为 Citrix 终端节点管理和 StoreFront 配置会话策略和配置文件

要允许通过 Citrix Gateway 从不同版本的 Receiver 并通过使用安全中心进行连接,您需要为端点管理和 StoreFront 创建会话策略和配置文件,使连接能够正常工作。您可以为以下内容创建单独的会话策略和配置文件:

  • 思杰网关插件
  • Receiver for Android
  • 接收器黑莓 10 1.0
  • 接收器黑莓 2.2
  • 用于铬本的接收器
  • HTML5 接收器
  • 适用于 iOS 的接收器
  • 适用于 Linux 的接收器
  • 适用于 Mac 的接收器
  • 播放簿 1.0 的接收器
  • 用于视窗的接收器 8/RT
  • 网络接收器
  • Secure Hub

当您为安全集线器、Windows 接收器、Mac 接收器或 Web 接收器配置表达式时,用户代理标头始终以 CitrixReceiver 开头。在 Citrix 端点管理中识别本机协议的更新版本的 Receiver 还包括一个名为 X-Citrix-Gateway 的标头。创建规则时,可以使用 AND (&&) 或 OR (||) 为两个已配置表达式指定条件。

重要提示: Citrix 建议运行快速配置向导,以配置从 Citrix 网关连接到端点管理和 StoreFront 的所有必需策略。以下部分提供有关手动配置策略的信息。

配置虚拟服务器

如果端点管理是部署的一部分,则需要创建两个虚拟服务器:

  • 第一个虚拟服务器适用于使用安全中心进行连接的用户。用户身份验证发生后,此虚拟服务器直接与端点管理通信。
  • 第二个虚拟服务器是通过使用接收器适用于 Web、Citrix 接收器适用于 Windows 或 Citrix 接收器适用于 Mac 进行连接的用户。在 Citrix 网关对用户进行身份验证后,Receiver 直接与 StoreFront 通信,而不是端点管理。

在每个 Citrix Gateway 虚拟服务器上,必须安装具有唯一完全限定域名的服务器证书。

配置会话策略

您可以为终端节点管理和 StoreFront 部署配置会话策略。您可以对两个部署使用相同的策略表达式,但会话配置文件设置略有不同。您配置的会话策略表达式取决于 Receiver 版本和您正在使用的 Citrix 网关插件。

某些版本的 Receiver 不完全支持允许通过 Citrix 网关直接连接到 StoreFront 中的商店的店面服务协议。不支持这些协议的早期 Receiver 版本包括:

  • 适用于 Windows 3.0 和早期版本的接收器
  • Mac 11.4 和更早版本的接收器
  • Receiver for Android 3.0 及早期版本
  • iOS 5.5 和更早版本的接收器

下表显示了要根据 Receiver 版本和您正在使用的 Citrix 网关插件进行配置的策略表达式:

   
接收器版本不支持店铺服务协议 标题用户代理包含柠檬酸接收器和 REQ.HTTP.T. 标题 X-柠檬酸网关单元
Worx 家庭或接收器版本支持店面服务协议 标题用户代理包含标题链接接收器和标题链接。标题 X-标题链接网关存在
适用于 Windows 的思杰网关插件;适用于 Mac 的思杰网关插件 标头用户代理不包含标头接收器和标头引用器
网络接收器 标题用户代理不包含标题接收器和标题。标题引用器存在
用于视窗的接收器 8/RT 标头用户代理包含标头用户代理和标头用户代理包含窗口代理

为 Receiver 版本配置策略表达式时,可以在策略表达式中区分 Receiver 类型。

   
Receiver for Android REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER User-Agent CONTAINS Android
接收器黑莓 2.2 标头用户代理包含黑莓手机接收器和标头用户代理包含黑莓手机
用于铬本的接收器 标头用户代理包含标头用户代理包含标头用户代理包含铬本
HTML5 接收器 标头用户代理包含标头用户代理和标头用户代理包含 HTML5
适用于 iOS 的接收器 标头用户代理包含标头用户代理包含标头用户代理包含 iOS
适用于 Linux 的接收器 标头用户代理包含标头用户代理和标头用户代理包含 Linux
适用于 Mac 的接收器 标头用户代理包含标头用户代理包含标头接收器和标头用户代理包含 MacOSX
播放簿 1.0 的接收器 标头用户代理包含标头用户代理包含标头用户代理包含游戏手册
接收器的视窗 8/RT. 1.3 标头用户代理包含标头用户代理和标头用户代理包含 Win8
视窗接收器 标头用户代理包含标头用户代理和标头用户代理包含窗口
视窗手机 8 接收器 标头用户代理包含标头用户代理包含标头用户代理包含窗口软件
沃克斯之家 标头用户代理包含标头用户代理和标头用户代理包含窗口

如果配置支持 StoreFront 服务协议和适用于 iOS 的 Receiver 的会话策略,则表达式可能如下所示:

标头用户代理包含标头用户代理包含标头 X-标头 X-标头用户代理包含 iOS/

在会话策略中配置表达式

为会话策略配置表达式时,请使用以下准则。您可以将此过程用于终端节点管理和 StoreFront 部署。

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关 > 策略,然后单击 “会话”。
  2. 在详细信息窗格中,单击添加。 注意:要修改会话策略,请在详细信息窗格中选择该策略,然后单击 “ 打开”。
  3. 在 “创建 Citrix 网关会话策略” 对话框中,选择 “高级自由格式”,然后单击 “添加”。
  4. 在 “添加表达式” 对话框中,使用以下参数作为表达式的指南:
    1. 在 “表达式类型” 中,选择 “常规”。
    2. 在流量类型中,选择 REQ。
    3. 在协议中,选择 HTTP。
    4. 在限定符中,选择标题。
    5. 在 “运算符” 中,根据表达式选择 “包含”、“不包含”、“存在” 或 “节点”。
    6. 在 “值” 中,键入参数,如 CITRIXReceix 接收器。
    7. 在标题名称中键入用户代理,然后单击确定。
  5. 保存第一个表达式后,单击 “创建 Citrix 网关会话策略” 对话框中的 “和” 以将 && 添加到表达式,然后单击 “添加”。
  6. 重复步骤 2 以配置第二个规则。
  7. 完成添加规则后,单击创建,然后单击关闭。

配置会话配置文件

配置会话配置文件以便与会话策略一起使用时,需要配置特定于配置文件支持的连接类型的参数。

如果 StoreFront IP 地址是公有 IP 地址,并且如果您在会话配置文件中禁用拆分隧道,则 Citrix 网关上的 SSO 功能将在内部禁用。用户尝试登录 StoreFront 时会收到拒绝访问的错误消息。您必须启用分割隧道以允许来自公有 IP 地址的 SSO。

完成配置策略和配置文件后,您将会话策略绑定到虚拟服务器。您还需要为每个会话策略分配优先级号。

您配置的会话配置文件具有不同的端点管理和 StoreFront 设置。有关详细信息,请参阅本节后面的端点管理和 StoreFront 主题。

为 Citrix 终端节点管理和 StoreFront 配置会话策略和配置文件