Citrix Gateway-Sitzungsrichtlinien für StoreFront konfigurieren
In diesem Artikel wird beschrieben, wie Sie eine Authentifizierung nur für Citrix Gateway-Domäne mit StoreFront für Benutzer konfigurieren, die die Citrix Workspace-App oder einen Webbrowser verwenden.
Mindestanforderungen
-
Citrix StoreFront 2.x oder 3.0
-
Citrix ADC 10.5 und höher
-
Citrix Workspace-App für Windows 4.x
-
Citrix Workspace-App für Mac 11.8
-
Webbrowser (Citrix Workspace-App für Web)
-
Auf der Citrix ADC Appliance konfigurierte Authentifizierung wie in CTX108876 beschrieben - Konfigurieren der LDAP-Authentifizierung auf einer Citrix ADC Appliance
-
Für StoreFront Server und Citrix Gateway konfigurierte SSL-Zertifikate. Einzelheiten zu den folgenden Themen finden Sie unter StoreFront-Dokumentation.
- Installation und Einrichtung für StoreFront 2.6
-
Windows 2012 Serverzertifikate
-
So fügen Sie eine SSL-Bindung zu einer Site hinzu
-
Installieren und Verwalten von Zertifikaten für Citrix ADC Appliance 10.5
-
Konfigurieren von Citrix Gateway mit StoreFront
Sitzungsrichtlinie für den webbrowserbasierten Zugriff erstellen
-
Navigieren Sie zu Citrix Gateway > Richtlinien > Sitzung.
-
Klicken Sie auf der Registerkarte Sitzungsrichtlinien auf Hinzufügen.
-
Geben Sie unter Nameden Namen der Sitzungsrichtlinie ein. Zum Beispiel Web_Browser_Policy.
-
Klicken Sie in Profilauf Hinzufügen. Die Seite Citrix Gateway-Sitzungsrichtlinie erstellen wird angezeigt.
-
Aktualisieren Sie die erforderlichen Felder und klicken Sie auf Erstellen.
-
Wählen Sie auf der Seite Citrix Gateway-Sitzungsrichtlinien und Profile die Sitzungsrichtlinie aus.
-
Um ein Sitzungsprofil hinzuzufügen, gehen Sie zum Feld Profil und klicken Sie auf Hinzufügen. Die Seite Citrix Gateway-Sitzungsprofil erstellen wird angezeigt.
Weisen Sie dem Sitzungsprofil einen Namen zu. Sie können die Kontrollkästchen Override Global auf allen Registerkarten aktivieren, um die geerbten Werte aus den globalen Citrix Gateway-Parametern zu überschreiben. Das folgende Konfigurationsbeispiel beschreibt die obligatorischen Parameter:
-
Konfigurieren Sie auf der Registerkarte Netzwerkkonfiguration die folgenden Einstellungen:
-
Verbindungenbeenden : Geben Sie an, ob Citrix Gateway die Verbindungen trennen muss, die vor der Anmeldung des Benutzers bei Citrix Gateway bestanden, und eingehende Verbindungen verhindern muss, wenn der Benutzer verbunden ist und Split-Tunneling deaktiviert ist.
-
-
Konfigurieren Sie auf der Registerkarte Client Experience die folgenden Einstellungen:
-
Split-Tunnel: Tunnelt den Verkehr nur für Intranetanwendungen, die in Citrix Gateway definiert sind. Leitet den gesamten anderen Datenverkehr direkt ins Internet weiter.
-
Clientloser Zugriff: Wenn diese Option auf ALLOW gesetzt ist, können Sie auf Anwendungen zugreifen, ohne den Citrix Secure Access Client zu installieren.
-
URL-Codierung für clientlosen Zugriff: Wenn der clientlose Zugriff aktiviert ist, können Sie die Adressen interner Webanwendungen verschlüsseln oder die Adresse als Klartext belassen.
-
Dauerhafter Cookie für clientlosen Zugriff: Stellen Sie diese Option auf Zulassen ein, um den Status persistenter Cookies im clientlosen Zugriffsmodus anzuzeigen. Ein dauerhaftes Cookie verbleibt auf dem Benutzergerät und wird mit jeder HTTP-Anforderung gesendet.
-
Erweiterter clientloser VPN-Modus: Aktiviert oder deaktiviert den erweiterten clientlosen VPN-Modus. Die STRICT-Option blockiert den klassischen clientlosen VPN-Modus, wenn der erweiterte clientlose Modus verwendet wird.
-
Plug-in-Typ: Ermöglicht den Zugriff auf Netzwerkressourcen mithilfe einer einzigen IP-Adresse und Subnetzmaske oder mithilfe eines IP-Adressbereichs. Wenn diese Option deaktiviert ist, setzt Citrix Gateway den Modus auf Proxy, in dem Sie die Quell- und Ziel-IP-Adressen sowie die Portnummern konfigurieren.
-
Einmaliges Anmelden bei der Webanwendung: Aktivieren Sie diese Option, um Single Sign-On (SSO) für eine Sitzung einzurichten. Wenn der Benutzer auf einen Server zugreift, werden die Anmeldeinformationen des Benutzers zur Authentifizierung an den Server umgeleitet.
-
Anmeldeinformationsindex: Geben Sie an, ob Sie die primäre Authentifizierung oder die sekundären Anmeldeinformationen für die einmalige Anmeldung am Server verwenden möchten.
-
Single Sign-On mit Windows: Aktiviert oder deaktiviert die automatische Windows-Anmeldung für eine Sitzung. Wenn nach der Aktivierung dieser Einstellung eine VPN-Sitzung eingerichtet wird, wird der Benutzer nach dem Neustart des Systems automatisch mit Windows-Anmeldeinformationen angemeldet.
-
Aufforderungzur Clientbereinigung : Stellen Sie diese Option ein, wenn Citrix Gateway Sie zu einer clientseitigen Cache-Bereinigung auffordern soll, wenn eine vom Client initiierte Sitzung geschlossen wird.
-
-
Konfigurieren Sie auf der Registerkarte Sicherheit die folgende Einstellung:
- Standardautorisierungsaktionen : Setzen Sie diese Option auf ZULASSEN, damit Benutzer von iOS- und Android-Mobilgeräten aus eine Verbindung zu Netzwerkressourcen herstellen können. Benutzer müssen keinen vollständigen VPN-Tunnel einrichten, um auf Ressourcen im sicheren Netzwerk zuzugreifen.
-
Aktivieren Sie auf der Registerkarte Veröffentlichte Anwendungen die folgenden Einstellungen:
-
ICA-Proxy: Auf ON gesetzt.
-
Webinterface-Adresse: FQDN des StoreFront-Servers, gefolgt vom Pfad zum Store für das Web.
-
Webinterface-Typ: Typ des Webinterface (IPv4/v6).
-
Single Sign-On-Domäne: NetBIOS-Name für die Domäne.
-
-
Klicken Sie auf Erstellen.
-
Fügen Sie einen Ausdruck hinzu.
- Klicken Sie auf Erweiterte Richtlinie und dann auf Ausdruckseditor.
- Wählen Sie im AusdruckseditorHTTP > REQ > HEADER und geben Sie dann den Parameter ein, z. B.
**CitrixReceiver**
Beispiel:
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOT
Diese Richtlinie ist erforderlich, damit der Citrix ADC zwischen webbrowserbasierten und Citrix Workspace-App-basierten Verbindungen unterscheiden kann. Diese Richtlinie wird auf Webbrowser-basierte Verbindungen angewendet.
Erstellen einer Sitzungsrichtlinie für die Citrix Workspace-App für Windows oder Mac und für Mobilgeräte auf Citrix Gateway
-
Navigieren Sie zu Citrix Gateway > Richtlinien > Sitzung.
-
Klicken Sie im Feld Sitzungsrichtlinien auf Hinzufügen.
-
Geben Sie im Feld Name den Namen der Sitzungsrichtlinie ein. Zum Beispiel Receiver_Policy.
-
Geben Sie den Namen des neuen Sitzungsprofils im Fenster Citrix Gateway-Sitzungsprofil konfigurieren ein.
-
Aktivieren Sie auf der Registerkarte Client Experience die folgenden Einstellungen:
-
Homepage: Auf None setzen
-
Split-Tunnel: Auf AUS setzen
-
Clientloser Zugriff: Auf Ein gesetzt
-
Single Sign-On für die Webanwendung: Aktivieren Sie das Kontrollkästchen
-
Plug-In-Typ: Auf Java festlegen
-
-
Legen Sie auf der Registerkarte Sicherheit die Option Standardautorisierungsaktionen auf ZULASSEN fest.
-
Aktivieren Sie auf der Registerkarte Veröffentlichte Anwendungen die folgenden Einstellungen:
-
ICA-Proxy: Auf ON gesetzt.
-
Webinterface-Adresse: FQDN des StoreFront-Servers, gefolgt vom Pfad zum Store
-
Domäne für einmaliges Anmelden: NetBIOS-Name für die Domäne
-
Adresse der Kontodienste:Geben Sie die Adresse der Kontodienste ein. Der letzte Backslash ist wichtig. Zum Beispiel
https://accounts.example.com/Citrix/Roaming/Accounts
-
-
Klicken Sie auf Erstellen.
-
Wenn Sie einen klassischen Richtlinienausdruck verwenden, fügen Sie im Feld Ausdruck die folgenden Informationen hinzu und klicken Sie auf Erstellen.
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver
-
Wenn Sie einen erweiterten Richtlinienausdruck verwenden, fügen Sie im Feld Ausdruck die folgenden Informationen hinzu und klicken Sie auf Erstellen.
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")
Diese Richtlinie ist erforderlich, damit der Citrix ADC zwischen den webbrowserbasierten und den App-basierten Citrix Workspace-Verbindungen unterscheiden kann. Diese Richtlinie wird für Verbindungen auf Basis der Citrix Workspace-App angewendet.
Konfigurieren der Authentifizierung auf der Citrix ADC Appliance
Informationen zum Konfigurieren der LDAP-Authentifizierung auf einer Citrix ADC Appliance finden Sie unter Konfigurieren der LDAP-Authentifizierung.
Erstellen Sie einen virtuellen Citrix Gateway-Server und binden Sie die Sitzungsrichtlinien
-
Navigieren Sie zu Citrix Gateway > Virtual Server und klicken Sie auf Hinzufügen, um einen neuen virtuellen Server hinzuzufügen.
-
Binden Sie nach dem Erstellen des virtuellen Servers die spezifische Sitzungsrichtlinie basierend auf den Anforderungen Ihres Unternehmens an den virtuellen Server.
Konfigurieren der Authentifizierung für StoreFront
-
Aktivieren Sie die Passthrough-Authentifizierung von Citrix Gateway auf StoreFront. Weitere Informationen finden Sie unter Erstellen und Konfigurieren des Authentifizierungsdiensts.
StoreFront muss dem Aussteller des gebundenen Zertifikats des virtuellen Citrix Gateway-Servers (Stamm- und/oder Zwischenzertifikate) für den Authentifizierungsrückrufdienst vertrauen.
-
Fügen Sie Citrix Gateway zu StoreFront hinzu. Weitere Informationen finden Sie unter Hinzufügen einer Citrix Gateway-Verbindung.
Die Gateway-URL muss genau mit dem übereinstimmen, was die Benutzer in die Adressleiste des Webbrowsers eingeben.
-
Aktivieren Sie den Remotezugriff im StoreFront-Store. Weitere Informationen finden Sie unter Verwalten des Remotezugriffs auf Stores über Citrix Gateway.