使用快速配置向导创建策略

注意: 不再支持 Citrix 终端节点管理。

您可以使用快速配置向导在 Citrix 网关中配置设置,以启用与终端节点管理、StoreFront 或 Web 界面的通信。完成配置后,向导会为 Citrix 网关、终端节点管理、StoreFront 或 Web 界面之间的通信创建正确的策略。这些策略包括身份验证、会话和无客户端访问策略。向导完成后,策略将绑定到向导创建的虚拟服务器。

完成快速配置向导后,Citrix Gateway 可以与端点管理或 StoreFront 进行通信,用户可以访问其基于 Windows 的应用程序和虚拟桌面以及 Web、SaaS 和移动应用程序。然后,用户可以直接连接到端点管理。

在向导期间,您可以配置以下设置:

  • 虚拟服务器名称、IP 地址和端口
  • 从不安全端口重定向到安全端口
  • 证书
  • LDAP 服务器
  • RADIUS 服务器
  • 用于身份验证的客户端证书(仅适用于双重身份验证)
  • 终端节点管理、店面或 Web 界面

您可以使用以下方法在快速配置向导中为 Citrix 网关配置证书:

  • 选择安装在设备上的证书。
  • 安装证书和私钥。
  • 选择一个测试证书。 注意:如果您使用测试证书,则必须添加证书中的完全限定域名 (FQDN)。

快速配置向导支持 LDAP、RADIUS 和客户端证书身份验证。您可以按照以下准则在向导中配置双重身份验证:

  • 如果选择 LDAP 作为主身份验证类型,则可以将 RADIUS 配置为辅助身份验证类型。
  • 如果选择 RADIUS 作为主身份验证类型,则可以将 LDAP 配置为辅助身份验证类型。
  • 如果选择客户端证书作为主身份验证类型,则可以将 LDAP 或 RADIUS 配置为辅助身份验证类型。

您只能使用快速配置向导配置一个 LDAP 身份验证策略。该向导不允许您配置多个 LDAP 身份验证策略。如果您多次运行向导并且希望使用不同的 LDAP 策略,则必须手动配置其他策略。例如,您希望配置一个在服务器登录名称属性字段中使用 SamAc记tName 的策略,并配置另一个 LDAP 策略,该策略使用服务器登录名称属性字段中的用户主体名称 (UPN)。要配置这些单独的策略,请使用配置实用程序创建身份验证策略。有关配置 Citrix 网关以使用一个或多个 LDAP 服务器对用户访问进行身份验证的更多信息,请参阅配置 LDAP 身份验证

使用快速配置向导创建虚拟服务器时,如果您希望稍后删除虚拟服务器,Citrix 建议您使用 “主页” 选项卡将其删除。使用此方法删除虚拟服务器时,将删除通过向导配置的策略和配置文件。如果使用 “配置” 选项卡删除虚拟服务器,则不会删除策略和配置文件。向导不会删除以下项目:

  • 不会删除向导期间创建的证书密钥对,即使证书未绑定到虚拟服务器
  • 如果该策略绑定到另一个虚拟服务器,LDAP 身份验证策略和配置文件将保留。仅当策略未绑定到虚拟服务器时,Citrix 网关才会删除 LDAP 策略。

下表描述了快速配置向导创建的策略和配置文件。如表中所述,配置的策略和配置文件取决于用户使用 Citrix 网关插件、Citrix Receiver 或安全中心的连接方式。强制执行的策略取决于用户连接时使用的 Citrix 端点管理通用或平台许可证。购买 Citrix 网关时,您还购买了一组数量的通用许可证;例如,100。如果用户使用 Citrix 网关插件连接,则会话将使用一个通用许可证。如果用户连接 Receiver 以访问基于 Windows 的应用程序和桌面,会话将使用平台许可证。如果用户使用微型 VPN 从移动设备进行连接,并使用安全中心进行连接,或启动应用程序(如 WorxMail 或 WorxWeb),则会话使用通用许可证。

通用许可证的会话策略、表达式和配置文件

快速配置向导将创建以下会话策略和表达式,这些策略和表达式在会话使用通用许可证时强制执行。

策略类型 表达式
会话-Worx 主页或接收器 标题用户代理包含标题链接接收器和标题链接。标题 X-标题链接网关存在
会话-Web 接收器 REQ.HTTp 标头用户代理不包含柠檬酸接收机
会话-思杰网关 标头用户代理不包含标头接收器和标头引用器

下表显示了快速配置向导为上表中的每个会话策略类型创建的会话配置文件设置。第一列描述了在配置实用程序中查找配置文件设置或会话配置文件中的选项卡的位置。

您输入的店面 URL 取决于用户连接方式。如果用户通过使用 Receiver for Web 或使用 Web 浏览器进行连接,则可以使用 URL 窗体https://SF-FQDN/Citrix/StoreWeb。如果用户通过在 Windows、Mac 或移动设备上使用 Receiver 进行连接,则可以使用 URL 窗体https://SF-FQDN/Citrix/Store

个人资料位置 配置文件设置 接收器 网络接收器 Citrix Gateway
资源 > 内联网应用程序 透明拦截 不适用
会话 > 客户体验选项卡 无客户端访问
会话 > 已发布的应用程序选项卡 ICA 代理
会话 > 客户体验选项卡 单点登录到 Web 应用程序
会话 > 已发布的应用程序选项卡 单一登录域 终端管理商店网址 终端管理商店网址 终端管理商店网址
会话 > 已发布的应用程序选项卡 网页界面地址 终端管理商店网址 终端管理商店网址 终端管理商店网址
会话 > 已发布的应用程序选项卡 账户服务地址 店面 URL 不适用 店面 URL
会话 > 客户体验选项卡 分裂隧道 不适用
会话 > 客户体验选项卡 无客户端访问 URL 编码 清除 不适用 清除
会话 > 客户体验选项卡 主页 不适用 终端管理商店网址 终端管理商店网址
会话 > 客户端体验选项卡,然后单击高级设置 > 常规选项卡 客户选择
会话 > 安全选项卡 默认授权操作 允许 允许 允许
会话 > 客户体验选项卡 会话超时(分钟) 二十四小時 不适用 不适用
会话 > 客户体验选项卡 客户端空闲超时(分钟) (0) 残疾人 不适用 不适用
会话 > 网络配置选项卡,然后单击高级设置 强制超时(分钟) 二十四小時 不适用 不适用

通用许可证的无客户端访问配置文件设置

快速配置向导为通用许可证创建以下客户端无访问配置文件设置:

  • 为无客户端访问配置域以允许访问。配置模式集的属性域 <App Controller FQDN>。例如,NS_CVPN 默认值 网域应用程序控制器 域名 网域应用程序控制器 网域
  • 应用程序控制器 URL。配置模式集的属性域 <App Controller FQDN>。例如,NS_CVPN 默认值_ 网域应用程序控制器 域名 _ 网域应用程序控制器 网域
  • 共享文件。允许多达五个绑定。配置模式集 Ns_cvpn_默认值 _ 进入域 <App Controller FQDN>。例如,NS_CVPN 默认值 _ 网域应用程序控制器 _ 域名 _ 网域应用程序控制器 _ 网域

通用许可证的无客户端访问设置和规则

下表列出了会话使用通用许可证时强制执行的无客户端访问策略设置。

策略名称 规则 个人资料 URL 重写标签 重写标签 图案集 评论
无限贵宾 接收者 _ 不重写 没有红白贵宾 默认值 默认值 默认值 接收者 _ 不重写
通过网上网站获取的信息,通过网上网站获取的信息 真的 重要的是,重要的是,重要的是 默认值标签 默认值 <VIP>店铺 网络 曲奇 RFWEB 重写

用于 Web 接收器的模式集 CORE_WEB_Cookie 会将 Citrix 网关虚拟 IP 地址追加到名称,如下图所示:

图1。用于 Web 接收器的模式集

曲奇图案集

平台许可证的会话策略、规则和配置文件

具有 Citrix 网关的平台许可证允许无限数量的 ICA 连接到 Citrix 虚拟应用程序和桌面托管的基于 Windows 的应用程序和桌面。下表显示了连接到 Citrix Receiver 的用户的会话规则和会话策略设置。

| 策略类型 | 规则 | | ———————————————— | ————————————————————————————— | | 会话-操作系统和思杰网关 | REQ.HTTP.头用户代理包含 Citrix 接收机 || REQ.HTTP.T. 标头引用机器 | | 会话-适用于 Web 的接收机 | ns_true |

|个人资料位置|配置文件设置|操作系统/Citrix 网关|网络| |— |— |— |— | |资源 > 内联网应用程序|透明拦截|不适用|关| |会话 > 客户体验选项卡|无客户端访问|关|关| |会话 > 已发布的应用程序选项卡|ICA 代理|上|上| |会话 > 客户体验选项卡|单点登录到 Web 应用程序|上|上| |会话 > 已发布的应用程序选项卡|单点登录域|设置|设置| | 会话 > 已发布的应用程序选项卡 | Web 界面地址 | Config.xml 如果 Web 界 面店面 URL 与店面网址 | 店面 URL | | 会话 > 已发布的应用程序选项卡 | 帐户服务地址 | 带店面网址 | N/a| | 会话 > 客户端体验选项卡 | 拆分隧道 | 关闭 | N/A | 会话 > 客户端体验选项卡 | 无客户端访问 URL 编码 | N/A | 会话 > 客户端体验选项卡 | 主页 | N/A | 会话 > 客户端体验选项卡,然后单击高级设置 > 常规选项卡 | 客户端选择 | 关闭 | 会话> 安全选项卡 | 默认授权操作 | 允许 | | 会话 > 客户端体验选项卡 | 会话超时 (分钟) |N/A|N/A| 会话 > 客户端体验选项卡 | 客户端空闲超时 (分钟) |N/A |会话 > 网络配置选项卡,然后单击高级设置 | 强制时间-出(分钟)|N/A| N/A|