Citrix Gateway

网关预安装核对表

该核对表包含在安装 Citrix Gateway 之前必须完成的任务和规划信息的列表。

提供了空间,以便您可以在完成每项任务时勾选该任务并做笔记。Citrix 建议您在安装过程中和配置 Citrix Gateway 时记下需要输入的配置值。

有关安装和配置 Citrix Gateway 的步骤,请参阅安装 Citrix Gateway

用户设备

  • 确保用户设备满足 Citrix Secure Access 系统要求中所述的安装必备条件
  • 确定用户连接的移动设备。注意:如果用户连接的是 iOS 设备,则必须在会话配置文件中启用 Secure Browse。

Citrix Gateway 基本网络连接

Citrix 建议您在开始配置设备之前获取许可证和签名的服务器证书。

  • 识别并记下 Citrix Gateway 主机名。注意:这不是完全限定域名 (FQDN)。FQDN 位于绑定到虚拟服务器的已签名服务器证书中。
  • Citrix Web 站点获取通用许可证。
  • 生成证书签名请求 (CSR) 并发送到证书颁发机构 (CA)。输入您向证书颁发机构发送 CSR 的日期。
  • 记下系统 IP 地址和子网掩码。
  • 记下子网 IP 地址和子网掩码。
  • 记下管理员密码。Citrix Gateway 随附的默认密码为 nsroot
  • 记下 Citrix Gateway 侦听安全用户连接时使用的端口号。默认端口为 TCP 端口 443。此端口必须在不安全的网络 (Internet) 和 DMZ 之间的防火墙上打开。
  • 记下默认网关 IP 地址。
  • 记下 DNS 服务器 IP 地址和端口号。默认端口号为 53。此外,如果要直接添加 DNS 服务器,还必须在设备上配置 ICMP (ping)。
  • 记下第一个虚拟服务器 IP 地址和主机名。
  • 记下第二个虚拟服务器 IP 地址和主机名(如果适用)。
  • 记下 WINS 服务器 IP 地址(如果适用)。

可以通过 Citrix Gateway 访问的内部网络

  • 记下用户可经由 Citrix Gateway 访问的内部网络。例如:10.10.0.0/24
  • 输入用户使用 Citrix Secure Access 代理通过 Citrix Gateway 进行连接时需要访问的所有内部网络和网段。

高可用性

如果您有两个 Citrix Gateway 设备,则可以在高可用性配置中进行部署,其中一个 Citrix Gateway 接受并管理连接,而另一个 Citrix Gateway 则监视第一个设备。如果第一个 Citrix Gateway 出于任何原因停止接受连接,第二个 Citrix Gateway 将接管并开始主动接受连接。

  • 记下 Citrix Gateway 软件版本号。
  • 两台 Citrix Gateway 设备的版本号必须相同。
  • 记下管理员密码 (nsroot)。两台设备上的密码必须相同。
  • 记下主 Citrix Gateway IP 地址和 ID。最大 ID 编号为 64。
  • 记下辅助 Citrix Gateway IP 地址和 ID。
  • 在两台设备上获取通用许可证并安装该许可证。
  • 在两台设备上安装相同的通用许可证。
  • 记下 RPC 节点密码。

身份验证和授权

Citrix Gateway 支持几种不同的身份验证和授权类型,这些类型可以多种组合使用。有关身份验证和授权的详细信息,请参阅身份验证和授权

LDAP 身份验证

如果您的环境包含 LDAP 服务器,则可以使用 LDAP 进行身份验证。

  • 记下 LDAP 服务器 IP 地址和端口。

    如果允许不安全地连接到 LDAP 服务器,则默认端口为 389。如果使用 SSL 加密与 LDAP 服务器的连接,则默认端口为 636。

  • 记下安全类型。

    可以使用或不使用加密来配置安全性。

  • 记下管理员绑定 DN。

    如果您的 LDAP 服务器需要身份验证,请输入 Citrix Gateway 在查询 LDAP 目录时必须使用的管理员 DN。例如 cn=administrator,cn=Users,dc=ace, dc=com。

  • 记下管理员密码。

    密码与管理员绑定 DN 关联。

  • 记下基础 DN。

    用户所在的 DN(或目录级别);例如,ou=users,dc=ace,dc=com。

  • 记下服务器登录名属性。

    输入用于指定用户的登录名的 LDAP 目录人员对象属性。默认值为 sAMAccountName。如果您没有使用 Active Directory,则此设置的常用值为 cn 或 uid。 有关 LDAP 目录设置的详细信息,请参阅配置 LDAP 身份验证

  • 记下组属性。 输入用于指定用户所属组的 LDAP 目录人员对象属性。默认值为 memberOf。此属性使 Citrix Gateway 能够标识用户所属的目录组。
  • 记下子属性名称。

RADIUS 身份验证和授权

如果您的环境包含 RADIUS 服务器,则可以使用 RADIUS 进行身份验证。 RADIUS 身份验证包括 RSA SecurID、SafeWord 和 Gemalto Protiva 产品。

  • 记下主 RADIUS 服务器的 IP 地址和端口。默认端口为 1812。
  • 记下主 RADIUS 服务器密钥(共享密钥)。
  • 记下辅助 RADIUS 服务器的 IP 地址和端口。默认端口为 1812。
  • 记下辅助 RADIUS 服务器密钥(共享密钥)。
  • 记下密码编码的类型(PAP、CHAP、MS-CHAP v1、MSCHAP v2)。

SAML 身份验证

安全声明标记语言 (SAML) 是一种基于 XML 的标准,用于在身份提供程序 (IdP) 与服务提供商之间交换身份验证和授权。

  • 获取安全 IdP 证书并在 Citrix Gateway 上安装。
  • 记下重定向 URL。
  • 记下用户字段。
  • 记下签名证书名称。
  • 记下 SAML 颁发者名称。
  • 记下默认身份验证组。

通过防火墙打开端口(单跃点 DMZ)

如果贵组织使用单个 DMZ 保护内部网络,并且您在 DMZ 中部署了 Citrix Gateway,请通过防火墙打开以下端口。如果要在双跃点 DMZ 部署中安装两个 Citrix Gateway 设备,请参阅在防火墙上打开相应的端口

在不安全的网络与 DMZ 之间的防火墙上

  • 在 Internet 与 Citrix Gateway 之间的防火墙上打开 TCP/SSL 端口(默认端口为 443)。用户设备通过此端口连接到 Citrix Gateway。

在安全网络之间的防火墙上

  • 在 DMZ 与受保护的网络之间的防火墙上打开一个或多个适当的端口。Citrix Gateway 通过这些端口连接到一个或多个身份验证服务器或者安全网络中运行 Citrix Virtual Apps and Desktops 的计算机。
  • 记下身份验证端口。

    请仅打开适合您的 Citrix Gateway 配置的端口。

    • 对于 LDAP 连接,默认值为 TCP 端口 389。
    • 对于 RADIUS 连接,默认值为 UDP 端口 1812。记下 Citrix Virtual Apps and Desktops 端口。
  • 如果您将 Citrix Gateway 与 Citrix Virtual Apps and Desktops 配合使用,请打开 TCP 端口 1494。如果启用会话可靠性,请打开 TCP 端口 2598,而非 1494。Citrix 建议将这两个端口都保持打开状态。

Citrix Virtual Desktops、Citrix Virtual Apps、Web Interface 或 StoreFront

如果要部署 Citrix Gateway 以通过 Web Interface 或 StoreFront 提供对 Citrix Virtual Apps and Desktops 的访问权限,请完成以下任务。此部署不需要 Citrix Secure Access 代理。用户只能使用 Web 浏览器和 Citrix Receiver 通过 Citrix Gateway 访问已发布的应用程序和桌面。

  • 记下运行 Web Interface 或 StoreFront 的服务器的 FQDN 或 IP 地址。
  • 记下运行 Secure Ticket Authority (STA) 的服务器的 FQDN 或 IP 地址(仅限 Web Interface)。

Citrix Endpoint Management

如果要在内部网络中部署 Citrix Endpoint Management,请完成以下任务。如果用户从外部网络(例如 Internet)连接到 Endpoint Management,则必须先连接到 Citrix Gateway,然后才能访问移动应用程序、Web 应用程序和 SaaS 应用程序。

  • 记下 Endpoint Management 的 FQDN 或 IP 地址。
  • 识别用户可以访问的 Web、SaaS 和移动 iOS 或 Android 应用程序。

使用 Citrix Virtual Apps 进行双跃点 DMZ 部署

如果要在双跃点 DMZ 配置中部署两个 Citrix Gateway 设备以支持对运行 Citrix Virtual Apps 的服务器的访问,请完成以下任务。

第一个 DMZ 中的 Citrix Gateway

第一个 DMZ 是位于内部网络最外围边缘(最靠近 Internet 或不安全的网络)的 DMZ。客户端通过将 Internet 与 DMZ 隔开的防火墙连接到第一个 DMZ 中的 Citrix Gateway。请在第一个 DMZ 中安装 Citrix Gateway 之前收集此信息。

  • 为此 Citrix Gateway 完成此核对表的“Citrix Gateway 基本网络连接”部分中的项目。

    完成这些项目后,接口 0 将此 Citrix Gateway 连接到 Internet,接口 1 将此 Citrix Gateway 连接到第二个 DMZ 中的 Citrix Gateway。

  • 在主设备上配置第二个 DMZ 设备信息。

    要将 Citrix Gateway 配置为双跃点 DMZ 中的第一个跃点,必须在第一个 DMZ 中的设备上的第二个 DMZ 中指定 Citrix Gateway 的主机名或 IP 地址。指定何时在第一个跃点中的设备上配置 Citrix Gateway 代理后,将其全局绑定到 Citrix Gateway 或虚拟服务器。

  • 记下设备之间的连接协议和端口。

    要将 Citrix Gateway 配置为双 DMZ 中的第一个跃点,必须指定连接协议以及第二个 DMZ 中的 Citrix Gateway 侦听连接的端口。连接协议和端口是带 SSL 的 SOCKS(默认端口 443)。协议和端口必须通过分隔第一个 DMZ 和第二个 DMZ 的防火墙打开。

第二个 DMZ 中的 Citrix Gateway

第二个 DMZ 是最靠近内部安全网络的 DMZ。部署在第二个 DMZ 中的 Citrix Gateway 充当 ICA 流量的代理,在外部用户设备与内部网络中的服务器之间遍历第二个 DMZ。

  • 为此 Citrix Gateway 完成此核对表的“Citrix Gateway 基本网络连接”部分中的任务。

    完成这些项目后,接口 0 会将此 Citrix Gateway 连接到第一个 DMZ 中的 Citrix Gateway。接口 1 将此 Citrix Gateway 连接到受保护的网络。