Erstellen von Richtlinien mit dem Schnellkonfigurationsassistenten
Hinweis: Citrix Endpoint Management wird nicht mehr unterstützt.
Sie können Einstellungen in NetScaler Gateway konfigurieren, um die Kommunikation mit Endpoint Management, StoreFront oder dem Webinterface mithilfe des Schnellkonfigurationsassistenten zu ermöglichen. Wenn Sie die Konfiguration abgeschlossen haben, erstellt der Assistent die richtigen Richtlinien für die Kommunikation zwischen NetScaler Gateway, Endpoint Management, StoreFront oder dem Webinterface. Zu diesen Richtlinien gehören Authentifizierungs-, Sitzungs- und clientlose Zugriffsrichtlinien. Wenn der Assistent abgeschlossen ist, sind die Richtlinien an den virtuellen Server gebunden, den der Assistent erstellt.
Wenn Sie den Assistenten für die Schnellkonfiguration abgeschlossen haben, kann NetScaler Gateway mit Endpoint Management oder StoreFront kommunizieren, und Benutzer können auf ihre Windows-basierten Anwendungen und virtuellen Desktops sowie Web-, SaaS- und mobilen Apps zugreifen. Benutzer können sich dann direkt mit Endpoint Management verbinden.
Während des Assistenten konfigurieren Sie die folgenden Einstellungen:
- Name, IP-Adresse und Port des virtuellen Servers
- Umleitung von einem unsicheren zu einem sicheren Port
- Zertifikate
- LDAP-Server
- RADIUS-Server
- Clientzertifikat für Authentifizierung (nur für Zwei-Faktor-Authentifizierung)
- Endpoint Management, StoreFront oder Webinterface
Sie können Zertifikate für NetScaler Gateway im Schnellkonfigurationsassistenten mithilfe der folgenden Methoden konfigurieren:
- Wählen Sie ein Zertifikat aus, das auf der Appliance installiert ist.
- Installieren Sie ein Zertifikat und einen privaten Schlüssel.
- Wählen Sie ein Testzertifikat aus. Hinweis: Wenn Sie ein Testzertifikat verwenden, müssen Sie den vollqualifizierten Domänennamen (FQDN) hinzufügen, der im Zertifikat enthalten ist.
Der Schnellkonfigurationsassistent unterstützt LDAP-, RADIUS- und Clientzertifikatauthentifizierung. Sie können die Zwei-Faktor-Authentifizierung im Assistenten konfigurieren, indem Sie diese Richtlinien befolgen:
- Wenn Sie LDAP als primären Authentifizierungstyp auswählen, können Sie RADIUS als sekundären Authentifizierungstyp konfigurieren.
- Wenn Sie RADIUS als primären Authentifizierungstyp auswählen, können Sie LDAP als sekundären Authentifizierungstyp konfigurieren.
- Wenn Sie Clientzertifikate als primären Authentifizierungstyp auswählen, können Sie LDAP oder RADIUS als sekundären Authentifizierungstyp konfigurieren.
Sie können nur eine LDAP-Authentifizierungsrichtlinie mithilfe des Schnellkonfigurationsassistenten konfigurieren. Mit dem Assistenten können Sie nicht mehrere LDAP-Authentifizierungsrichtlinien konfigurieren. Wenn Sie den Assistenten mehr als einmal ausführen und eine andere LDAP-Richtlinie verwenden möchten, müssen Sie die zusätzlichen Richtlinien manuell konfigurieren. Sie möchten beispielsweise eine Richtlinie konfigurieren, die sAMAccountName im Feld Serveranmeldungsnamenattribut verwendet, und eine zweite LDAP-Richtlinie, die den Benutzerprinzipalnamen (UPN) im Feld Serveranmeldungsnamenattribut verwendet. Verwenden Sie zum Konfigurieren dieser separaten Richtlinien das Konfigurationsdienstprogramm, um die Authentifizierungsrichtlinien zu erstellen. Weitere Informationen zum Konfigurieren von NetScaler Gateway für die Authentifizierung des Benutzerzugriffs mit einem oder mehreren LDAP-Servern finden Sie unter Konfigurieren der LDAP-Authentifizierung.
Wenn Sie einen virtuellen Server mithilfe des Assistenten für die Schnellkonfiguration erstellen und den virtuellen Server später entfernen möchten, empfiehlt Citrix, ihn mithilfe der Registerkarte Start zu entfernen. Wenn Sie diese Methode verwenden, um den virtuellen Server zu entfernen, werden die durch den Assistenten konfigurierten Richtlinien und Profile entfernt. Wenn Sie den virtuellen Server mithilfe der Registerkarte Konfiguration entfernen, werden die Richtlinien und Profile nicht entfernt. Der Assistent entfernt die folgenden Elemente nicht:
- Das während des Assistenten erstellte Zertifikatschlüsselpaar wird nicht entfernt, auch wenn das Zertifikat nicht an einen virtuellen Server gebunden ist
- Die LDAP-Authentifizierungsrichtlinie und das Profil bleiben erhalten, wenn die Richtlinie an einen anderen virtuellen Server gebunden ist. NetScaler Gateway entfernt die LDAP-Richtlinie nur, wenn die Richtlinie nicht an einen virtuellen Server gebunden ist.
In den folgenden Tabellen werden die Richtlinien und Profile beschrieben, die der Schnellkonfigurations-Assistent erstellt. Wie in den Tabellen beschrieben, hängen die konfigurierten Richtlinien und Profile davon ab, wie Benutzer eine Verbindung herstellen — entweder mit dem Citrix Secure Access-Client, der Citrix Workspace-App oder Secure Hub. Die erzwungenen Richtlinien hängen von der Citrix Endpoint Management Universal- oder Platform-Lizenz ab, die verwendet wird, wenn Benutzer eine Verbindung herstellen. Beim Kauf von NetScaler Gateway haben Sie auch eine bestimmte Anzahl von Universal-Lizenzen erworben, z. B. 100. Wenn Benutzer eine Verbindung mit dem Citrix Secure Access-Client herstellen, verwendet die Sitzung eine Universallizenz. Wenn Benutzer sich mit der Citrix Workspace-App verbinden, um auf Windows-basierte Anwendungen und Desktops zuzugreifen, verwendet die Sitzung die Plattformlizenz. Wenn Benutzer über Micro-VPN eine Verbindung von einem Mobilgerät herstellen und sich mit Secure Hub verbinden oder Apps wie WorxMail oder WorxWeb starten, verwendet die Sitzung eine Universal-Lizenz.
Sitzungsrichtlinien, Ausdrücke und Profile für die Universal License
Der Schnellkonfigurationsassistent erstellt die folgenden Sitzungsrichtlinien und Ausdrücke, die durchgesetzt werden, wenn die Sitzung die Universal-Lizenz verwendet.
| Policy-Typ | Ausdruck |
|---|---|
| Sitzung — Citrix Secure Hub oder Citrix Workspace-App | REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS |
| Sitzung — Citrix Workspace-App für Web | REQ.HTTP.HEADER Benutzeragent NOTCONTAINS CitrixReceiver
|
| Sitzung — NetScaler Gateway | REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer NOTEXISTS |
Die folgende Tabelle zeigt die Sitzungsprofileinstellungen, die der Schnellkonfigurations-Assistent für jeden Sitzungsrichtlinientyp in der vorhergehenden Tabelle erstellt. In der ersten Spalte wird beschrieben, wo die Profileinstellung oder die Registerkarte im Sitzungsprofil im Konfigurationsdienstprogramm zu finden ist.
Die eingegebene StoreFront-URL hängt davon ab, wie Benutzer eine Verbindung herstellen. Wenn Benutzer mithilfe der Citrix Workspace-App für das Web oder mithilfe eines Webbrowsers eine Verbindung herstellen, verwenden Sie das URL-Formular https://SF-FQDN/Citrix/StoreWeb. Wenn Benutzer mithilfe der Citrix Workspace-App auf Windows, Mac oder Mobilgeräten eine Verbindung herstellen, verwenden Sie das URL-Formular https://SF-FQDN/Citrix/Store.
| Standort des Profils | Einstellung des Profils | Citrix Workspace-App | Citrix Workspace-App für Web | NetScaler Gateway |
|---|---|---|---|---|
| Ressourcen > Intranet-Anwendungen | Transparentes Abfangen | – | Aus | Ein |
| Sitzung > Registerkarte „Kundenerlebnis “ | Clientloser Zugriff | Ein | Ein | Aus |
| Sitzung > Registerkarte “Veröffentlichte Anwendungen” | ICA-Proxy | Aus | Aus | Aus |
| Sitzung > Registerkarte “Clienterlebnis “ | Einmaliges Anmelden bei Webanwendungen | Ein | Ein | Ein |
| Sitzung > Registerkarte “Veröffentlichte Anwendungen” | Domäne für einmaliges Anmelden | Endpoint Management StoreWeb URL | Endpoint Management StoreWeb URL | Endpoint Management StoreWeb URL |
| Sitzung > Registerkarte “Veröffentlichte Anwendungen” | Webinterface-Adresse | Endpoint Management StoreWeb URL | Endpoint Management StoreWeb URL | Endpoint Management StoreWeb URL |
| Sitzung > Registerkarte “Veröffentlichte Anwendungen” | Adresse der Kontodienste | StoreFront-URL | – | StoreFront-URL |
| Sitzung > Registerkarte “Kundenerlebnisse “ | Tunnel geteilt | Aus | – | Aus |
| Sitzung > Registerkarte “Kundenerlebnisse “ | Clientlose Zugriffs-URL-Kodierung | Löschen | – | Löschen |
| Sitzung > Registerkarte “Kundenerlebnisse “ | Zuhause Page | – | Endpoint Management StoreWeb URL | Endpoint Management StoreWeb URL |
| Sitzung > Clienterfahrungen und klicken Sie dann auf die Registerkarte Erweiterte Einstellungen > Allgemein | Wahlmöglichkeiten für Kunden | Aus | Aus | Aus |
| Sitzung > Registerkarte Sicherheit | Standard-Autorisierungsaktion | Allow | Allow | Allow |
| Sitzung > Registerkarte “Kundenerlebnisse “ | Sitzungs-Timeout (Minuten) | 24 Stunden | – | – |
| Sitzung > Registerkarte “Kundenerlebnisse “ | Zeitüberschreitung für Kunden im Leerlauf (Minuten) | (0) deaktiviert | – | – |
| Sitzung > Netzwerkkonfiguration und klicken Sie dann auf Erweiterte Einstellungen | Erzwungene Auszeit (Minuten) | 24 Stunden | – | – |
Clientlose Zugriffsprofileinstellungen für die Universal License
Der Schnellkonfigurationsassistent erstellt die folgenden clientlosen Zugriffsprofileinstellungen für die Universal-Lizenz:
- Konfigurieren Sie Domains für den clientlosen Zugriff, um den Zugriff zu ermöglichen. Konfiguriert den Mustersatz ns_cvpn_default_inet_domains <
App ControllerFQDN>. Zum Beispiel ns_cvpn_default_inet_domainsAppController_Domain_COM -
App ControllerURL. Konfiguriert den Mustersatz ns_cvpn_default_inet_domains <App ControllerFQDN>. Zum Beispiel ns_cvpn_default_inet_domainsAppController_Domain_COM - ShareFile: Ermöglicht bis zu fünf Bindungen. Konfigurieren Sie den Mustersatz ns_cvpn_default_inet_domains <
App ControllerFQDN>. Zum Beispiel ns_cvpn_default_inet_domainsAppController_Domain_COM
Clientlose Zugriffseinstellungen und Regeln für die Universal License
In der folgenden Tabelle sind die Richtlinieneinstellungen für clientlosen Zugriff aufgeführt, die durchgesetzt werden, wenn die Sitzung die Universal-Lizenz verwendet.
| Richtlinienname | Regel | Profil |
URLs rewrite label |
Javascript rewrite label |
Musterset | Kommentare |
|---|---|---|---|---|---|---|
| CLT_LESS_VIP | Receiver_NoRewrite | NO_RW_VIP | Standard | Standard | Standard | Receiver_NoRewrite |
| CLT_LESS_RF_VIPCLT_LESS_RF_VIP | True | ST_WB_RW_VIP | ns_cvpn_default_inet_url_label | Standard | STORE_WEB_COOKIES |
RfWeb_Rewrite |
Der Mustersatz STORE_WEB_COOKIES für die Citrix Workspace-App für Web hängt die virtuelle NetScaler Gateway-IP-Adresse an den Namen an, wie in der nächsten Abbildung dargestellt:
Abbildung 1. Musterset für die Citrix Workspace-App für Web
Sitzungsrichtlinien, Regeln und Profile für die Plattformlizenz
Die Plattformlizenz mit NetScaler Gateway ermöglicht eine unbegrenzte Anzahl von ICA-Verbindungen zu Windows-basierten Anwendungen und Desktops, die von Citrix Virtual Apps and Desktops gehostet werden. Die folgenden Tabellen zeigen die Sitzungsregeln und Sitzungsrichtlinieneinstellungen für Benutzer, die sich mit der Citrix Workspace-App verbinden.
| Policy-Typ | Regel |
| ———————————————— | ————————————————————————————— |
| Session - Operating System and NetScaler Gateway | REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver || REQ.HTTP.HEADER Referer NOTEXISTS |
| Session - Receiver for Web | ns_true |
|Standort des Profils|Einstellung des Profils|Betriebssystem/NetScaler Gateway|Web-Site|
|— |— |— |— |
|**Ressourcen > Intranet-Anwendungen**|Transparentes Abfangen|–|Aus|
|**Sitzung > Registerkarte „Kundenerlebnis** “|Clientloser Zugang|Aus|Aus|
|**Sitzung > Registerkarte "Veröffentlichte Anwendungen"**|ICA-Proxy|Ein|Ein|
|**Sitzung > Registerkarte "Clienterlebnis** "|Single Sign-on zu Webanwendungen|Ein|Ein|
|**Sitzung > Registerkarte "Veröffentlichte Anwendungen"**|Single Sign-on Domäne|Einstellen|Einstellen|
|Session > Published Applications tab|Web Interface Address|config.xml if Web Interface
StoreFront URL with StoreWeb|StoreFront URL|
|Session > Published Applications tab|Account Services Address|StoreFront URL with StoreWeb|N/A|
|Session > Client Experiences tab|Split Tunnel|Off|N/A|
|Session > Client Experiences tab|Clientless Access URL Encoding|N/A|N/A|
|Session > Client Experiences tab|Home Page|N/A|N/A|
|Session > Client Experiences tab and then click the Advanced Settings > General tab|Client Choices|Off|Off|
|Session > Security tab|Default Authorization Action|Allow|Allow|
|Session > Client Experiences tab|Session Time-out (mins)|N/A|N/A|
|Session > Client Experiences tab|Client Idle Time-out (mins)|N/A|N/A|
|Session > Network Configuration tab and then click Advanced Settings|Forced Time-out (mins)|N/A|N/A|