Always-On-VPN vor der Windows-Anmeldung konfigurieren
In diesem Abschnitt werden die Details zur Konfiguration von Always On VPN vor der Windows-Anmeldung mithilfe einer erweiterten Richtlinie erfasst.
Voraussetzungen
- NetScaler Gateway und VPN-Plug-In müssen Version 13.0.41.20 und höher sein.
- NetScaler Advanced Edition und höher ist erforderlich, damit die Lösung funktioniert.
- Sie können die Funktionalität nur mithilfe erweiterter Richtlinien konfigurieren.
- Der virtuelle VPN-Server muss betriebsbereit sein.
Hochrangige Konfigurationsschritte
Die Konfiguration Always On VPN vor der Windows-Anmeldung umfasst die folgenden Schritte auf hoher Ebene:
- Richten Sie einen Tunnel auf Maschinenebene ein
- Richten Sie einen Tunnel auf Benutzerebene ein (optional)
- Benutzerauthentifizierung aktivieren
- Konfigurieren Sie den virtuellen VPN-Server, installieren Sie ein ZS-Zertifikat und binden Sie den Zertifikatsschlüssel an den virtuellen Server.
- Authentifizierungsprofil erstellen
- Erstellen Sie einen virtuellen Authentifizierungsserver
- Erstellen von Authentifizierungsrichtlinien
- Binden Sie die Richtlinien an das Authentifizierungsprofil
Tunnel auf Maschinenebene
Der Tunnel auf Maschinenebene wird in Richtung NetScaler Gateway mithilfe des Gerätezertifikats als Identität eingerichtet. Das Gerätezertifikat muss auf dem Clientcomputer unter dem Maschinenspeicher installiert sein. Dies gilt nur für den Dienst Always On vor dem Windows-Anmeldedienst.
Weitere Informationen zum Gerätezertifikat finden Sie unter Verwenden von Gerätezertifikaten für die Authentifizierung.
Wichtig:
Wenn der virtuelle VPN-Server auf der NetScaler Gateway-Appliance auf einem nicht standardmäßigen Port (außer 443) konfiguriert ist, funktioniert der Tunnel auf Computerebene nicht wie vorgesehen.
Richten Sie den Tunnel auf Maschinenebene mithilfe des Gerätezertifikats ein
Konfiguration der gerätezertifikatbasierten Authentifizierung über die GUI
- Navigieren Sie auf der Registerkarte Konfiguration zu NetScaler Gateway > Virtuelle Server.
- Wählen Sie auf der Seite NetScaler Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
-
Klicken Sie unter Zertifikatauf CA-Zertifikat.
-
Klicken Sie auf der Seite CA Certificate Binding neben dem Feld CA-Zertifikat auswählen auf Hinzufügen, aktualisieren Sie die erforderlichen Informationen und klicken Sie auf Installieren.
-
Klicken Sie auf der Seite VPN Virtual Server auf das Bearbeitungssymbol.
-
Klicken Sie im Abschnitt Grundeinstellungen auf Mehr.
-
Klicken Sie neben dem Abschnitt CA for Device Certificate auf Hinzufügen und dann auf OK.
Hinweis: Markieren Sie nicht das Kontrollkästchen Gerätezertifikat aktivieren.
-
Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt Zertifikat auf CA-Zertifikat. Klicken Sie auf der Seite SSL Virtual Server CA Certificate Binding auf Bindung hinzufügen.
Hinweis:
- Das Feld Subject Common Name (CN) des Gerätezertifikats darf nicht leer sein. Wenn ein Gerät versucht, sich mit leeren CN-Gerätezertifikaten anzumelden, wird seine VPN-Sitzung mit dem Benutzernamen als “anonym” erstellt. Wenn in IIP mehrere Sitzungen denselben Benutzernamen haben, werden frühere Sitzungen getrennt. Wenn IIP aktiviert ist, bemerken Sie die Auswirkungen auf die Funktionalität aufgrund eines leeren gebräuchlichen Namens.
- Alle CA-Zertifikate (Root und Intermediate), die das an Clients ausgestellte Gerätezertifikat möglicherweise signieren können, müssen an den Abschnitt CA for Device Certificate sowie an den Abschnitt CA-Zertifikatbindung für virtuelle Server in den Schritten 4 und 5 gebunden sein. Weitere Informationen zum Verknüpfen von CA-Zertifikaten mit Zwischen-/Untergeordneten finden Sie unter Installieren, Verknüpfen und Aktualisieren von Zertifikaten.
- Wenn mehrere Gerätezertifikate konfiguriert sind, wird das Zertifikat mit dem längsten Ablaufdatum für die VPN-Verbindung versucht. Wenn dieses Zertifikat den EPA-Scan erfolgreich zulässt, wird die VPN-Verbindung hergestellt. Wenn dieses Zertifikat beim Scanvorgang fehlschlägt, wird das nächste Zertifikat verwendet. Dieser Vorgang wird solange fortgeführt, bis alle Zertifikate ausprobiert wurden.
-
Wählen Sie auf der Seite CA Certificate Binding das Zertifikat aus.
-
Klicken Sie auf Bind.
- Erstellen Sie einen virtuellen Authentifizierungsserver.
- Navigieren Sie auf der Seite Virtuelle VPN-Server zu Erweiterte Einstellungen > Authentifizierungsprofil und klicken Sie auf Hinzufügen.
- Weisen Sie dem Authentifizierungsprofil auf der Seite Authentifizierungsprofil erstellen einen Namen zu und klicken Sie auf Erstellen.
- Weisen Sie dem virtuellen Authentifizierungsserver auf der Seite Virtueller Authentifizierungsserver einen Namen zu. Wählen Sie den IP-Adresstyp als Nicht adressierbar aus und klicken Sie auf OK.
Hinweis:
Der virtuelle Authentifizierungsserver bleibt immer im Status DOWN.
- Erstellen Sie eine Authentifizierungsrichtlinie.
- Wählen Sie im Abschnitt Erweiterte Authentifizierungsrichtlinien der Seite Sicherheit > AAA-Anwendungsverkehr > Virtuelle Authentifizierungsserver die Authentifizierungsrichtlinie aus und klicken Sie auf Bindung hinzufügen.
- Klicken Sie auf der Seite Policy Binding neben dem Feld Richtlinie auswählen auf Hinzufügen.
- Auf der Seite Authentifizierungsrichtlinie erstellen
- Weisen Sie der erweiterten Authentifizierungsrichtlinie einen Namen zu.
- Wählen Sie EPA aus der Liste Aktionstyp aus.
- Klicken Sie neben Aktion auf Hinzufügen.
- Auf der Seite “EPA-Aktion für Authentifizierung erstellen”;
- Weisen Sie der EPA-Aktion einen Namen zu.
- Geben Sie
sys.client_expr("device-cert_0_0")
in das Feld Ausdruck ein. -
Klicken Sie auf Erstellen.
- Auf der Seite Authentifizierungsrichtlinie erstellen
- Weisen Sie der Authentifizierungsrichtlinie einen Namen zu.
- Geben Sie is_aoservice in das Feld Ausdruck ein.
-
Klicken Sie auf Erstellen.
- Geben Sie auf der Seite Policy Binding 100 in Priorität ein und klicken Sie auf Binden.
Konfiguration der gerätezertifikatbasierten Authentifizierung über die CLI
-
Installieren Sie ein CA-Zertifikat auf einem virtuellen VPN-Server.
add ssl certkey ckp -cert t_CA.cer <!--NeedCopy-->
-
Binden Sie das CA-Zertifikat an den virtuellen VPN-Server.
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional ) <!--NeedCopy-->
Beispiel
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory <!--NeedCopy-->
-
Fügen Sie einen virtuellen Authentifizierungsserver hinzu.
add authentication authnProfile <name> {-authnVsName <string>} <!--NeedCopy-->
Beispiel
add authentication authnProfile always_on -authnVsName always_on_auth_server <!--NeedCopy-->
-
Erstellen Sie eine EPA-Authentifizierungsaktion.
add authentication epaAction <name> -csecexpr <expression> <!--NeedCopy-->
Example
``` add authentication epaAction epa-act -csecexpr
sys.client_expr("device-cert_0_0")
-defaultgroup epa_pass ``` -
Erstellen einer Authentifizierungsrichtlinie
add authentication Policy <name> -rule <expression> -action <string>
Beispiel:
add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
Wichtig:
Die Tunnelkonfiguration auf Maschinenebene ist jetzt abgeschlossen. Informationen zum Einrichten des Tunnels auf Benutzerebene nach der Windows-Anmeldung finden Sie im Abschnitt Tunnel auf Benutzerebene.
Auf dem Clientcomputer ist das Gerätezertifikat im PFX-Format. Das PFX-Zertifikat ist auf dem Windows-Computer installiert, da Windows das PFX-Format versteht. Diese Datei enthält das Zertifikat und die Schlüsseldateien. Dieses Zertifikat muss derselben Domäne angehören, die an den virtuellen Server gebunden ist. Die PFX- und Serverzertifikate und -Schlüssel können mithilfe des Clientzertifikat-Assistenten generiert werden. Diese Zertifikate können zusammen mit der Zertifizierungsstelle verwendet werden, um die entsprechende PFX mit Serverzertifikat und Domäne zu generieren. Das Zertifikat .pfx ist im Computerkonto im persönlichen Ordner installiert. Der
show aaa session
Befehl zeigt den Gerätetunnel auf der NetScaler Appliance an.
Tunnel auf Benutzerebene
Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die GUI
Hinweis: Der Ausdruck is_aoservice.not
gilt ab NetScaler Gateway Version 13.0.41.20 und höher.
- Konfigurieren Sie eine Richtlinie für die Benutzerauthentifizierung.
- Navigieren Sie zu NetScaler Gateway > Virtuelle Server und wählen Sie einen virtuellen Server aus.
- Klicken Sie in Erweiterte Einstellungenauf Authentifizierungsprofil.
- Konfigurieren Sie das Authentifizierungsprofil.
- Wählen Sie auf der Seite Konfiguration > Sicherheit > AAA-Anwendungsverkehr > Virtuelle Authentifizierungsserver die Authentifizierungsrichtlinie aus.
-
Klicken Sie unter Aktion auswählenauf Bindung bearbeiten, und ändern Sie GoTo-Ausdruck für die Richtlinienbindung in NEXT anstelle von END.
-
Klicken Sie auf Binden und wählen Sie dann auf der Seite Authentifizierungsrichtlinie die Authentifizierungsrichtlinie aus und klicken Sie auf Bindung hinzufügen.
-
Klicken Sie auf der Seite Policy Binding neben Richtlinie auswählen auf Hinzufügen.
Auf der Seite Authentifizierungsrichtlinie erstellen
- Geben Sie einen Namen für die Richtlinie “Keine Authentifizierung” ein, die erstellt werden soll.
- Wählen Sie den Aktionstyp als NO_AuthN.
- Geben Sie is_aoservice.not in das Feld Ausdruck ein.
- Klicken Sie auf Erstellen.
-
Klicken Sie unter Aktion auswählenauf Bindung bearbeiten.
- Geben Sie auf der Seite Policy Binding 110 in Prioritätein. Klicken Sie neben “Nächsten Faktor auswählen” auf Hinzufügen.
- Geben Sie auf der Seite Authentifizierungsrichtlinienbezeichnung einen beschreibenden Namen für das Richtlinienlabel ein, wählen Sie das Anmeldeschema aus und klicken Sie auf Weiter.
- Klicken Sie unter Richtlinie auswählenauf Hinzufügen und erstellen Sie eine LDAP-Authentifizierungsrichtlinie.
- Klicken Sie auf Erstellen und dann auf Binden.
- Klicken Sie auf Fertig und dann auf Binden.
Auf der Seite Authentifizierungsrichtlinie zeigt die Spalte Nächster Faktor die konfigurierte Richtlinie für den nächsten Faktor an.
- Sie können die LDAP-Richtlinie als nächsten Faktor der Authentifizierungsrichtlinie konfigurieren.
- Geben Sie auf der Seite Authentifizierungsrichtlinie erstellen einen Namen für die LDAP-Richtlinie ein.
- Wählen Sie Aktionstyp als LDAPaus.
- Geben Sie Action als konfigurierte LDAP-Aktion ein.
Hinweis:
- Informationen zum Erstellen einer XML-Datei für das Anmeldeschema finden Sie unter XML-Dateifür das
- Informationen zum Erstellen von Richtlinienbezeichnungen finden Sie unter Authentifizieren des Policy Label.
- Informationen zum Erstellen einer LDAP-Authentifizierungsrichtlinie finden Sie unter So konfigurieren Sie die LDAP-Authentifizierung mithilfe des Konfigurationsdienstprogramms.
Ersetzen eines Tunnels auf Maschinenebene durch einen Tunnel auf Benutzerebene über die CLI
-
Binden einer Richtlinie an den virtuellen Authentifizierungsserver
bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Beispiel
bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
-
Fügen Sie eine Authentifizierungsrichtlinie mit dem Ausdruck Aktion als
NO_AUTH
undis_aoservice.not,
und binden Sie sie an die Richtlinie.add authentication Policy <name> -rule <expression> -action <string> bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Beispiel
add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
-
Fügen Sie einen nächsten Faktor hinzu und binden Sie die Policy Label an den nächsten Faktor.
add authentication policylabel <labelName> -loginSchema <string> bind authentication policylabel <string> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
Beispiel
add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
-
Konfigurieren Sie eine LDAP-Richtlinie und binden Sie sie an die Policy Label des Benutzertunnels.
add authentication policy <name> -rule <expression> -action <string> bind authentication vserver <vserver_name> -policy <string> -priorit < positive integer> gotoPriorityExpression <string>
Beispiel
add authentication Policy LDAP_new -rule true -action LDAP_new bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
Clientseitige Konfiguration
AlwaysOn, locationDetection, and suffixList registries
sind optional und nur erforderlich, wenn die Standorterkennungsfunktion benötigt wird.
Um auf Registrierungsschlüsseleinträge zuzugreifen, navigieren Sie zu folgendem Pfad: Computer>HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client
Registrierungsschlüssel | Registrierungstyp | Werte und Beschreibung |
---|---|---|
AlwaysOnService | REG_DWORD | 1 => Tunnel auf Maschinenebene einrichten, aber keinen Tunnel auf Benutzerebene; 2 => Tunnel auf Maschinenebene und Tunnel auf Benutzerebene einrichten |
AlwaysOnURL | REG SZ | URL des virtuellen NetScaler Gateway-Servers, mit dem der Benutzer eine Verbindung herstellen möchte. Beispiel: https://xyz.companyDomain.com Wichtig: Nur eine URL ist für den Tunnel auf Maschinenebene und den Tunnel auf Benutzerebene verantwortlich. Die AlwaysOnURL-Registrierung hilft sowohl der Service- als auch der Benutzerebenen-Komponente, einen separaten Tunnel zu arbeiten und zu verbinden, dh einen Tunnel auf Maschinenebene und einen auf dem Design basierenden Tunnel auf Benutzerebene |
AlwaysOn | REG_DWORD | 1 => Netzwerkzugriff bei VPN-Fehler zulassen; 2=> Netzwerkzugriff bei VPN-Fehler blockieren |
AlwaysOnAllowlist | REG_SZ | Semikolon-getrennte Liste von IP-Adressen oder FQDNs, die auf die Positivliste gesetzt werden müssen, während der Computer im strikten Modus läuft. Beispiel: 8.8.8.8;linkedin.com
|
UserCertCAList | REG_SZ | Komma- oder Semikolon-getrennte Liste von Stamm-CA-Namen, das ist der Name des Ausstellers des Zertifikats. Wird im Kontext eines Always On Service verwendet, bei dem ein Kunde die Liste der Zertifizierungsstellen angeben kann, aus denen das Clientzertifikat ausgewählt werden soll. Beispiel: cgwsanity.net;xyz.gov.in
|
locationDetection | REG_DWORD | 1 => Um die Standorterkennung zu aktivieren; 0 => Um die Standorterkennung zu deaktivieren |
suffixList | REG SZ | Die durch Semikolons getrennte Liste der Domänen ist dafür verantwortlich, zu überprüfen, ob sich das Gerät zu einem bestimmten Zeitpunkt im Intranet befindet oder nicht, wenn die Standorterkennung aktiviert ist. Example: citrite.net,cgwsanity.net
|
Weitere Informationen zu diesen Registrierungseinträgen finden Sie unter Always On.
Hinweis:
Wenn der Always-On-Dienst konfiguriert ist, wird das auf dem virtuellen NetScaler Gateway-Server oder auf NetScaler konfigurierte Always-On-Profil auf der Clientseite ignoriert. Stellen Sie daher sicher, dass Sie bei der Konfiguration des Always-On-Dienstes auch die VPN-Registrierungen
locationDetection
undAlwaysOn
aktivieren. ```