为 macOS 用户设置 Citrix Secure Access

适用于 macOS 的 Citrix SSO 应用程序提供了 Citrix Gateway 提供的同类最佳的应用程序访问和数据保护解决方案。现在,您可以随时随地安全地访问业务关键应用程序、虚拟桌面和企业数据。 Citrix SSO 是 Citrix Gateway 的下一代 VPN 客户端,用于创建和管理来自 macOS 设备的 VPN 连接。Citrix SSO 是使用 Apple 的网络扩展 (NE) 框架构建的。Apple 的 NE 框架是一个现代库,其中包含可用于自定义和扩展 macOS 核心网络功能的 API。支持 SSL VPN 的网络扩展在运行 macOS 10.11+ 的设备上可用。

Citrix Secure Access 在 macOS 上提供完整的移动设备管理 (MDM) 支持。借助 MDM 服务器,管理员现在可以远程配置和管理设备级 VPN 配置文件和 PerApp VPN 配置文件。 适用于 macOS 的 Citrix Secure Access 可以从 Mac App Store 安装。

Citrix VPN、适用于 iOS 的 Citrix SSO 和适用于 macOS 的 Citrix 安全

下表比较了 Citrix VPN、适用于 iOS 的 Citrix SSO 和适用于 macOS 的 Citrix Secure Access 之间各种功能的可用性。

功能 Citrix VPN 适用于 iOS 的 Citrix SSO 和适用于 macOS 的 Citrix Secure Access
应用程序分发方法 Citrix 下载页面 App Store
通道连接数 128 128
从浏览器访问 支持 不支持
从本机应用程序访问 支持 支持
拆分通道(关/开/反向) 支持 支持
拆分 DNS(本地/远程/两者) 远程 远程
本地 LAN 访问 启用/禁用 始终启用
服务器启动的连接 (SIC) 支持 不支持 支持
转移登录 支持 支持
客户端代理 支持 不支持
经典/Opswat EPA 支持 支持 支持
设备证书支持 支持 支持
会话超时支持 支持 支持
强制超时支持 支持 支持
空闲超时支持 支持 不支持
IPV6 不支持 支持
网络漫游(在 Wi-Fi、以太网等之间切换) 支持 支持
Intranet 应用程序支助 支持 支持
对 UDP 的 DTLS 支持 不支持 支持
EULA 支持 支持 支持
应用程序 + Receiver 集成 支持 不支持
身份验证 - 本地、LDAP、RADIUS 支持 支持
客户端证书身份验证 支持 支持
TLS 支持(TLS1、TLS1.1 和 TLS1.2) 支持 支持
双重身份验证 支持 支持

与 MDM 产品的兼容性

适用于 macOS 的 Citrix Secure Access 与大多数 MDM 提供商兼容,例如 Citrix XenMobile、Microsoft Intune 等。它支持称为网络访问控制 (NAC) 的功能,使用该功能,MDM 管理员可以在连接到 Citrix Gateway 之前强制执行最终用户设备合规性。Citrix Secure Access 上的 NAC 需要 XenMobile 和 Citrix Gateway 等 MDM 服务器。有关 NAC 的详细信息,请参阅为 单因素登录配置 Citrix Gateway 虚拟服务器的网络访问控制设备检查

注意:

要在没有 MDM 的情况下将 Citrix Secure Access 与 Citrix Gateway VPN 结合使用,必须添加 VPN 配置。您可以从 Citrix Secure Access 配置页面在 macOS 上添加 VPN 配置。

为 Citrix Secure Access 配置 MDM 托管 VPN 配置文件

以下部分介绍了使用 Citrix Endpoint Management(以前称为 XenMobile)为示例为 Citrix Secure Access 配置设备范围和 PerApp VPN 配置文件的分步说明。其他 MDM 解决方案在使用 Citrix Secure Access 时可以使用本文档作为参考。

注意:

本部分说明基本的设备范围和 PerApp VPN 配置文件的配置步骤。此外,您还可以按照 Citrix Endpoint Management(以前称为 XenMobile)文档或 Apple 的 MDM VPN 有效负载配置来配置按需、始终在线、代理。

设备级 VPN 配置文件

设备级 VPN 配置文件用于设置系统范围的 VPN。根据 Citrix ADC 中定义的 VPN 策略(例如全隧道、拆分隧道、反向拆分隧道),将来自所有应用程序和服务的流量通道传输到 Citrix Gateway。

在 Citrix Endpoint Management 上配置设备级 VPN

执行以下步骤来配置设备级别的 VPN。

  1. 在 Citrix Endpoint Management MDM 控制台上,导航到 配置 > 设备策 略 > 添加新策略

  2. 在左侧策略平台窗格中选择 macOS 。在右窗格中选择 VPN 策略

  3. 策略信息 页面上,输入有效的策略名称和描述,然后单击 下一步

  4. 在 macOS 的 策略详细信息 页面上,键入有效的连接名称,然后在 连接类型 中选择 自定义 SSL

    在 MDM VPN 有效负载中,连接名称对应于 UserDefinedName 密钥, VPN 类型密钥 必须设置为 VPN

  5. 自定义 SSL 标识符(反向 DNS 格式)中,输入 com.citrix.netscalerGateway.macos.app。这是 macOS 上 Citrix Secure Access 的捆绑包标识符。

    在 MDM VPN 有效负载中,自定义 SSL 标识符对应于 VPNSubtype 密钥。

  6. 提供商捆绑包标识符 中输入 com.citrix.netscalerGateway.macos.app.VPlugin。这是 Citrix Secure Access 应用程序二进制文件中包含的网络扩展的捆绑包标识符。

    在 MDM VPN 有效负载中,提供程序捆绑包标识符与 ProviderBundleIdifier 密钥相对应。

  7. 服务器名称或 IP 地址 中,输入与此 Citrix Citrix Endpoint Management 实例关联的 Citrix ADC 的 IP 地址或 FQDN。

    配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management 文档中找到。

  8. 单击下一步

    CEM VPN 策略页面

  9. 单击保存

PerApp VPN 配置文件

PerApp VPN 配置文件用于为特定应用程序设置 VPN。仅来自特定应用程序的流量会通过隧道传输到 Citrix Gateway。PerApp VPN 有效负载 支持设备范围 VPN 的所有密钥以及其他一些密钥。

在 Citrix Endpoint Management 上配置每应用程序级别的 VPN

执行以下步骤在 Citrix Endpoint Management 上配置 PerApp VPN:

  1. 在 Citrix Endpoint Management 上完成设备级别的 VPN 配置。

  2. 打开 PerApp VPN 部分中的启用 PerApp VPN 开关。

  3. 如果在启动 匹配应用程序时必须自动启动 Citrix Secure Access,请打开 “按需匹配应用程序已启用” 开关 。对于大多数每应用程序案例,建议使用此

    在 MDM VPN 有效负载中,此字段对应于键 onDemandMatchAppenabled

  4. Safari 域名配置是可选的。配置 Safari 域后,Citrix SSO 会在用户启动 Safari 并导航到与 “ ” 字段中的 URL 匹配的 URL 时自动启动。如果要限制特定应用程序的 VPN,则不建议这样做。

    在 MDM VPN 有效负载中,此字段对应于密钥 SafaridOMAINS

    配置页面中的其余字段是可选的。这些字段的配置可以在 Citrix Endpoint Management(以前称为 XenMobile)文档中找到。

    CEM 配置

  5. 单击下一步

  6. 单击保存

    要将 VPN 配置文件与设备上的特定应用程序关联,您必须按照本指南创建应用程序清单策略和凭据提供程序策略- https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/

在 PerApp VPN 中配置拆分通道

MDM 客户可以在 PerApp VPN 中为 Citrix Secure Access 配置拆分通道。必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "PerAppSplitTunnel"
-  Value = "true or 1 or yes"

键区分大小写,必须完全匹配,而值不区分大小写。

注意:

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。

在 CEM 中为每个应用程序拆分隧道

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

在 Intune 中为每个应用拆分隧道

禁用用户创建的 VPN 配置式

MDM 客户可以阻止用户从 Citrix Secure Access 中手动创建 VPN 配置文件。为此,必须将以下键/值对添加到在 MDM 服务器上创建的 VPN 配置文件的供应商配置部分。

-  Key = "disableUserProfiles"
-  Value = "true or 1 or yes"

键区分大小写,必须完全匹配,而值不区分大小写。

注意:

用于配置供应商配置的用户界面在 MDM 供应商中不是标准的。请与 MDM 供应商联系,在 MDM 用户控制台上查找供应商配置部分。

以下是 Citrix Endpoint Management 中配置(特定于供应商的设置)的示例屏幕截图。

禁用 vpn-CEM

以下是 Microsoft Intune 中配置(供应商特定设置)的示例屏幕截图。

disable_VPN_Intune

DNS 处理

Citrix Secure Access 的建议使用 DNS 设置如下:

  • 如果拆分通道设置为,则拆分 DNS > REMOTE
  • 如果拆分隧道设置为,则拆分 DNS > BOTH。在这种情况下,管理员必须为 Intranet 域添加 DNS 后缀。属于 DNS 后缀的 FQDN 的 DNS 查询将通过隧道传输到 Citrix ADC 设备,其余查询将转到本地路由器。

注意:

  • 建议将 DNS 截断修复 标志始终打 。有关更多详细信息,请参阅https://support.citrix.com/article/CTX200243

  • 当拆分隧道设置为 并将拆分 DNS 设置为 REMOTE时,在连接 VPN 后解析 DNS 查询可能会出现问题。这与网络扩展框架未拦截所有 DNS 查询有关。

支持的 EPA 扫描

有关支持的扫描的完整列表,请参阅最新的 EPA 库

  1. OPSWAT v4 支持的扫描列表部分中,单击 MAC OS 特定列下的支持的应用程序列表
  2. 在 Excel 文件中,单击经典 EPA 扫描选项卡以查看详细信息。

已知问题

以下是当前的已知问题。

  • 如果将用户置于隔离组中,EPA 登录将失败。
  • 不显示强制超时警告消息。
  • 如果拆分隧道已打开且未配置 Intranet 应用程序,则 SSO 应用程序允许登录。

限制

以下是目前的限制。

  • 以下 EPA 扫描可能会失败,因为沙箱导致对 SSO 应用程序的访问受限。
    • 硬盘加密 “类型” 和 “路径”
    • Web 浏览器 “默认” 和 “正在运行”
    • 修补程序管理 “缺少补丁”
    • 在 EPA 期间终止进程操作
  • 不支持基于端口/协议的拆分隧道。
  • 确保密钥链中没有两个具有相同名称和过期日期的证书,因为这会导致客户端只显示其中一个证书,而不是同时显示两个证书。

故障排除

如果最终用户在 Citrix SSO 应用程序的身份验证窗口中看到 下载 EPA 插件 按钮,则意味着 Citrix ADC 设备上的内容安全策略正在阻止调用 URL com.citrix.agmacepa://。管理员必须修改内容安全策略,以便允许使用 com.citrix.agmacepa://