This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
网络访问控制
您可以使用网络访问控制 (NAC) 解决方案来扩展适用于 Android 和 Apple 设备的 XenMobile® 设备安全评估。NAC 解决方案使用 XenMobile 安全评估来促进和处理身份验证决策。配置 NAC 设备后,您在 XenMobile 中配置的设备策略和 NAC 筛选器将得到强制执行。
将 XenMobile 与 NAC 解决方案结合使用,可以增加对网络内部设备的 QoS 和更精细的控制。有关将 NAC 与 XenMobile 集成的优势摘要,请参阅访问控制。
Citrix® 支持以下与 XenMobile 集成的解决方案:
- Citrix Gateway
- Cisco Identity Services Engine (ISE)
- ForeScout
Citrix 不保证与其他 NAC 解决方案的集成。
在您的网络中使用 NAC 设备时:
-
XenMobile 支持将 NAC 作为适用于 iOS、Android Enterprise 和 Android 设备的端点安全功能。
-
您可以在 XenMobile 中启用筛选器,根据规则或属性将设备设置为符合 NAC 规范或不符合 NAC 规范。例如:
-
如果 XenMobile 中的受管设备不符合指定条件,XenMobile 会将该设备标记为不合规。NAC 设备会阻止网络上的不合规设备。
-
如果 XenMobile 中的受管设备安装了不合规应用,NAC 筛选器可以阻止 VPN 连接。因此,不合规的用户设备无法通过 VPN 访问应用或网站。
-
如果您将 Citrix Gateway 用于 NAC,则可以启用拆分隧道,以防止 Citrix Gateway 插件向 Citrix Gateway 发送不必要的网络流量。有关拆分隧道的更多信息,请参阅配置拆分隧道。
-
支持的 NAC 合规性筛选器
XenMobile Server 支持以下 NAC 合规性筛选器:
匿名设备: 检查设备是否处于匿名模式。如果 XenMobile 无法在设备尝试重新连接时重新验证用户身份,则此检查可用。
Samsung Knox 证明失败: 检查设备是否未能查询 Samsung Knox 证明服务器。
禁用应用: 检查设备是否具有禁用应用,如应用访问设备策略中所定义。有关该策略的信息,请参阅应用访问设备策略。
非活动设备: 检查设备是否处于非活动状态,如服务器属性中的设备非活动天数阈值设置所定义。有关详细信息,请参阅服务器属性。
缺少所需应用: 检查设备是否缺少任何所需应用,如应用访问策略中所定义。
非建议应用: 检查设备是否具有非建议应用,如应用访问策略中所定义。
不合规密码: 检查用户密码是否合规。在 iOS 和 Android 设备上,XenMobile 可以确定设备上当前的密码是否符合发送到设备的密码策略。例如,在 iOS 上,如果 XenMobile 向设备发送密码策略,用户有 60 分钟的时间来设置密码。在用户设置密码之前,密码可能不合规。
不合规设备: 根据不合规设备属性检查设备是否不合规。通常,自动化操作或使用 XenMobile API 的第三方会更改该设备属性。
已吊销状态: 检查设备证书是否已吊销。已吊销的设备在再次获得授权之前无法重新注册。
已 Root 的 Android 和已越狱的 iOS 设备: 检查 Android 或 iOS 设备是否已越狱。
非受管设备: 检查设备是否仍处于 XenMobile 控制下的受管状态。例如,已注册 MAM 的设备或未注册的设备不受管理。
注意:
隐式合规/不合规筛选器仅在 XenMobile 管理的设备上设置默认值。例如,任何安装了被阻止应用或未注册的设备都会被标记为不合规。NAC 设备会阻止这些设备访问您的网络。
配置概述
我们建议您按所列顺序配置 NAC 组件。
-
配置设备策略以支持 NAC:
对于 iOS 设备: 请参阅配置 VPN 设备策略以支持 NAC。
对于 Android Enterprise 设备: 请参阅为 Citrix SSO 创建 Android Enterprise 托管配置。
对于 Android 设备: 请参阅配置适用于 Android 的 Citrix SSO 协议。
-
配置 NAC 解决方案:
-
Citrix Gateway,详细信息请参阅更新 Citrix Gateway 策略以支持 NAC。
要求您在设备上安装 Citrix SSO。请参阅Citrix Gateway 客户端。
- Cisco ISE:请参阅 Cisco 文档。
- ForeScout:请参阅 ForeScout 文档。
-
在 XenMobile 中启用 NAC 筛选器
-
在 XenMobile 控制台中,转至设置 > 网络访问控制。
-
选中要启用的设置为不合规筛选器对应的复选框。
-
单击保存。
更新 Citrix Gateway 策略以支持 NAC
您必须在 VPN 虚拟服务器上配置高级(而非经典)身份验证和 VPN 会话策略。
这些步骤将更新具有以下任一特征的 Citrix Gateway:
- 已与 XenMobile Server 环境集成。
- 或者,已设置为 VPN,不属于 XenMobile Server 环境,并且可以访问 XenMobile。
在控制台窗口中,对您的虚拟 VPN 服务器执行以下操作。命令和示例中的 IP 地址是虚构的。
-
如果您在 VPN 虚拟服务器上使用经典策略,请删除并解除绑定所有经典策略。要检查,请键入:
show vpn vserver <VPN_VServer>删除任何包含单词 Classic 的结果。例如:
VPN Session Policy Name: PL_OS_10.10.1.1 Type: Classic Priority: 0要删除策略,请键入:
unbind vpn vserver <VPN_VServer> -policy <policy_name> -
通过键入以下内容创建相应的高级会话策略。
add vpn sessionPolicy <policy_name> <rule> <session action>例如:
add vpn sessionPolicy vpn_nac true AC_OS_10.10.1.1_A_ -
通过键入以下内容将策略绑定到您的 VPN 虚拟服务器。
bind vpn vserver _XM_XenMobileGateway -policy vpn_nac -priority 100 -
通过键入以下内容创建身份验证虚拟服务器。
add authentication vserver <authentication vserver name> <service type> <ip address>例如:
add authentication vserver authvs SSL 0.0.0.0在此示例中,0.0.0.0表示身份验证虚拟服务器不面向公众。 -
通过键入以下内容将 SSL 证书与虚拟服务器绑定。
bind ssl vserver <authentication vserver name> -certkeyName <Webserver certificate>例如:
bind ssl vserver authvs -certkeyName Star_mpg_citrix.pfx_CERT_KEY -
将身份验证配置文件从 VPN 虚拟服务器关联到身份验证虚拟服务器。首先,通过键入以下内容创建身份验证配置文件。
add authentication authnProfile <profile name> -authnVsName <authentication vserver name>例如:
add authentication authnProfile xm_nac_prof -authnVsName authvs -
通过键入以下内容将身份验证配置文件与 VPN 虚拟服务器关联。
set vpn vserver <vpn vserver name> -authnProfile <authn profile name>例如:
set vpn vserver _XM_XenMobileGateway -authnProfile xm_nac_prof -
通过键入以下内容检查从 Citrix Gateway 到设备的连接。
curl -v -k https://<XenMobile server>:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_<device_id>"例如,此查询通过获取环境中注册的第一个设备 (
deviceid_1) 的合规性状态来验证连接:curl -v -k https://10.10.1.1:4443/Citrix/Device/v1/Check --header "X-Citrix-VPN-Device-ID: deviceid_1"成功结果类似于以下示例。
HTTP/1.1 200 OK < Server: Apache-Coyote/1.1 < X-Citrix-Device-State: Non Compliant < Set-Cookie: ACNODEID=181311111;Path=/; HttpOnly; Secure <!--NeedCopy--> -
如果上一步成功,请创建到 XenMobile 的 Web 身份验证操作。首先,通过键入以下内容创建策略表达式以从 iOS VPN 插件中提取设备 ID。
add policy expression xm_deviceid_expression "HTTP.REQ.BODY(10000).TYPECAST_NVLIST_T(\'=\',\'&\').VALUE(\"deviceidvalue\")" -
通过键入以下内容将请求发送到 XenMobile。在此示例中,XenMobile Server IP 为
10.207.87.82,FQDN 为example.em.server.com:4443。add authentication webAuthAction xm_nac -serverIP 10.207.87.82 -serverPort 4443 -fullReqExpr q{"GET /Citrix/Device/v1/Check HTTP/1.1\r\n" + "Host: example.em.server.com:4443\r\n" + "X-Citrix-VPN-Device-ID: " + xm_deviceid_expression + "\r\n\r\n"} -scheme https -successRule "HTTP.RES.STATUS.EQ(\"200\") &&HTTP.RES.HEADER(\"X-Citrix-Device-State\").EQ(\"Compliant\")"XenMobile NAC 的成功输出为
HTTP status 200 OK。X-Citrix-Device-State标头的值必须为Compliant。 -
通过键入以下内容创建用于关联操作的身份验证策略。
add authentication Policy <policy name> -rule <rule> -action <web authentication action>例如:
add authentication Policy xm_nac_webauth_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\")" -action xm_nac -
通过键入以下内容将现有 LDAP 策略转换为高级策略。
add authentication Policy <policy_name> -rule <rule> -action <LDAP action name>例如:
add authentication Policy ldap_xm_test_pol -rule true -action 10.10.1.1_LDAP -
通过键入以下内容添加用于关联 LDAP 策略的策略标签。
add authentication policylabel <policy_label_name>例如:
add authentication policylabel ldap_pol_label -
通过键入以下内容将 LDAP 策略与策略标签关联。
bind authentication policylabel ldap_pol_label -policyName ldap_xm_test_pol -priority 100 -gotoPriorityExpression NEXT -
连接合规设备以执行 NAC 测试,确认 LDAP 身份验证成功。键入以下内容。
bind authentication vserver <authentication vserver> -policy <web authentication policy> -priority 100 -nextFactor <ldap policy label> -gotoPriorityExpression END -
添加要与身份验证虚拟服务器关联的 UI。键入以下命令以检索设备 ID。
add authentication loginSchemaPolicy <schema policy>-rule <rule> -action lschema_single_factor_deviceid -
通过键入以下内容绑定身份验证虚拟服务器。
bind authentication vserver authvs -policy lschema_xm_nac_pol -priority 100 -gotoPriorityExpression END -
创建 LDAP 高级身份验证策略以启用 Secure Hub 连接。键入以下内容。
add authentication Policy ldap_xm_test_pol -rule "HTTP.REQ.HEADER(\"User-Agent\").CONTAINS(\"NAC\").NOT" -action 10.200.80.60_LDAPbind authentication vserver authvs -policy ldap_xm_test_pol -priority 110 -gotoPriorityExpression NEXT
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.