Gateway

Konfigurieren der Überprüfung des Netzwerkzugriffssteuerungsgeräts für den virtuellen NetScaler Gateway-Server für die Single

Dieses Thema enthält Informationen zum Konfigurieren von NetScaler Gateway für die Verbindung mit einem internen Netzwerk von einem mobilen Gerät (iOS und Android) mit der von Microsoft Intune angebotenen Network Access Compliance (NAC) -Sicherheit. Wenn ein Benutzer versucht, von einem iOS- oder Android-VPN-Client aus eine Verbindung zu NetScaler Gateway herzustellen, prüft das Gateway zunächst beim Intune-Dienst, ob das Gerät ein verwaltetes und ein kompatibles Gerät ist.

  • Verwaltet: Das Gerät wird über den Intune Company Portal-Client registriert.
  • Konform: Erforderliche Richtlinien, die vom Intune MDM-Server übertragen wurden, werden angewendet.

Nur wenn das Gerät sowohl verwaltet als auch konform ist, wird die VPN-Sitzung eingerichtet und der Benutzer erhält Zugriff auf die internen Ressourcen.

Hinweis:

  • In diesem Setup spricht NetScaler Gateway im Back-End mit dem Intune-Dienst. Die SSL-Profile verarbeiten die eingehenden Verbindungen zum NetScaler Gateway. Die NetScaler Gateway-Back-End-Kommunikation verarbeitet alle SNI-Anforderungen der Back-End-Cloud-Dienste (Intune).

  • Der virtuelle SNI für den virtuellen DTLS-Gateway-Server wird in NetScaler Gateway Version 13.0 Build 64.x und höher unterstützt.

  • Intune NAC Check für das Pro-App-VPN oder sogar geräteweites VPN wird nur unterstützt, wenn das VPN-Profil vom Intune-Verwaltungsportal (jetzt als Microsoft Endpoint Manager bekannt) bereitgestellt wird. Diese Funktionen werden für vom Endbenutzer hinzugefügte VPN-Profile nicht unterstützt. Auf dem Endbenutzergerät muss das VPN-Profil von Microsoft Endpoint Manager von seinem Intune-Administrator auf seinem Gerät bereitgestellt werden, um die NAC-Prüfung verwenden zu können.

Lizenzierung

Für diese Funktion ist eine Citrix Enterprise Edition-Lizenz erforderlich.

Systemanforderungen

  • NetScaler Gateway Version 11.1 Build 51.21 oder höher
  • iOS VPN — 10.6 oder höher
  • Android VPN — 2.0.13 oder höher
  • Microsoft
    • Azure AD-Zugriff (mit Mandanten- und Administratorrechten)
    • Mandant mit aktiviertem Intune
  • Firewall Aktivieren Sie Firewall-Regeln für den gesamten DNS- und SSL-Verkehr von der Subnetz-IP-Adresse zu https://login.microsoftonline.com und https://graph.windows.net (Port 53 und Port 443)

Voraussetzungen

  • Alle bestehenden Authentifizierungsrichtlinien müssen von klassischen auf erweiterte Richtlinien umgestellt werden. Informationen zur Umstellung von klassischen Richtlinien auf erweiterte Richtlinien finden Sie unter https://support.citrix.com/article/CTX131024.
  • Erstellen Sie eine NetScaler Gateway-Anwendung im Azure-Portal. Einzelheiten finden Sie unter Konfigurieren einer NetScaler Gateway-Anwendung im Azure-Portal.
  • Konfigurieren Sie die OAuth-Richtlinie in der NetScaler Gateway-Anwendung, die Sie mit den folgenden anwendungsspezifischen Informationen erstellt haben.
    • Client-ID/Anwendungs-ID
    • Client geheim/ Anwendungsschlüssel
    • Azure-Tenant-ID

Referenzen

So fügen Sie einen virtuellen NetScaler Gateway-Server mit nFactor für die Gateway-Bereitstellung hinzu

  1. Navigieren Sie zu NetScaler Gateway > Virtuelle Server.

    Seite Virtuelle Server

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie die erforderlichen Informationen im Bereich Grundeinstellungen ein und klicken Sie auf OK.

    Festlegen der Grundeinstellungen

  4. Wählen Sie Serverzertifikat.

    Wählen Sie ein Serverzertifikat

  5. Wählen Sie das erforderliche Serverzertifikat und klicken Sie auf Bind.

    Serverzertifikat binden

  6. Im Rahmen der Intune NAC v2-API-Unterstützung müssen Sie eine Certificate Authority-Datei (CA-Zertifikat) binden, um sicherzustellen, dass die NetScaler Appliance ein gültiges Zertifikat von Mobilgeräten erhält. In Intune NAC v2 senden die Mobilgeräte Geräte-IDs als Teil des Clientzertifikats. Das hier gebundene CA-Zertifikat muss für die Ausstellung von Clientzertifikaten an iOS- und Android-Geräte des Endbenutzers verwendet werden. Wenn es Zwischenzertifikate gibt, müssen diese auch hier gebunden sein. Weitere Informationen zur Intune-Konfiguration finden Sie unter Konfigurieren einer NetScaler Gateway-Anwendung im Azure-Portal. Wählen Sie für die Unterstützung der Intune NAC v2 API das erforderliche CA-Zertifikat aus und klicken Sie auf Binden.

    Binden Sie das Serverzertifikat für die Intune-Integration

    Binden Sie das Serverzertifikat für die Intune-Integration

  7. Klicken Sie auf Weiter.

  8. Klicken Sie auf Weiter.

  9. Klicken Sie auf Weiter.

  10. Klicken Sie auf das Pluszeichen [+] neben Richtlinien und wählen Sie Sitzung aus der Liste Richtlinie auswählen aus. Wählen Sie in der Liste Typ auswählen die Option Anforderung aus und klicken Sie auf Weiter.

  11. Klicken Sie auf das Plus-Symbol [+] neben Richtlinie auswählen.

  12. Geben Sie auf der Seite Create NetScaler Gateway Sitzungsrichtlinie einen Namen für die Sitzungsrichtlinie an.

  13. Klicken Sie auf das Plus-Symbol [+] neben Profil und geben Sie auf der Seite NetScaler Gateway-Sitzungsprofil erstellen einen Namen für das Sitzungsprofil an.

  14. Klicken Sie auf der Registerkarte Client Experience auf das Kontrollkästchen neben Clientless Access, und wählen Sie aus der Liste Aus.

  15. Klicken Sie auf das Kontrollkästchen neben Plug-In-Typ und wählen Sie Windows/Mac OS X aus der Liste aus.

  16. Klicken Sie auf Erweiterte Einstellungen, aktivieren Sie das Kontrollkästchen neben Clientauswahl und setzen Sie den Wert auf ON.

  17. Klicken Sie auf der Registerkarte Sicherheit auf das Kontrollkästchen neben Standardermächtigungsaktion und wählen Sie Zulassen aus der Liste aus.

  18. Klicken Sie auf der Registerkarte Published Applications auf das Kontrollkästchen neben ICA-Proxy, und wählen Sie AUS in der Liste aus.

  19. Klicken Sie auf Erstellen.

  20. Konfigurieren Sie auf der Seite NetScaler Gateway-Sitzungsrichtlinie erstellen im Bereich Ausdruck den qualifizierenden Ausdruck.

  21. Klicken Sie auf Erstellen.

  22. Klicken Sie auf Bind.

  23. Wählen Sie unter Erweiterte EinstellungenAuthentifizierungsprofil.

    Authentifizierungsprofil wählen

  24. Klicken Sie auf das Pluszeichen [+] und geben Sie einen Namen für das Authentifizierungsprofil ein.

    Profilname der Authentifizierung

  25. Klicken Sie auf das Pluszeichen [+], um einen virtuellen Authentifizierungsserver zu erstellen.

    Virtueller Authentifizierungsserver hinzufügen

  26. Geben Sie im Bereich Grundeinstellungen den Namen und den IP-Adresstyp für den virtuellen Authentifizierungsserver an und klicken Sie auf OK.Der IP-Adresstyp kann auch nicht adressierbar sein.

    Festlegen der Grundeinstellungen

  27. Klicke auf Authentifizierungsrichtlinie.

    Authentifizierungsrichtlinie

  28. Klicken Sie in der Ansicht Richtlinienbindung auf das Pluszeichen [+], um eine Authentifizierungsrichtlinie zu erstellen.

    Erstellen einer Authentifizierungsrichtlinie

  29. Wählen Sie OAUTH als Aktionstyp aus und klicken Sie auf das Plus-Symbol [+], um eine OAuth-Aktion für NAC zu erstellen.

    Wählen Sie den Aktionstyp OAuth

  30. Erstellen Sie eine OAuth Aktion mit Client-ID, Client Secretund Mandanten-ID.

    Hinweis:

    • Client-ID, Client Secret und Tenant ID werden nach der Konfiguration der NetScaler Gateway-Anwendung im Azure-Portal generiert.
    • Notieren Sie sich die Client-ID/Anwendungs-ID, Client Secret/Application Secret und Azure-Tenant-ID-Informationen, da sie beim späteren Erstellen einer OAuth-Aktion auf NetScaler Gateway erforderlich sind.

    Stellen Sie sicher, dass auf Ihrer Appliance ein geeigneter DNS-Nameserver konfiguriert ist, um aufzulösen und zu erreichen; https://login.microsoftonline.com/,

    \- - -  `https://graph.windows.net/`,  *.manage.microsoft.com.
    

    ID und Geheimnis für Azure-Portal

  31. Erstellen Sie eine Authentifizierungsrichtlinie für OAuth Action.

    Regel:

    http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN")))
    <!--NeedCopy-->
    

    Regel für Authentifizierungsrichtlinien

  32. Klicken Sie auf das Plus-Symbol [+], um eine NextFactor-Policy Label zu erstellen.

    Next Factor Policy Label erstellen

  33. Klicken Sie auf das Plus-Symbol [+], um ein Anmeldeschema zu erstellen.

    Erstellen eines Anmeldeschemas

  34. Wählen Sie noschema als Authentifizierungsschema aus und klicken Sie auf Erstellen.

    Authentifizierungsschema auswählen

  35. Klicken Sie nach Auswahl des erstellten Anmeldeschemas auf Weiter.

    Klicken Sie auf Weiter

  36. Wählen Sie unter Richtlinie auswähleneine bestehende Authentifizierungsrichtlinie für die Benutzeranmeldung aus oder klicken Sie auf das Plus-Symbol +, um eine Authentifizierungsrichtlinie zu erstellen. Einzelheiten zum Erstellen einer Authentifizierungsrichtlinie finden Sie unter Konfigurieren erweiterter Authentifizierungsrichtlinien und Konfigurieren der LDAP-Authentifizierung.

    Wählen oder erstellen Sie eine Authentifizierungsrichtlinie

  37. Klicken Sie auf Bind.

    Klicken Sie auf "Binden"

  38. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

  39. Klicken Sie auf Bind.

    Klicken Sie auf Binden

  40. Klicken Sie auf Weiter.

    Klicken Sie auf Weiter

  41. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

  42. Klicken Sie auf Erstellen.

    Klicken Sie auf Erstellen.

  43. Klicken Sie auf OK.

    Klicken Sie auf OK

  44. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

So binden Sie das Authentifizierungsanmeldeschema an den virtuellen Authentifizierungsserver, um VPN-Plug-Ins anzugeben, um die Geräte-ID als Teil der /cgi/login-Anfrage zu senden

  1. Navigieren Sie zu Sicherheit > AAA — Anwendungsverkehr > Virtuelle Server.

    Seite Virtuelle Server

  2. Wählen Sie den zuvor ausgewählten virtuellen Server aus und klicken Sie auf Bearbeiten.

    Virtuellen Server bearbeiten

  3. Klicken Sie unter Erweiterte Einstellungen auf Anmeldeschemas.

    Anmeldeschema wählen

  4. Klicken Sie auf Login Schemas, um zu binden.

    Anmeldeschema binden

  5. Klicken Sie auf [>], um die vorhandenen Richtlinien für das Build-In-Anmeldeschema für die NAC-Geräteprüfung auszuwählen und zu binden.

    Binden von Login-Schema-Richtlinien

  6. Wählen Sie die für Ihre Authentifizierungsbereitstellung geeignete Richtlinie für das Anmeldeschema aus und klicken Sie auf Auswählen

    In der zuvor erläuterten Bereitstellung wird die Einzelfaktor-Authentifizierung (LDAP) zusammen mit einer NAC OAuth Action-Richtlinie verwendet. Daher ist lschema_single_factor_deviceid ausgewählt.

    Wählen Sie eine Ein-Faktor-Authentifizierungsrichtlinie

  7. Klicken Sie auf Bind.

    Klicken Sie auf Binden

  8. Klicken Sie auf Fertig.

    Klicken Sie auf Fertig

Intune NAC v2 API-Unterstützung

Im Rahmen der Intune NAC v2-API-Unterstützung müssen Sie eine Certificate Authority-Datei (CA-Zertifikat) binden, um sicherzustellen, dass die NetScaler Appliance ein gültiges Zertifikat von Mobilgeräten erhält. In Intune NAC v2 senden die Mobilgeräte Geräte-IDs als Teil des CA-Zertifikats. Das hier gebundene CA-Zertifikat muss für die Ausstellung von Clientzertifikaten für die iOS- und Android-Geräte des Endbenutzers verwendet werden. Wenn es Zwischenzertifikate gibt, müssen diese auch hier gebunden sein.

Sie können den folgenden Beispielbefehl verwenden, um Ihr CA-Zertifikat zu binden.

bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->

Wichtig:

  • Intune NAC v2 API-Unterstützung ist in den NetScaler Gateway-Versionen 13.1, Build 12.50 oder höher und 13.0 Build 84.11 oder höher verfügbar.

  • Sie müssen die clientzertifikatbasierte Authentifizierung aktivieren, indem Sie auf den virtuellen VPN- und Authentifizierungsservern clientAuth auf ENABLED und clientCert auf OPTIONAL setzen. Der Parameter clientCert ist auf OPTIONAL gesetzt, sodass sich andere Endpunkte, die die Intune-NAC-Prüfung nicht benötigen, über denselben virtuellen Server authentifizieren können, ohne das Clientzertifikat bereitzustellen. Android- und iOS-Geräte müssen das Clientzertifikat bereitstellen. Andernfalls schlägt die Intune-NAC-Überprüfung fehl.
  • Sie müssen sicherstellen, dass die über Intune auf dem Mobilgerät bereitgestellten Clientzertifikate im SAN-Feld vom Typ URI über Intune-Geräte-ID verfügen müssen, wie im Dokument Neuer Microsoft Intune-Dienst für Netzwerkzugriffssteuerung angegeben. Einzelheiten finden Sie unter https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696. Das Format des URI-Wertfeldes muss dem in der folgenden Abbildung angegebenen Format entsprechen. Außerdem muss die Citrix SSO-App dasselbe Zertifikat für die Authentifizierung mit dem Gateway verwenden.

Beispiel Intune-Geräte-ID

Problembehandlung

Allgemeine Probleme

Problem Auflösung
Die Meldung “Richtlinie hinzufügen erforderlich” wird angezeigt, wenn Sie eine App öffnen Hinzufügen von Richtlinien in der Microsoft Graph-API
Es gibt Richtlinienkonflikte Es ist nur eine einzige Richtlinie pro App zulässig
Ihre App kann keine Verbindung zu internen Ressourcen herstellen Stellen Sie sicher, dass die richtigen Firewall-Ports geöffnet sind, die richtige Mandanten-ID verwendet werden usw.

NetScaler Gateway-Probleme

Problem Auflösung
Die Berechtigungen, die für die Gateway-App auf Azure konfiguriert werden müssen, sind nicht verfügbar. Überprüfen Sie, ob eine Intune-Lizenz verfügbar ist. Versuchen Sie, das Portal manage.windowsazure.com zu verwenden, um festzustellen, ob die Berechtigung hinzugefügt werden kann. Wenden Sie sich an den Microsoft-Support, wenn das Problem weiterhin besteht.
NetScaler Gateway kann nicht erreichen login.microsoftonline.comandgraph.windows.net. Prüfen Sie von NS Shell aus, ob Sie die folgende Microsoft-Website erreichen können: cURL -v -k https://login.microsoftonline.com. Überprüfen Sie dann, ob DNS auf NetScaler Gateway konfiguriert ist. Vergewissern Sie sich auch, dass die Firewall-Einstellungen korrekt sind (falls DNS-Anfragen durch eine Firewall gespeichert sind).
Ein Fehler erscheint in ns.log nachdem Sie OAuthAction konfiguriert haben. Überprüfen Sie, ob die Intune-Lizenzierung aktiviert ist und die Azure Gateway-App über die richtigen Berechtigungen verfügt.
Sh OAuthAction Befehl zeigt den OAuth-Status nicht als abgeschlossen an. Überprüfen Sie die DNS-Einstellungen und Berechtigungen für die Azure Gateway-App.
Auf dem Android- bzw. iOS-Gerät wird die Zweifaktor-Authentifizierungsaufforderung nicht angezeigt. Überprüfen Sie, ob das Zweifaktor-Geräte-ID-LogonSchema an den virtuellen Authentifizierungsserver gebunden ist.

Status und Fehlerzustand von NetScaler Gateway OAuth

Status Zustand des Fehlers
AADFORGRAPH Ungültiger Schlüssel, URL nicht aufgelöst, Verbindungstimeout
MDMINFO *manage.microsoft.comist ausgefallen oder nicht erreichbar
GRAPH Graph-Endpunkt nicht erreichbar
CERTFETCH Kommunikation mit Token Endpoint: https://login.microsoftonline.com wegen eines DNS-Fehlers nicht möglich. Um diese Konfiguration zu validieren, gehen Sie zur Shell-Eingabeaufforderung und geben cURL ein https://login.microsoftonline.com. Der Befehl muss validieren.

Hinweis: Wenn der OAuth Status erfolgreich ist, wird der Status als COMPLETE angezeigt.

Intune-Konfigurationsprüfung

Stellen Sie sicher, dass Sie das Kontrollkästchen Ich stimme zu unter Basis-iOS-VPN-Konfiguration für Citrix SSO > Netzwerkzugriffskontrolle (NAC) aktivieren. Sonst funktioniert der NAC-Check nicht.

Konfigurieren der Überprüfung des Netzwerkzugriffssteuerungsgeräts für den virtuellen NetScaler Gateway-Server für die Single