转自微信公众好号“思杰之路”
1.1 部署VPN
一些用户在某些情况下需要部署一个完整的VPN解决方案,因为它允许客户端通过使用NetScaler网关插件连接到NetScaler网关而成为内部网络的一部分。NetScaler网关使用的插件也具有端点分析的功能,使我们能够针对客户端进行扫描发现特定的进程。例如,通过扫描发现客户端有杀毒软件正在运行。端点分析不是这里的重点。端点分析的更多信息,建议阅读Citrix文档,位于http://support.citrix.com/article/CTX135136。 要配置和使用常规的VPN功能,和在NetScaler的网关上配置ICA代理没有什么区别。我们只需要注意以下几点: 这里部署常规的VPN与部署ICA代理唯一的区别是,我们需要将虚拟服务器设置为SmartAccess,还需要改变会话策略。 定义一个VPN隧道应如何运行,需要设置的多个选项,因此明白每个功能的作用是很重要的。具体设置如下: Split Tunnel:这是用来定义当所有客户端的流量或者仅通信网络中指定服务器经过网关CVPN连接。 Client Idle Time-out (mins):此定义NetScaler没有用户活动可等待多长时间就断开会话。这仅适用于NetScaler插件。 Plug-in Type:这个定义是提供给用户的插件是基于Windows / Mac的还是基于Java的。 Single Sign-on to Web Applications:这使NetScaler可对网络接口/StoreFront或我们设置自定义主页的SharePoint网站做SSO。 Credential Index:这定义了身份验证凭据被转发到Web应用程序。在这里,我们可以从主要或辅助验证设置中选择。 Single Sign-on with Windows:此允许NetScaler网关插件使用Windows的凭据进行身份验证。
如果Split Tunnel被禁用,那么意味着所有的终端流量都会经过NetScaler的路由与内部进行通信;而如果启用,那么就只允许内部服务器指定条件的终端流量经过NetScaler路由与内部进行通信。那么我们就为其设置一个条件,在网关设置某些不允许的IP地址范围对其进行访问拦截。 此外,我们还应该要求给连接的客户端一个服务器的专用IP地址,这个地址最好在内网的DHCP服务器中进行定义其IP地址范围。这样的话,我们就可以将该内网IP地址绑定到一个AAA用户,AAA组,同时绑定到一个虚拟服务器或着是全局层面。这样可以起到一个安全访问控制的作用。 现在,在已发布的应用程序窗格中,我们需要定义如下: ICA Proxy:这个设置需要关闭,作为一个完整的VPN连接,并不需要ICA Proxy通信。 Web Interface Address:这个地址定义了允许客户端连接到站点地址。 Single Sign-on Domain:这定义了可以用于单点登录的AD域。
当用户连接到该虚拟服务器,在Web页面将看到一个下载选项,允许下载一个NetScaler网关插件,在下载安装之后,将重定向到访问的站点页面。 如果是在一个VPN的环境下使用XenDesktop/XenApp的解决方案,尽管这里使用了NetScaler的网关插件建立连接,我们仍然需要通过Citrix Receiver建立到Citrix环境的连接。这就需要这两个客户端进行集成。如果用户安装了Citrix Receiver,然后再安装NetScaler网关插件,那么在Citrix Receiver里面,将获得一个新的选项,在Citrix ReceiverApplet | About | Advanced | Access Gateway Settings。从这里,用户可以启动一个完整的VPN会话,直接使用Citrix Receiver时,通过点击从接入网关设置选项登录相连。 在配置这些设置后,我们就成功的配置了一个在Citrix NetScaler Gateway中的VPN解决方案。 需要注意的重要一点是,在某些情况下,在构建VPN隧道时出现问题。在这种情况下,可以考虑使用基于MAC地址的转发。同时防火墙的规则也会导致出现一些问题。所以在配置的时候需要我们仔细的检查。
1.2 部署客户端访问Citrix NetScaler的VPN支持无本地客户端的访问,是一个基本的基于浏览器的VPN解决方案。即给用户呈现有一个网页,用户使用VPN时,从网页登录并从使用那里呈现出来的资源,如文件共享,网页应用程序以及根据会话策略中定义的其他设置。 除了无本地客户端访问(浏览器模式访问),也可以选择设置本地客户端来访问。不管是无客户端的还是有客户端的,我们都需要在NetScaler上做一些策略来实现我们的访问需求。以下是设置: URL for Web-Based Email:这是用于登录到基于Web的电子邮件解决方案,如Exchange OWA。这将出现在该窗格客户端访问会话策略窗口。 Session Time-out (mins):这个定义的NetScaler在没有网络通信所等待的时间,超过这个世界就断开当前会话以释放资源。 Clientless Access:这个定义了基于SSL VPN应该启用或禁用。 Clientless Access URL Encoding:这个定义了URL内部的网址Web应用程序的文本对用户可见性是否为模糊或者清晰。 Clientless Access Persistent Cookie:这个选项是提供给需要访问某些在SharePoint功能,如打开和编辑文档是使用的。 Client Cleanup Prompt:这是用来控制客户端的显示消息的。在退出SSL VPN会话后是否提示信息。 Single Sign-on to Web Applications:这是NetScaler定义给Web应用程序做单点登录的设置。 Credential Index:这个定义了身份验证凭据转发到Web应用程序。在这里,我们可以从认证的选项中从主认证或从认证中选择进行设置。
在发布的应用程序窗格中,我们定义了以下设置请求配置文件: Web Interface Address:定义的URL网站接收器地址。 Web Interface Portal Mode:这定义了界面的显示模式。是全屏模式还是窗口模式。 Single Sign-on Domain:这定义了当前用于单点登录的AD域。
要激活客户端访问,我们只需要设置虚拟服务器的SmartAccess和上述会话策略下为ON,即可设置客户端访问。但也有其他设置也可影响此功能。例如,如果我们添加的URL基于Web的电子邮件,用户将拥有一个电子邮件窗格让他们登录,这会通过NetScaler进行代理,并登录到他们的电子邮件。 URL编码确定URL是否应该被屏蔽,当他们浏览的Web应用程序使用户永远看不到真正的网址。持久性Cookie的使用需要一些特殊情况,如使用SharePoint。此外,加入了网络接口地址,定义单点登录允许的NetScaler到在同一个显示用户的应用程序客户端访问会话等等。 如果用户点击一个应用程序在,它会启动一个思杰接收器会话。然后我们可以在书签面板中完成任一虚拟服务器中或作为基于用户的策略的设置,将文件共享和Web应用程序等选项添加到该门户网站。请注意,当您添加一个书签,并将其绑定到用户或虚拟服务器,它会出现在门户网站的企业窗格中。用户还可以选择添加自己的书签。 当我们添加书签,我们也可以使用的NetScaler Gateway作为一个反向代理选项。如果被启用,它意味着当用户点击该书签,连接将会通过NetScaler代理,并从那里到应用程序。如果没有启用,则连接会从用户指定的地址获取。 | 
发表于 2016-2-27 13:07:20
