Always-On-VPN vor der Windows-Anmeldung konfigurieren

In diesem Abschnitt werden die Details zur Konfiguration von Always On VPN vor der Windows-Anmeldung mithilfe einer erweiterten Richtlinie erfasst.

Voraussetzungen

• Citrix Gateway und VPN-Plug-In müssen Version 13.0.41.20 und höher sein.
• Citrix ADC Advanced Edition und höher ist erforderlich, damit die Lösung funktioniert.
• Sie können die Funktionalität nur mithilfe erweiterter Richtlinien konfigurieren.
• Der virtuelle VPN-Server muss betriebsbereit sein.

Hochrangige Konfigurationsschritte

Die Konfiguration Always On VPN vor der Windows-Anmeldung umfasst die folgenden Schritte auf hoher Ebene:

1. Richten Sie einen Tunnel auf Maschinenebene ein
2. Richten Sie einen Tunnel auf Benutzerebene ein (optional)
3. Benutzerauthentifizierung aktivieren
   1. Konfigurieren Sie den virtuellen VPN-Server und binden Sie den Zertifikatsschlüssel an den virtuellen Server.
   2. Authentifizierungsprofil erstellen
   3. Erstellen Sie einen virtuellen Authentifizierungsserver
   4. Erstellen von Authentifizierungsrichtlinien
   5. Binden Sie die Richtlinien an das Authentifizierungsprofil

Tunnel auf Maschinenebene

Der Tunnel auf Maschinenebene wird in Richtung Citrix Gateway mithilfe des Gerätezertifikats als Identität eingerichtet. Das Gerätezertifikat muss auf dem Clientcomputer unter dem Maschinenspeicher installiert sein. Dies gilt nur für den Dienst Always On vor dem Windows-Anmeldedienst.

Weitere Informationen zum Gerätezertifikat finden Sie unter Verwenden von Gerätezertifikaten für die Authentifizierung.

Wichtig:

Wenn der virtuelle VPN-Server auf der Citrix Gateway-Appliance auf einem nicht standardmäßigen Port (außer 443) konfiguriert ist, funktioniert der Tunnel auf Computerebene nicht wie vorgesehen.

Richten Sie den Tunnel auf Maschinenebene mithilfe des Gerätezertifikats ein

Konfiguration der gerätezertifikatbasierten Authentifizierung über die GUI

1. Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
2. Wählen Sie auf der Seite Citrix Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
3. Klicken Sie auf der Seite VPN Virtual Server auf das Bearbeitungssymbol.

4. Klicken Sie neben dem Abschnitt CA for Device Certificate auf Hinzufügen und dann auf OK.

   

   Hinweis: Aktivieren Sie nicht das Kontrollkästchen Gerätezertifikat aktivieren.

5. Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt Zertifikat auf CA-Zertifikat. Klicken Sie auf der Seite SSL Virtual Server CA Certificate Binding auf Bindung hinzufügen.

   Hinweis:

   • Das Feld Subject Common Name (CN) des Gerätezertifikats darf nicht leer sein. Wenn ein Gerät versucht, sich mit leeren CN-Gerätezertifikaten anzumelden, wird seine VPN-Sitzung mit dem Benutzernamen als “anonym” erstellt. Wenn in IIP mehrere Sitzungen denselben Benutzernamen haben, werden frühere Sitzungen getrennt. Wenn IIP aktiviert ist, bemerken Sie die Auswirkungen auf die Funktionalität aufgrund eines leeren gebräuchlichen Namens.
   • Alle CA-Zertifikate (Root und Intermediate), die das an Clients ausgestellte Gerätezertifikat möglicherweise signieren können, müssen an den Abschnitt CA for Device Certificate sowie an den Abschnitt CA-Zertifikatbindung für virtuelle Server in den Schritten 4 und 5 gebunden sein. Weitere Informationen zum Verknüpfen von CA-Zertifikaten mit Zwischen-/Untergeordneten finden Sie unter Installieren, Verknüpfen und Aktualisieren von Zertifikaten.
   • Wenn mehrere Gerätezertifikate konfiguriert sind, wird das Zertifikat mit dem längsten Ablaufdatum für die VPN-Verbindung versucht. Wenn dieses Zertifikat den EPA-Scan erfolgreich zulässt, wird die VPN-Verbindung hergestellt. Wenn dieses Zertifikat beim Scanvorgang fehlschlägt, wird das nächste Zertifikat verwendet. Dieser Vorgang wird solange fortgeführt, bis alle Zertifikate ausprobiert wurden.

6. Klicken Sie auf Klicken zum Auswählen, um das erforderliche Zertifikat auszuwählen.

   

7. Wählen Sie das erforderliche CA-Zertifikat aus.

   

8. Klicken Sie auf Bind.

9. Erstellen Sie einen virtuellen Authentifizierungsserver.
   1. Klicken Sie auf der Seite Virtuelle VPN-Server unter Authentifizierungsprofilauf Hinzufügen.
   2. Geben Sie auf der Seite Authentifizierungsprofil erstellen einen Namen für das Authentifizierungsprofil an und klicken Sie auf Hinzufügen.
   3. Geben Sie auf der Seite Virtueller Authentifizierungsserver einen Namen für den virtuellen Authentifizierungsserver an. Wählen Sie den IP-Adresstyp als nicht adressierbar aus, und klicken Sie auf OK. Hinweis: Der virtuelle Authentifizierungsserver bleibt immer im DOWN-Zustand.
10. Erstellen Sie eine Authentifizierungsrichtlinie.
    1. Klicken Sie unter “Erweiterte Authentifizierungsrichtlinien” in die Authentifizierungsrichtlinie.
    2. Klicken Sie auf der Seite Policy Binding neben Richtlinie auswählen auf Hinzufügen.
    3. Auf der Seite Authentifizierungsrichtlinie erstellen
       1. Geben Sie einen Namen für die erweiterte Authentifizierungsrichtlinie ein.
       2. Wählen Sie EPA aus der Liste Aktionstyp aus.
       3. Klicken Sie neben Aktion auf Hinzufügen.
    4. Auf der Seite “EPA-Aktion für Authentifizierung erstellen”;
       1. Geben Sie einen Namen für die zu erstellende EPA-Aktion ein.
       2. Geben Sie sys.client_expr("device-cert_0_0") in das Feld Ausdruck ein.
       3. Klicken Sie auf Erstellen.

    

11. Auf der Seite Authentifizierungsrichtlinie erstellen
    1. Geben Sie einen Namen für die Authentifizierungsrichtlinie ein.
    2. Geben Sie is_aoservice in das Feld Ausdruck ein.
    3. Klicken Sie auf Erstellen.

    

12. Geben Sie auf der Seite Policy Binding 100 in Priorität ein und klicken Sie auf Binden.

    

Konfiguration der gerätezertifikatbasierten Authentifizierung über die CLI

1. Binden Sie ein CA-Zertifikat an den virtuellen VPN-Server.

   bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
   <!--NeedCopy-->
   

   Beispiel

   bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
   <!--NeedCopy-->
   

2. Fügen Sie einen virtuellen Authentifizierungsserver hinzu.

   add authentication authnProfile <name>  {-authnVsName <string>}
   <!--NeedCopy-->
   

   Beispiel

   add authentication authnProfile always_on -authnVsName always_on_auth_server
   <!--NeedCopy-->
   

3. Erstellen Sie eine EPA-Authentifizierungsaktion.

   add authentication epaAction <name> -csecexpr <expression>
   <!--NeedCopy-->
   

   Example

   ``` add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass ```

4. Erstellen einer Authentifizierungsrichtlinie

   add authentication Policy <name> -rule <expression> -action <string>
   

   Beispiel:

   add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
   

Wichtig:

• Die Tunnelkonfiguration auf Maschinenebene ist jetzt abgeschlossen. Informationen zum Einrichten des Tunnels auf Benutzerebene nach der Windows-Anmeldung finden Sie im Abschnitt Tunnel auf Benutzerebene.

• Auf dem Clientcomputer ist das Gerätezertifikat im PFX-Format. Das PFX-Zertifikat ist auf dem Windows-Computer installiert, da Windows das PFX-Format versteht. Diese Datei enthält das Zertifikat und die Schlüsseldateien. Dieses Zertifikat muss derselben Domäne angehören, die an den virtuellen Server gebunden ist. Die PFX- und Serverzertifikate und -Schlüssel können mithilfe des Clientzertifikat-Assistenten generiert werden. Diese Zertifikate können zusammen mit der Zertifizierungsstelle verwendet werden, um die entsprechende PFX mit Serverzertifikat und Domäne zu generieren. Das Zertifikat .pfx ist im Computerkonto im persönlichen Ordner installiert. Der show aaa session Befehl zeigt den Gerätetunnel auf der Citrix ADC Appliance an.

Tunnel auf Benutzerebene

Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die GUI

Hinweis: Der Ausdruck is_aoservice.not gilt ab Citrix Gateway Version 13.0.41.20 und höher.

1. Konfigurieren Sie eine Richtlinie für die Benutzerauthentifizierung.
   1. Navigieren Sie zu Citix Gateway > Virtuelle Server, und klicken Sie in den erweiterten Einstellungenauf Authentifizierungsprofil.
   2. Konfigurieren Sie das Authentifizierungsprofil.
   3. Klicken Sie auf der Seite Virtueller Authentifizierungsserver in die Authentifizierungsrichtlinie.

   4. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten, und ändern Sie GoTo-Ausdruck für die Richtlinienbindung in NEXT anstelle von END.

      

      

   5. Klicken Sie auf Binden und wählen Sie dann auf der Seite Authentifizierungsrichtlinie die Authentifizierungsrichtlinie aus und klicken Sie auf Bindung hinzufügen.

      

   6. Klicken Sie auf der Seite Policy Binding neben Richtlinie auswählen auf Hinzufügen.

      Auf der Seite Authentifizierungsrichtlinie erstellen

      1. Geben Sie einen Namen für die Richtlinie “Keine Authentifizierung” ein, die erstellt werden soll.
      2. Wählen Sie den Aktionstyp als NO_AuthN.
      3. Geben Sie is_aoservice.not in das Feld Ausdruck ein.
      4. Klicken Sie auf Erstellen.

2. Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.

   

3. Geben Sie auf der Seite Policy Binding 110 in Prioritätein. Klicken Sie neben “Nächsten Faktor auswählen” auf Hinzufügen.
   1. Geben Sie auf der Seite Authentifizierungsrichtlinienbezeichnung einen beschreibenden Namen für das Richtlinienlabel ein, wählen Sie das Anmeldeschema aus und klicken Sie auf Weiter.
   2. Klicken Sie unter Richtlinie auswählenauf Hinzufügen und erstellen Sie eine LDAP-Authentifizierungsrichtlinie.
   3. Klicken Sie auf Erstellen und dann auf Binden.
   4. Klicken Sie auf Fertig und dann auf Binden.

   Auf der Seite Authentifizierungsrichtlinie zeigt die Spalte Nächster Faktor die konfigurierte Richtlinie für den nächsten Faktor an.

   

4. Sie können die LDAP-Richtlinie als nächsten Faktor der Authentifizierungsrichtlinie konfigurieren.
   1. Geben Sie auf der Seite Authentifizierungsrichtlinie erstellen einen Namen für die LDAP-Richtlinie ein.
   2. Wählen Sie Aktionstyp als LDAPaus.
   3. Geben Sie Action als konfigurierte LDAP-Aktion ein.

   Hinweis:

   • Informationen zum Erstellen einer XML-Datei für das Anmeldeschema finden Sie unter XML-Dateifür das
   • Informationen zum Erstellen von Richtlinienbezeichnungen finden Sie unter Authentifizieren des Policy Label.
   • Informationen zum Erstellen einer LDAP-Authentifizierungsrichtlinie finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mithilfe des Konfigurationsdienstprogramms.

Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die CLI

1. Binden einer Richtlinie an den virtuellen Authentifizierungsserver

   bind authentication vserver <name> -policy <name> -priority  <positive_integer> -gotoPriorityExpression <expression>
   

   Beispiel

   bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
   
   

2. Fügen Sie eine Authentifizierungsrichtlinie mit dem Ausdruck Aktion als NO_AUTH und is_aoservice.not, und binden Sie sie an die Richtlinie.

   add authentication Policy <name> -rule <expression> -action <string>
   
   bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
   

   Beispiel

   add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN
   
   bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
   

3. Fügen Sie einen nächsten Faktor hinzu und binden Sie die Policy Label an den nächsten Faktor.

   add authentication policylabel <labelName> -loginSchema <string>
   
   bind authentication  policylabel <string>  -policyName <string>  -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
   

   Beispiel

   add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson
   
   bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
   

4. Konfigurieren Sie eine LDAP-Richtlinie und binden Sie sie an die Policy Label des Benutzertunnels.

   
   add authentication policy <name>  -rule <expression>  -action <string>
   
   bind authentication vserver <vserver_name> -policy <string>  -priorit < positive integer>  gotoPriorityExpression <string>
   

   Beispiel

   add authentication Policy LDAP_new -rule true -action LDAP_new
   
   bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
   

Clientseitige Konfiguration

AlwaysOn, locationDetection, and suffixList registries sind optional und nur erforderlich, wenn die Standorterkennungsfunktion benötigt wird.

Um auf Registrierungsschlüsseleinträge zuzugreifen, navigieren Sie zu folgendem Pfad: Computer>HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client

Weitere Informationen zu diesen Registrierungseinträgen finden Sie unter Always On.

Hinweis:

Wenn der Always On-Dienst konfiguriert ist, wird das auf dem virtuellen Citrix Gateway-Server oder auf Citrix ADC konfigurierte Always On-Profil auf der Clientseite ignoriert. Stellen Sie daher sicher, dass Sie bei der Konfiguration des Always-On-Dienstes auch die VPN-Registrierungen locationDetection und AlwaysOn aktivieren. ```