Gateway

Konfigurieren des Zugriffsszenario-Fallbacks

Mit SmartAccess kann NetScaler Gateway basierend auf den Ergebnissen eines Endpoint Analysis-Scans automatisch die Zugriffsmethoden ermitteln, die für ein Benutzergerät zulässig sind. Das Access-Szenario-Fallback erweitert diese Funktion noch weiter, indem es einem Benutzergerät ermöglicht, mithilfe der Citrix Workspace-App vom Citrix Secure Access-Client auf das Webinterface oder StoreFront zurückzugreifen, falls das Benutzergerät den ersten Endpoint Analysis-Scan nicht besteht.

Um Fallback für Zugriffsszenarien zu aktivieren, konfigurieren Sie eine Richtlinie nach der Authentifizierung, die festlegt, ob Benutzer bei der Anmeldung bei NetScaler Gateway eine alternative Zugriffsmethode erhalten. Diese Richtlinie nach der Authentifizierung ist als Client-Sicherheitsausdruck definiert, den Sie entweder global oder als Teil eines Sitzungsprofils konfigurieren. Wenn Sie ein Sitzungsprofil konfigurieren, wird das Profil einer Sitzungsrichtlinie zugeordnet, die Sie dann an Benutzer, Gruppen oder virtuelle Server binden. Wenn Sie Fallback für Zugriffsszenarien aktivieren, initiiert NetScaler Gateway nach der Benutzerauthentifizierung einen Endpoint Analysis-Scan. Die Ergebnisse für Benutzergeräte, die die Anforderungen eines Fallback-Scans nach der Authentifizierung nicht erfüllen, lauten wie folgt:

  • Wenn die Clientauswahl aktiviert ist, können sich Benutzer nur mithilfe der Citrix Workspace-App am Webinterface oder StoreFront anmelden.
  • Wenn clientloser Zugriff und Clientauswahl deaktiviert sind, können Benutzer in eine Gruppe isoliert werden, die nur Zugriff auf das Webinterface oder StoreFront bietet.
  • Wenn der clientlose Zugriff und das Webinterface oder StoreFront auf NetScaler Gateway aktiviert sind und der ICA-Proxy deaktiviert ist, greifen Benutzer auf den clientlosen Zugriff zurück.
  • Wenn das Webinterface oder StoreFront nicht konfiguriert ist und der clientlose Zugriff auf Zulassen eingestellt ist, greifen Benutzer auf den clientlosen Zugriff zurück.

Wenn der clientlose Zugriff deaktiviert ist, muss die folgende Kombination von Einstellungen für das Fallback des Zugriffsszenarios konfiguriert werden:

  • Definieren Sie Sicherheitsparameter für den Fallback-Scan nach der Authentifizierung.
  • Definieren Sie die Webinterface-Homepage.
  • Deaktivieren Sie Clientauswahl.
  • Wenn Benutzergeräte die Client-Sicherheitsprüfung nicht bestehen, werden Benutzer in eine Quarantänegruppe eingeordnet, die nur Zugriff auf das Webinterface oder StoreFront und auf veröffentlichte Anwendungen ermöglicht.

Erstellen von Richtlinien für Access Scenario Fallback

Um NetScaler Gateway für das Fallback von Zugriffsszenarien zu konfigurieren, müssen Sie Richtlinien und Gruppen auf folgende Weise erstellen:

  • Erstellen Sie eine Quarantänegruppe, in der Benutzer platziert werden, wenn der Endpoint Analysis-Scan fehlschlägt.
  • Erstellen Sie eine globale Einstellung für das Webinterface oder StoreFront, die verwendet wird, wenn der Endpoint Analysis-Scan fehlschlägt.
  • Erstellen Sie eine Sitzungsrichtlinie, die die globale Einstellung überschreibt, und binden Sie dann die Sitzungsrichtlinie an eine Gruppe.
  • Erstellen Sie eine globale Client-Sicherheitsrichtlinie, die angewendet wird, wenn die Endpunktanalyse fehlschlägt.

Beachten Sie beim Konfigurieren des Fallbacks für das Zugriffsszenario die folgenden Richtlinien:

  • Die Verwendung von Clientoptionen oder Fallbacks für Zugriffsszenarien erfordert das Endpoint Analysis-Plug-In für alle Benutzer. Wenn die Endpoint Analysis nicht ausgeführt werden kann oder wenn Benutzer während des Scans Scan überspringen auswählen, wird Benutzern der Zugriff verweigert. Hinweis: Die Option zum Überspringen des Scans wird in NetScaler Gateway 10.1, Build 120.1316.e entfernt
  • Wenn Sie die Clientauswahl aktivieren und das Benutzergerät den Endpoint Analysis-Scan nicht besteht, werden Benutzer in die Quarantänegruppe aufgenommen. Benutzer können sich weiterhin entweder mit dem Citrix Secure Access-Client oder der Citrix Workspace-App am Webinterface oder StoreFront anmelden. Hinweis: Citrix empfiehlt, keine Quarantänegruppe zu erstellen, wenn Sie die Clientauswahl aktivieren. Benutzergeräte, die den Endpoint Analysis-Scan nicht bestehen, werden unter Quarantäne gestellt, werden genauso behandelt wie Benutzergeräte, die den Endpunkt-Scan bestehen.
  • Wenn der Endpoint Analysis-Scan fehlschlägt und der Benutzer in die Quarantänegruppe aufgenommen wird, sind die an die Quarantänegruppe gebundenen Richtlinien nur wirksam, wenn keine direkt an den Benutzer gebundenen Richtlinien vorhanden sind, die eine gleiche oder niedrigere Prioritätszahl als die an die Quarantänegruppe gebundenen Richtlinien haben.
  • Sie können verschiedene Webadressen für das Access Interface und das Webinterface oder StoreFront verwenden. Wenn Sie die Homepages konfigurieren, hat die Access Interface-Homepage Vorrang für den Citrix Secure Access-Client und die Webinterface-Homepage hat Vorrang für Webinterface-Benutzer. Die Homepage der Citrix Workspace-App hat Vorrang für StoreFront.

Erstellen einer Quarantänegruppe

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway > Benutzerverwaltung, und klicken Sie dann auf AAA-Gruppen.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Feld Gruppennameeinen Namen für die Gruppe ein, klicken Sie auf Erstellen und dann auf Schließen. Wichtig: Der Name der Quarantänegruppe darf nicht mit dem Namen einer Domänengruppe übereinstimmen, zu der Benutzer gehören könnten. Wenn die Quarantänegruppe mit einem Active Directory-Gruppennamen übereinstimmt, werden Benutzer unter Quarantäne gestellt, selbst wenn das Benutzergerät den Endpoint Analysis-Sicherheitsscan durchläuft.

Konfigurieren Sie NetScaler Gateway nach dem Erstellen der Gruppe so, dass auf das Webinterface zurückgekehrt wird, wenn das Benutzergerät den Endpoint Analysis-Scan nicht besteht.

Konfigurieren von Einstellungen zur Quarantäne von Benutzerverbindungen

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Wählen Sie im Dialogfeld Globale NetScaler Gateway-Einstellungen auf der Registerkarte Published Applications neben ICA-ProxyOFFaus.
  4. Geben Sie neben Webinterface-Adressedie Webadresse für StoreFront oder das Webinterface ein.
  5. Geben Sie neben Single Sign-On Domäneden Namen Ihrer Active Directory-Domäne ein, und klicken Sie dann auf OK.

Erstellen Sie nach dem Konfigurieren der globalen Einstellungen eine Sitzungsrichtlinie, die die globale ICA-Proxy-Einstellung außer Kraft setzt, und binden Sie dann die Sitzungsrichtlinie an die Quarantänegruppe.

Erstellen einer Sitzungsrichtlinie für Access Scenario Fallback

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im NavigationsbereichNetScaler Gateway > Policiesund klicken Sie dann auf Sitzung.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie im Feld Name einen Namen für die Richtlinie ein.
  4. Klicken Sie neben Profil anfordernauf Neu.
  5. Klicken Sie auf der Registerkarte Veröffentlichte Anwendungen neben ICA-Proxyauf Global überschreiben, wählen Sie Ein aus , und klicken Sie dann auf Erstellen.
  6. Wählen Sie im Dialogfeld Sitzungsrichtlinie erstellen neben Benannte Ausdrückedie Option Allgemeinaus, wählen SieWahrer Wertaus, klicken Sie aufAusdruck hinzufügen, klicken Sie aufErstellenund dann aufSchließen.

Binden Sie die Richtlinie nach dem Erstellen der Sitzungsrichtlinie an eine Quarantänegruppe.

Binden Sie die Sitzungsrichtlinie an die Quarantänegruppe

  1. Erweitern Sie im Konfigurationsdienstprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway > Benutzerverwaltung, und klicken Sie dann auf AAA-Gruppen.
  2. Wählen Sie im Detailbereich eine Gruppe aus, und klicken Sie dann auf Öffnen.
  3. Klicken Sie auf Sitzung.
  4. Wählen Sie auf der Registerkarte RichtlinienSitzungaus, und klicken Sie dann aufRichtlinie einfügen.
  5. Wählen Sie unter Richtliniennamedie Richtlinie aus, und klicken Sie dann auf OK.

Erstellen Sie nach dem Erstellen der Sitzungsrichtlinie und des Profils, die das Webinterface oder StoreFront auf NetScaler Gateway aktiviert haben, eine globale Client-Sicherheitsrichtlinie.

Erstellen einer globalen Client-Sicherheitsrichtlinie

  1. Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich NetScaler Gateway und klicken Sie dann auf GlobaleEinstellungen.
  2. Klicken Sie im Detailbereich unter Einstellungenauf Globale Einstellungen ändern.
  3. Klicken Sie auf der Registerkarte Sicherheit auf Erweiterte Einstellungen.
  4. Geben Sie unter Client Securityden Ausdruck ein. Weitere Informationen zum Konfigurieren von Systemausdrücken finden Sie unter Konfigurieren von Systemausdrücken und Konfigurieren von Sicherheitsausdrücken für zusammengesetzte Clients
  5. Wählen Sie in Quarantänegruppedie Gruppe aus, die Sie in der Gruppenprozedur konfiguriert haben, und klicken Sie dann auf OK.
Konfigurieren des Zugriffsszenario-Fallbacks