Citrix Gateway

使用 Citrix Gateway 配置无客户端 VPN 访问

无客户端访问允许用户进行所需的访问,而无需他们安装用户软件,例如 Citrix Secure Access 代理或 Receiver。用户可以使用其 Web 浏览器连接到 Web 应用程序,例如 Outlook Web Access。

您可以使用以下步骤配置无客户端访问:

  • 全局或使用绑定到用户、组或虚拟服务器的会话策略启用无客户端访问。
  • 选择 Web 地址编码方法。

要仅对特定虚拟服务器启用无客户端访问,请在全局范围内禁用无客户端访问,然后创建会话策略以启用它。

如果使用 Citrix Gateway 向导配置设备,则可以选择在向导中配置无客户端访问。向导中的设置将全局应用。在 Citrix Gateway 向导中,您可以配置以下客户端连接方法:

  • Citrix Secure Access 代理。用户只能使用 Citrix Secure Access 代理登录。
  • 使用 Citrix Secure Access 代理并允许访问方案回退。用户使用 Citrix Secure Access 代理登录 Citrix Gateway。如果用户设备未能通过端点分析扫描,则允许用户使用无客户端访问登录。发生这种情况时,用户对网络资源的访问权限有限。
  • 允许用户使用 Web 浏览器和无客户端访问登录。用户只能使用无客户端访问登录,并获得对网络资源的有限访问权限。

无客户端 VPN 访问策略的工作原理

可以通过创建策略配置对 Web 应用程序的无客户端访问。您可以在配置实用程序中配置无客户端访问策略的设置。无客户端访问策略由规则和配置文件组成。您可以使用 Citrix Gateway 随附的预配置的无客户端访问策略。您还可以创建自己的自定义无客户端访问策略。

Citrix Gateway 为以下内容提供了预配置的策略:

  • Outlook Web 访问和 Outlook Web 应用程序
  • SharePoint 2007
  • 所有其他 Web 应用程序

注意:

只有使用高级无客户端访问才能支持 OWA 2016 和 SharePoint 2016。

请记住预配置的无客户端访问策略的以下特征:

  • 它们是自动配置的,无法更改。
  • 每个策略都在全球范围内受到约束。
  • 除非您在全局或通过创建会话策略启用无客户端访问,否则不会强制执行每个策略。
  • 即使未启用无客户端访问,也无法删除或修改全局绑定。

对其他 Web 应用程序的支持取决于您在 Citrix Gateway 上配置的重写策略。Citrix 建议测试您创建的所有自定义策略,以确保成功重写应用程序的所有组件。

如果您允许来自 Receiver for Android、适用于 iOS 的 Receiver 或 Citrix Secure Hub 的连接,则必须启用无客户端访问。对于在 iOS 设备上运行的 Citrix Secure Hub,还必须在会话配置文件中启用 Secure Browse。Secure Browse 和无客户端访问协同工作,允许来自 iOS 设备的连接。如果用户未连接 iOS 设备,则不必启用 Secure Browse。

快速配置向导可为移动设备配置正确的无客户端访问策略和设置。Citrix 建议运行快速配置向导,为与 StoreFront 和 Citrix Endpoint Management 的连接配置正确的策略。

您可以将自定义无客户端访问策略全局绑定或绑定到虚拟服务器。如果要将无客户端访问策略绑定到虚拟服务器,则需要创建自定义策略,然后将其绑定。要对全局或虚拟服务器实施不同的无客户端访问策略,请更改自定义策略的优先级编号,使其编号低于预配置的策略,从而使自定义策略的优先级更高。如果没有其他无客户端访问策略绑定到虚拟服务器,则优先使用预配置的全局策略。

注意:

您不能更改预配置的无客户端访问策略的优先级编号。

启用无客户端 VPN 访问

在全局级别启用无客户端访问时,所有用户都会收到无客户端访问的设置。您可以使用 Citrix Gateway 向导、全局策略或会话策略来启用无客户端访问。

在全局设置或会话配置文件中,无客户端访问具有以下设置:

  • 。启用无客户端访问。如果禁用客户端选择但未配置或禁用 StoreFront,则用户将使用无客户端访问进行登录。
  • 。默认情况下不启用无客户端访问。用户使用 Citrix Secure Access 代理登录后,将启用无客户端访问。如果禁用客户端选择,但未配置或禁用 StoreFront,则用户将使用 Citrix Secure Access 代理登录。如果用户登录时端点分析失败,则用户会收到具有无客户端访问权限的选择页面。
  • 已禁用。无客户端访问已禁用。当您选择 用时,用户将无法使用无客户端访问进行登录,并且无客户端访问的图标不会出现在选择页面上。

如果未使用 Citrix Gateway 向导启用无客户端访问,则可以使用配置实用程序全局或在会话策略中启用无客户端访问。

在全局启用无客户端访问

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway,然后单击 全局设置
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “ 客户端体验 ” 选项卡上的 “ 无客户端访问” 旁边,选择 “ 开”, 然后单击 “ 确定”。

使用会话策略启用无客户端访问

如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问,请在全局范围内禁用或清除无客户端访问。然后,使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 > 会话
  2. 在详细信息窗格的 “策略” 选项卡上,单击 “ 添加”。
  3. 名称中,键入策略的名称。
  4. 请求配置文件旁边,单击 新建
  5. 名称中,键入配置文件的名称。
  6. 在 “ 客户端体验 ” 选项卡上的 “无客户端访问” 旁边,单击 覆盖全局,选择 开, 然后单击 “ 创建”。
  7. 在 “ 创建会话策略 ” 对话框中,在 “ 命名表达式” 旁边,选择 “常规”,选择 “True value”,单击 “添加表达式”,单击 “ 创建”, 然后单击 “ 关闭”。
  8. 单击 “ 创建”, 然后单击 “ 关闭”。

创建启用无客户端访问的会话策略后,将其绑定到用户、组或虚拟服务器。

对网址进行编码

启用无客户端访问时,您可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。这些设置是:

  • 晦涩难懂。这使用标准的编码机制来掩盖资源的域和协议部分。
  • 清楚。该网址未经编码,用户可以看到。
  • 加密。使用会话密钥对域和协议进行加密。加密网址后,同一 Web 资源的每个用户会话的 URL 都不同。如果用户将编码后的网址添加为书签,请将其保存在 Web 浏览器中然后注销,当用户登录并尝试使用书签再次连接到该网址时,他们将无法连接到该网址。 注意:如果用户在会话期间将加密的书签保存在访问界面中,则每次用户登录时书签都会起作用。

您可以全局配置此设置,也可以作为会话策略的一部分进行配置。如果将编码配置为会话策略的一部分,则可以将其绑定到用户、组或虚拟服务器。

全局配置 Web 地址编码

  1. 在配置实用程序的 配置 选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 全局设置。
  2. 在详细信息窗格的 “ 设置” 下,单击 “ 更改全局设置”。
  3. 在 “客户端体验” 选项卡上的 “无客户端访问 URL 编码” 旁边,选择编码级别,然后单击 “确定”。

通过创建会话策略来配置 Web 地址编码

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击会话。
  2. 在详细信息窗格的 策略 选项卡上,单击 添加。
  3. 在名称中,键入策略的名称。
  4. 在 请求配置文件旁边,单击 新建。
  5. 在名称中,键入配置文件的名称。
  6. 在 “客户端体验” 选项卡上的 “无客户端访问 URL 编码” 旁边,单击 “覆盖全局”,选择编码级别,然后单击 “确定”。
  7. 在 “ 创建会话策略 ” 对话框的 “命名表达式” 旁边,选择 “ 常规”,选择 True 值,单击 “添加表达式”,单击 “ 创建”,然后单击 “ 关闭”。

创建无客户端访问策略

如果要使用与默认无客户端访问策略相同的设置,但要将策略绑定到虚拟服务器,则可以复制默认策略,为策略提供新名称。您可以使用配置实用程序复制默认策略。

将新策略绑定到虚拟服务器后,可以设置策略的优先级,以便在用户登录时首先运行该策略。

使用默认设置创建无客户端访问策略

  1. 在配置实用程序的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击无客户端访问。
  2. 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
  3. 在名称中,键入策略的新名称,单击创建,然后单击关闭。

将无客户端访问策略绑定到虚拟服务器

创建策略后,将其绑定到虚拟服务器。

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway ,然后单击 虚拟服务器。
  2. 在详细信息窗格中,选择虚拟服务器,然后单击打开。
  3. 在配置 Citrix Gateway 虚拟服务器对话框中,单击策略选项卡,然后单击无客户端。
  4. 单击 “插入策略”,从列表中选择一个策略,然后单击 “确定”。

创建和评估无客户端访问策略表达式

当您为无客户端访问创建策略时,可以为该策略创建自己的表达式。创建完表达式后,可以计算表达式的准确性。

  1. 在配置实用程序的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击无客户端访问。
  2. 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
  3. 在名称中,键入策略的名称。
  4. 在配置文件旁边,单击新建。
  5. 在名称中,键入配置文件的名称。
  6. 配置重写设置,然后单击创建。
  7. 在 “创建无客户端访问策略” 对话框的 “表达式” 下,单击 “添加”。
  8. 在 “添加表达式” 对话框中,创建表达式,然后单击 “确定”。
  9. 在 “创建无客户端访问策略” 对话框中,单击 “评估”,如果表达式测试正确,请单击 “创建”。
使用 Citrix Gateway 配置无客户端 VPN 访问