁贴将显示在设置页面上。要编辑实例,请单击查看更多。如果网关连接器在所选资源位置中不可用,请单击 Add Gateway Connector(添加网关连接器)。按照屏幕上的指导安装网关连接器。也可以稍后添加网关连接器。
-
单击 Save and Export Script(保存并导出脚本)。
- Save and Export Script(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。您可以将包中的脚本上载到 NetScaler Gateway,使用 Citrix Endpoint Management 设置对其进行配置。有关信息,请参阅这些步骤后的“配置本地 NetScaler Gateway 以用于 Citrix Endpoint Management”。
您已经添加了新的 NetScaler Gateway。NetScaler Gateway 图块显示在“设置”页面上。要编辑实例,请单击查看更多。
配置本地 NetScaler Gateway 以与 Citrix Endpoint Management 一起使用
要配置本地 NetScaler Gateway 以与 Citrix Endpoint Management 一起使用,您需要执行以下一般步骤,如以下部分所述。
-
确认您的环境是否满足必备条件。
-
从 Citrix Endpoint Management 控制台导出脚本包。
-
从捆绑包中提取文件。如果您仅在 NetScaler Gateway 上使用经典策略,并且运行的是 Citrix ADC 13.0 或更早版本,请使用文件名中带有“经典”的脚本。如果您正在使用任何高级策略或者运行 Citrix ADC 13.1 或更高版本,请在文件名中使用带“Advanced”的脚本。
-
在 NetScaler Gateway 上运行相应的脚本。请参阅脚本附带的自述文件了解最新的详细说明。
-
测试配置。
这些脚本配置 Citrix Endpoint Management 要求的这些 NetScaler Gateway 设置:
- MDM 和 MAM 需要的 NetScaler Gateway 虚拟服务器
- NetScaler Gateway 虚拟服务器的会话策略
- Citrix Endpoint Management 服务器详情
- 用于证书验证的代理负载平衡器
- NetScaler Gateway 虚拟服务器的身份验证策略和操作。这些脚本描述了 LDAP 配置设置。
- 代理服务器的流量操作和策略
- 无客户端访问配置文件
- NetScaler Gateway 上的静态本地 DNS 记录
- 其他绑定:服务策略、CA 证书
这些脚本不处理以下配置:
- Exchange 负载平衡
- Citrix Files 负载平衡
- ICA 代理配置
- SSL 卸载
使用 NetScaler Gateway 配置脚本的前提条件
Citrix Endpoint Management 要求:
- 在导出脚本包之前,在 Citrix Endpoint Management 中完成 LDAP 和 NetScaler Gateway 配置。如果更改设置,请再次导出脚本捆绑包。
NetScaler Gateway 要求:
- 在 NetScaler Gateway 上使用基于证书的身份验证时,必须在 Citrix ADC 设备上创建 SSL 证书。请参阅在 Citrix ADC 设备上创建和使用 SSL 证书。
- NetScaler Gateway(最低版本 11.0,内部版本号 70.12)。
- 除非 LDAP 实现负载平衡,否则 NetScaler Gateway IP 地址已配置好并且可以连接到 LDAP 服务器。
- NetScaler Gateway 子网 (SNIP) IP 地址已配置完毕,可以连接到必要的后端服务器,并且可以通过端口 8443/TCP 访问公共网络。
- DNS 可以解析公共域。
- NetScaler Gateway 使用平台/通用或试用许可进行许可。有关信息,请参阅 https://support.citrix.com/article/CTX126049。
从 Citrix Endpoint Management 导出脚本包
保存身份验证设置后,将一个 NetScaler Gateway 实例添加到 Citrix Endpoint Management。
-
在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标。此时将打开设置页面。
-
在 设置 页面上,滚动到 NetScaler Gateway 磁贴,然后单击 开始安装程序。此时将显示 NetScaler Gateway 页面。
-
选择 NetScaler Gateway(本地)并配置以下设置:
- 名称: 键入 NetScaler Gateway 实例的名称。
-
外部 URL: 键入 NetScaler Gateway 的可公开访问的 URL。例如,
https://receiver.com。 - 登录类型: 选择登录类型。类型包括域、仅限安全令牌、域和安全令牌、证书、证书和域以及证书和安全令牌。默认值为域。
如果您有多个域,请使用证书和域。有关详细信息,请参阅 为多个域配置身份验证。
NetScaler Gateway 上的基于证书的身份验证需要额外的配置。例如,必须将根 CA 证书上载到您的 Citrix ADC 设备。请参阅在 Citrix ADC 设备上创建和使用 SSL 证书。
有关详细信息,请参阅部署手册中的身份验证。
-
单击 Save and Export Script(保存并导出脚本)。
- Save and Export Script(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。您可以将包中的脚本上载到 NetScaler Gateway,使用 Citrix Endpoint Management 设置对其进行配置。有关信息,请参阅这些步骤后的“配置本地 NetScaler Gateway 以用于 Citrix Endpoint Management”。
您已经添加了新的 NetScaler Gateway。NetScaler Gateway 图块显示在“设置”页面上。要编辑实例,请单击查看更多。
在您的环境中安装脚本
脚本包中包括以下内容。
- 包含详细说明的 readme 文件
- 包含用于在 NetScaler 中配置所需组件的 NetScaler CLI 命令的脚本
- 公用根 CA 证书和中间 CA 证书
- 包含用于删除 NetScaler 配置的 NetScaler CLI 命令的脚本
-
将证书文件(在脚本包中提供)上载并安装在 Citrix ADC 设备上的 /nsconfig/ssl/ 目录中。请参阅在 Citrix ADC 设备上创建和使用 SSL 证书。
以下示例显示了如何安装根证书。
请务必同时安装根证书和中间证书。
-
编辑脚本(ConfigureCitrixGatewayScript_Classic.txt 或 ConfigureCitrixGatewayScript_Advanced.txt),以便用环境中的详细信息替换所有占位符。
-
按照脚本包附带的自述文件所述,在 NetScaler bash shell 中运行编辑后的脚本。例如:
/netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"
脚本完成后,将显示以下行。
测试配置
要验证配置,请执行以下操作:
-
验证 NetScaler Gateway Virtual Server 是否显示为启动状态。
-
验证代理负载平衡虚拟服务器显示的状态是否为运行。
-
打开 Web 浏览器,连接到 NetScaler Gateway URL,并尝试进行身份验证。如果身份验证成功,您将被重定向到“HTTP 状态 404 - 未找到”消息。
-
注册设备,并确保其获取 MDM 和 MAM 注册。
为多个域配置身份验证
如果您有多个 Citrix Endpoint Management 实例,例如用于测试、开发和生产环境的实例,则可以手动为其他环境配置 NetScaler Gateway。(只能运行一次 NetScaler for XenMobile 向导。)
NetScaler Gateway 配置
要为多域环境配置 NetScaler Gateway 身份验证策略和会话策略,请执行以下操作:
- 在 NetScaler Gateway 配置实用程序中的配置选项卡上,展开NetScaler Gateway > 策略 > 身份验证。
- 在导航窗格中,单击 LDAP。
-
单击后即可编辑 LDAP 配置文件。将服务器登录名称属性更改为 userPrincipalName 或您想要用于执行搜索操作的属性。记下您指定的属性。您可以在 Citrix Endpoint Management 控制台中配置 LDAP 设置时提供该设置。
- 针对每个 LDAP 策略重复以上步骤。每个域均需要一个单独的 LDAP 策略。
- 在绑定到 NetScaler Gateway 虚拟服务器的会话策略中,导航到编辑会话配置文件 > 已发布的应用程序。请确保单点登录域为空。
Citrix Endpoint Management 配置
要为多域环境配置 Citrix Endpoint Management LDAP,请执行以下操作:
-
在 Citrix Endpoint Management 控制台中,前 往“设置”>“LDAP”,然后添加或编辑一个目录。
-
提供相关信息。
-
在域别名中,指定要用于执行用户身份验证的每个域。用逗号分隔这些域,并且在域之间不要使用空格。例如:domain1.com,domain2.com,domain3.com
-
请确保用户搜索依据字段与在 NetScaler Gateway LDAP 策略中指定的服务器登录名称属性保持一致。
-
删除对特定 URL 的入站连接请求
如果您的环境中的 NetScaler Gateway 配置为 SSL 卸载,则您可能希望网关丢弃针对特定 URL 的入站连接请求。如果您更喜欢这种额外的安全性,请联系 Citrix Cloud Operations 部门,并请求他们允许将您的 IP 添加到您的本地数据中心白。