Gateway

Proxy RDP sin estado

El proxy RDP sin estado accede a un host RDP. El acceso se concede a través del RDPListener en Citrix Gateway cuando el usuario se autentica en un Citrix Gateway Authenticator independiente. La información requerida por el RDPListener para Citrix Gateway se almacena de forma segura en un servidor STA.

El flujo y los nuevos botones creados para esta funcionalidad se describen aquí.

Requisitos previos

  • El usuario se autentica en Citrix Gateway Authenticator.

  • La URL /rdpproxy inicial y el cliente RDP están conectados a un Citrix Gateway RDPListener diferente.

  • La puerta de enlace de autenticación transfiere de forma segura la información de la puerta de enlace RDPListener mediante un servidor STA.

Configuración

  • Agregue un nuevo perfil RDPServer. El perfil del servidor está configurado en la puerta de enlace RDPListener.

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
     <!--NeedCopy-->
    

    En el caso de un proxy RDP sin estado, el servidor STA valida el vale STA, que envía el cliente RDP, para obtener la información de destino o usuario RDP de RDP.

    El perfil del servidor RDP se configura en el servidor virtual vpn mediante el siguiente comando:

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
     <!--NeedCopy-->
    

    Advertencia Una vez que el RDPServerProfile esté configurado en el servidor virtual vpn, no se puede modificar. Además, el mismo ServerProfile no se puede reutilizar en otro servidor virtual VPN.

El comando rdp profile se renombró como perfil RDPClient y tiene parámetros nuevos. Se ha agregado el comando MultiMonitorSupport. Además, se ha agregado una opción para configurar parámetros personalizados, que no se admiten como parte del perfil del cliente RDP. Se ha eliminado el param clientSSL, ya que la conexión siempre está protegida. El perfil del cliente se configura en la puerta de enlace del autenticador.

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> \[-rdpUrlOverride \( ENABLE | DISABLE )] \[-redirectClipboard \( ENABLE | DISABLE )] \[-redirectDrives \( ENABLE | DISABLE )]

        \[-redirectPrinters \( ENABLE | DISABLE )] \[-keyboardHook <keyboardHook>] \[-audioCaptureMode \( ENABLE | DISABLE )] \[-videoPlaybackMode \( ENABLE | DISABLE )]

        \[-rdpCookieValidity <positive\_integer>]\[-multiMonitorSupport \( ENABLE | DISABLE )] \[-rdpCustomParams <string>] La configuración —RDPhost se utiliza en una única implementación de puerta de enlace.
  • Asocie el perfil RDP con el servidor virtual vpn.

Esto se puede hacer configurando SessionAction+SessionPolicy o configurando el parámetro vpn global.

Ejemplo

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

OR

set vpn parameter –rdpClientprofile <name>

Contador de conexiones

Se agregó un nuevo contador de conexiones ns_rdp_tot_curr_active_conn, que mantiene el registro del número de conexiones activas en uso. Se puede ver como parte del comando nsconmsg en el shell de NetScaler. Más adelante, proporcionaremos un nuevo comando CLI para ver estos contadores.

Flujo de conexión

Hay dos conexiones involucradas en el flujo del proxy RDP. La primera conexión es la conexión VPN SSL del usuario al VIP de Citrix Gateway y la enumeración de los recursos RDP.

La segunda conexión es la conexión del cliente RDP nativo al agente de escucha RDP (se configura mediante RDPip y RDPport) en Citrix Gateway y, posteriormente, la transmisión por proxy del cliente RDP a los paquetes del servidor de forma segura.

imagen traducida

  1. El usuario se conecta al Authenticator Gateway VIP y proporciona sus credenciales.

  2. Tras iniciar sesión correctamente en Gateway, se redirige al usuario a la página de inicio o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.

  3. Una vez que el usuario selecciona un recurso RDP, el Authenticator Gateway VIP recibe una solicitud en el formato https://AGVIP/rdpproxy/ip:port/rdptargetproxyque indica el recurso publicado en el que el usuario hizo clic. Esta solicitud contiene la información sobre la IP y el puerto del servidor RDP que el usuario ha seleccionado.

  4. La puerta de enlace de autenticación procesa la solicitud /rdpproxy/. Como el usuario ya está autenticado, esta solicitud incluye una cookie de Gateway válida.

  5. La información de RDPTarget y RDPUser se almacena en el servidor STA y se genera un ticket STA. La información se almacena como un blob XML que se cifra opcionalmente mediante la clave previamente compartida configurada. Si se cifra, el blob se codifica y almacena en base64. La puerta de enlace de autenticación utilizará uno de los servidores STA que está configurado en el servidor virtual de Gateway.

  6. El blob XML tendrá el siguiente formato

    <Value name=” IPAddress” >ipaddr </Value> nport<Value name=” Port” > n </Value>

    <Value name=” Username” >nombre de usuario </Value><Value name=” Password” > npwd </Value>

  7. El “rdptargetproxy” obtenido en la solicitud /rdpproxy/ se coloca como el ‘fulladdress’ y el ticket STA (pre-penado con el STA authID) se coloca como el ‘loadbalanceinfo’ en el archivo.rdp.

  8. El archivo.rdp se devuelve al punto final del cliente.

  9. El cliente RDP nativo se inicia y se conecta a la puerta de enlace RDPListener. Envía el tíquet STA en el paquete x.224 inicial.

  10. La puerta de enlace RDPListener valida el ticket STA y obtiene la información de RDPTarget y RDPUser. El servidor STA que se va a utilizar se recupera mediante el «authID» presente en loadbalanceinfo.

  11. Se crea una sesión de puerta de enlace para almacenar directivas de autorización/auditoría. Si ya existe una sesión para el usuario, se vuelve a utilizar.

  12. La puerta de enlace RDPListener se conecta al RDPTarget e inicia sesión de forma única mediante CREDSSP.

Compatibilidad con puerta de enlace única

Si el archivo RDP se genera con la URL /rdpproxy/rdptarget/rdptargetproxy, generaremos un ticket STA; de lo contrario, se utilizará el método actual de «loadbalanceinfo» que hace referencia directamente a la sesión.

imagen traducida

En el caso de una implementación de una única puerta de enlace, la URL /rdpproxy llega a la propia puerta de enlace de autenticación. No se requiere un servidor STA. La puerta de enlace de autenticación codifica la cookie de sesión RDPTarget y AAA de forma segura y la envía como «loadbalanceinfo» en el archivo.rdp. Cuando el cliente RDP envía este token en el paquete x.224, la puerta de enlace del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta al RDPTarget.

Notas sobre la actualización

La configuración anterior no funciona con esta nueva versión, ya que los parámetros RDPip y RDPport, que se configuraban anteriormente en vpn vserver, se han actualizado para que formen parte del RDPServerProfile y «rdp Profile» se ha renombrado como «rdp ClientProfile» y se ha eliminado el antiguo parámetro ClientSSL.

Crear perfil de servidor RDP

  1. Vaya a Citrix Gateway > Políticas > RDP.

    imagen traducida

  2. Vaya a la pestaña Perfiles del servidor y haga clic en Agregar .

    imagen traducida

  3. Introduzca la siguiente información para crear el perfil del servidor RDP.

    imagen traducida

Configurar el perfil del cliente RDP

  1. Vaya a Citrix Gateway > Políticas > RDP

    imagen traducida

  2. Vaya a la pestaña Perfiles de clientes y haga clic en Agregar .

    imagen traducida

  3. Introduzca la siguiente información para configurar el perfil del servidor RDP.

    imagen traducida

Configurar un servidor virtual

  1. Vaya a Citrix Gateway > Servidor virtual.

    imagen traducida

  2. Haga clic en Agregar para crear un nuevo servidor RDP.

    imagen traducida

  3. Complete los datos de esta página de configuración básica y haga clic en Aceptar .

    imagen traducida

  4. Haz clic en el lápiz para editar la página.

    imagen traducida

Proxy RDP sin estado