解决常见的 Citrix SSO 问题

DNS 解析问题

  • 如果设备进入睡眠状态或长时间处于非活动状态,则 VPN 可能需要大约 30-60 秒才能恢复。在此期间,用户可能会看到一些 DNS 请求失败。DNS 请求会在短时间后自动解决。 如果 DNS 查询无法解析,则可能是高级授权策略阻止了 DNS 流量。请参阅 https://support.citrix.com/article/CTX232237 以解决此问题。
  • 始终从浏览器检查 DNS 解析。使用终端 nslookup 命令进行的 DNS 查询可能不准确。如果必须使用命 nslookup 令,则必须在命令中包含客户端 IP 地址。例如, nslookup website_name 172.16.255.1.

EPA 问题

  • 网守被认为是防病毒软件。如果有扫描检查 “任何防病毒软件”(MAC-ANTIVIR_0_0),即使用户没有安装其他供应商的任何防病毒软件,扫描也始终会通过。

注意:

  • 启用客户端安全日志记录以获取 EPA 的调试日志。您可以通过 clientsecurityLog 将 VPN 参数设置为 ON 来启用客户端安全日志记录。
  • Apple 内置的补丁管理软件是 “软件更新”。它对应于设备上的 “App Store” 应用程序。“软件更新” 的版本必须类似于 "MAC-PATCH_100011_100076_VERSION_==_3.0[COMMENT: Software Update]"
  • 始终使 Citrix ADC 上的 EPA 库保持最新状态。最新的库可以在以下位置找到 https://www.citrix.com/downloads/citrix-gateway/epa-libraries/epa-libraries-for-netscaler-gateway.html

nFactor 问题

  • Citrix SSO 应用程序为 nFactor 身份验证打开 Citrix SSO 身份验证窗口。它类似于浏览器。如果此页面上有错误,可以通过在 Web 浏览器上尝试进行身份验证来进行交叉验证。
  • 如果启用 nFactor 后传输登录失败,则将门户主题更改为 “RFWeBUI”。
  • 如果收到错误消息 “无法建立与 Citrix Gateway 的安全连接,因为证书链不包含任何必需的证书。请联系您的管理员” 或 “无法访问网关”,则网关服务器证书已过期或服务器证书已绑定启用 SNI。Citrix SSO 尚不支持 SNI。在未启用 SNI 的情况下绑定服务器证书。该错误还可能是由于在 MDM VPN 配置文件中配置的证书固定以及 Citrix Gateway 提供的证书与固定的证书不匹配所致。
  • 尝试连接到网关时,如果 Citrix SSO 身份验证窗口 打开但为空白,则检查 ECC 曲线 (ALL) 是否绑定到默认密码组。ECC 曲线 (ALL) 必须绑定到默认密码组。

网络访问控制 (NAC) 检查

NAC 身份验证策略仅在经典身份验证中受支持。它不作为 nFactor 身份验证的一部分受支持。

解决常见的 Citrix SSO 问题