用于 Secure Private Access 的连接器设备
连接器设备是虚拟机管理程序中托管的 Citrix 组件。它充当 Citrix Cloud 与您的资源位置之间的通信渠道,无需任何复杂的网络或基础架构配置即可实现云管理。Connector Appliance 使您能够管理和专注于为用户提供价值的资源。
从连接器设备到云的所有连接均使用标准 HTTPS 端口 (443) 和 TCP 协议建立。不接受任何传入连接。允许使用以下 FQDN 的 TCP 端口 443 出站:
- *.nssvc.net
- *.netscalermgmt.net
- *.citrixworkspacesapi.net
- *.citrixnetworkapi.net
- *.citrix.com
- *.servicebus.windows.net
- *.adm.cloud.com
使用连接器设备配置 Secure Private Access
-
在资源位置中安装两个或更多连接器设备。
有关设置连接器设备的更多信息,请参阅 适用于云服务的连接器设备。
-
要配置 Secure Private Access 以使用 KCD 连接到本地 Web 应用程序,请完成以下步骤来配置 KCD:
-
将连接器设备加入到 Active Directory 域。
加入 Active Directory 林后,您可以在配置 Secure Private Access 时使用 Kerberos 约束委派 (KCD),但它不会启用身份请求或身份验证以使用连接器设备。
-
使用连接器设备控制台中提供的 IP 地址连接到浏览器中的连接器设备管理网页。
-
在 Active Directory 域 部分中,单击 + 添加Active Directory 域。
如果您的管理页面中没有 Active Directory 域部分,请联系 Citrix 申请注册预览版。
-
在“域名”字段中输入 域名 。单击添加。
-
连接器设备会检查域。如果检查成功,则会打开“加入Active Directory”对话框。
-
输入对此域具有加入权限的 Active Directory 用户的用户名和密码。
-
连接器设备会建议计算机名称。您可以选择覆盖建议的名称,并自行提供长度不超过 15 个字符的计算机名称。记下计算机帐户名称。
此计算机名称是在连接器设备加入时在 Active Directory 域中创建的。
-
单击“加入”。
-
-
为没有负载平衡器的 Web 服务器配置 Kerberos 约束委派。
- 确定连接器装置的计算机名称。您可以从托管位置获取此名称,也可以直接从连接器 UI 中获取此名称。
- 在 Active Directory 控制器上,查找连接器设备计算机。
- 转到 Connector 设备计算机帐户的属性,然后导航到委派选项卡。
-
选择信任计算机以仅委派给指定的服务。 ,然后选择 使用任何身份验证协议。
- 单击添加。
- 单击用户或 计算机。
- 输入目标 Web 服务器计算机名称,然后单击检查名称。在上图中, KCD2K8 是 Web 服务器。
- 单击确定。
-
选择服务类型 http。
- 单击确定。
-
单击应用,然后单击确定。
这样就完成了为 Web 服务器添加委派的过程。
-
为负载平衡器后面的 Web 服务器配置 Kerberos 约束委派 (KCD)。
-
使用以下
setspn命令将负载均衡器 SPN 添加到服务帐号。setspn -S HTTP/<web_server_fqdn> <service_account>
-
使用以下命令确认服务帐户的 SPN。
setspn -l <service_account>
-
为连接器装置计算机帐户创建委派。
- 按照 为没有负载平衡器的 Web 服务器配置 Kerberos 约束委派 的步骤来标识 CA 计算机并导航到委派 UI。
- 在选择 用户和计算机中,选择服务帐户(例如 aaa\ svc_iis3)。
- 在服务中,选择条目 ServiceType: HTTP 和用户或计算机:Web 服务器(例如,
kcd-lb.aaa.local)
- 单击确定。
- 单击应用,然后单击确定。
-
-
为组托管服务帐户配置 Kerberos 约束委派 (KCD)。
-
将 SPN 添加到组托管服务帐户(如果尚未添加)。
setspn -S HTTP/<web_server_fqdn> <group_manged_service_account> -
使用以下命令确认 SPN。
setspn -l <group_manged_service_account>
由于在为计算机帐户添加委托条目时无法在
Users and Computers搜索中显示组托管服务帐户,因此无法使用通常的方法为计算机帐户添加委托。因此,您可以通过属性编辑器将此 SPN 作为委派条目添加到 CA 计算机帐户- 在 Connector 设备计算机属性中,导航到属性编辑器选项卡,然后查找
msDA-AllowedToDeleteTo属性。 - 编辑
msDA-AllowedToDeleteTo attribute,然后添加 SPN。
)
) -
-
从 Citrix Gateway 连接器迁移到 Citrix Connector 设备。
- 由于配置网关连接器时已将 SPN 设置为服务帐户,因此如果未配置新的 kerberos 应用程序,则无需为服务帐户添加任何 SPN。您可以通过以下命令查看为服务帐户分配的所有 SPN 的列表,并将它们分配为 CA 计算机帐户的委派条目。
setspn -l <service_account>
在本示例中,SPN (
kcd-lb.aaa.local, kcd-lb-app1.aaa.local, kcd-lb-app2.aaa.local, kcd-lb-app3.aaa.local) 是针对 KCD 配置的。- 将所需的 SPN 作为委派条目添加到连接器装置计算机帐户。有关详细信息,请步骤 为连接器设备计算机帐户创建委派。
在此示例中,将所需的 SPN 添加为 CA 计算机帐户的委派条目。
注意: 这些 SPN 是在配置网关连接器时作为委派条目添加到服务帐户的。当您放弃服务帐号委派时,可以从服务帐号委派选项卡中删除这些条目。
-
按照 Citrix Secure Private Access 文档设置 Citrix Secure Private Access 服务。在设置过程中,Citrix Cloud 会识别您的连接器设备是否存在,并使用它们连接到您的资源位置。
-
验证你的 Kerberos 配置
如果使用 Kerberos 进行单点登录,则可以从 连接器设备管理页面验证 Active Directory 控制器上的配置是否正确。 Kerberos 验证 功能使您能够验证 Kerberos 仅领域模式配置或 Kerberos 约束委派 (KCD) 配置。
- 转到 连接器设备管理页面。
- 从虚拟机管理程序的 Connector 设备控制台中,将 IP 地址复制到浏览器地址栏。
- 输入您在注册连接器设备时设置的密码。
- 从右上角的“管理”菜单中,选择“Kerberos 验证”。
- 在 Kerberos 验证 对话框中,选择 Kerberos 验证模式。
- 指定或选择 Active Directory 域。
- 如果要验证仅限 Kerberos 领域模式的配置,则可以指定任何 Active Directory 域。
- 如果要验证 Kerberos 约束委派配置,则必须从已加入林中的域列表中进行选择。
- 指定 服务 FQDN。默认服务名假定为
http。如果指定 “computer.example.com”,则会将其视为与相同http/computer.example.com。 - 指定用户 名。
- 如果要验证 Kerberos 仅领域模式配置,请为该用户名指定 密码 。
- 单击“测试 Kerberos”。
如果 Kerberos 配置正确,则会看到此消息 Successfully validated Kerberos setup。如果 Kerberos 配置不正确,您会看到一条错误消息,其中提供了有关验证失败的信息。