Gateway

Permitir el acceso desde dispositivos móviles con Citrix Mobile Productivity Apps

El asistente de NetScaler para XenMobile configura la configuración necesaria para permitir a los usuarios conectarse desde dispositivos compatibles a través de NetScaler Gateway a aplicaciones móviles y recursos de la red interna. Los usuarios se conectan mediante Secure Hub (anteriormente, Citrix Secure Hub), que establece un túnel Micro VPN. Cuando los usuarios se conectan, se abre un túnel VPN a NetScaler Gateway y, a continuación, se pasa a XenMobile en la red interna. Los usuarios pueden acceder a sus aplicaciones web, móviles y SaaS desde XenMobile.

Para garantizar que los usuarios consuman una única licencia universal al conectarse a NetScaler Gateway con varios dispositivos simultáneamente, puede habilitar la transferencia de sesiones en el servidor virtual. Para obtener más información, consulte Configuración de tipos de conexión en el servidor virtual.

Si necesita cambiar la configuración después de utilizar el asistente de NetScaler para XenMobile, utilice las secciones de este artículo para obtener orientación. Antes de cambiar la configuración, asegúrese de comprender las implicaciones de los cambios. Para obtener más información, consulte los artículos de XenMobile Deployment.

Configuración de Secure Browse en NetScaler Gateway

Puede cambiar Secure Browse como parte de la configuración global o como parte de un perfil de sesión. Puede enlazar la directiva de sesión a usuarios, grupos o servidores virtuales. Al configurar Secure Browse, también debe habilitar el acceso sin cliente. Sin embargo, el acceso sin cliente no requiere que habilite Secure Browse. Cuando configure el acceso sin cliente, establezca la codificación URL de acceso sin cliente en Borrar.

Para configurar Secure Browse globalmente:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En el cuadro de diálogo Configuración global de NetScaler Gateway, en la ficha Seguridad, haga clic en Secure Browse y, a continuación, haga clic en Aceptar.

Para configurar Secure Browse en un perfil y directiva de sesión:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, realice una de las acciones siguientes:
    • Si va a crear una nueva directiva de sesión, haga clic en Agregar.
    • Si va a cambiar una directiva existente, selecciónela y, a continuación, haga clic en Abrir.
  3. En la directiva, cree un perfil o modifique un perfil existente. Para hacerlo, realice una de las siguientes acciones:
    • Junto a Solicitar perfil, haga clic en Nuevo.
    • Junto a Solicitar perfil , haz clic en Modificar .
  4. En la ficha Seguridad, junto a Secure Browse, haga clic en Supedición global y, a continuación, seleccione Secure Browse.
  5. Lleve a cabo una de las siguientes acciones:
    • Si va a crear un nuevo perfil, haga clic en Crear, defina la expresión en el cuadro de diálogo de directivas, haga clic en Crear y, a continuación, haga clic en Cerrar.
    • Si modifica un perfil existente, después de realizar la selección, haga clic dos veces en Aceptar.

Para configurar directivas de tráfico para Secure Web en modo Secure Browse:

Siga estos pasos para configurar las directivas de tráfico para redirigir el tráfico de Secure Web a través de un servidor proxy en modo Secure Browse.

  1. En la utilidad de configuración, en la ficha Configuración, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Tráfico.
  2. En el panel derecho, haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar.
  3. En Nombre, introduzca un nombre para el perfil, seleccione TCP como protocoloy deje el resto de la configuración tal cual.
  4. Haga clic en Crear.
  5. Haga clic en la ficha Perfiles de tráfico y, a continuación, haga clic en Agregar.
  6. En Nombre, introduzca un nombre para el perfil y, a continuación, seleccione HTTP como protocolo. Este perfil de tráfico es para HTTP y SSL. El tráfico VPN sin cliente es tráfico HTTP por diseño, independientemente del puerto de destino o del tipo de servicio. Por lo tanto, especifica el tráfico SSL y HTTP como HTTP en el perfil de tráfico.
  7. En Proxy, introduzca la dirección IP del servidor proxy. En Puerto, introduzca el número de puerto del servidor proxy.
  8. Haga clic en Crear.
  9. Haga clic en la ficha Directivas de tráfico y, después, en Agregar.
  10. Introduzca el nombre de la directiva de tráfico y, para Solicitar perfil, seleccione el perfil de tráfico que creó en el paso 3. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    REQ.HTTP.HEADER HOST contains ActiveSyncServer || REQ.HTTP.HEADER User-Agent CONTAINS WorxMail || REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise || REQ.HTTP.HEADER User-Agent CONTAINS Citrix Secure Hub || REQ.HTTP.URL CONTAINS AGServices || REQ.HTTP.URL CONTAINS StoreWeb
    <!--NeedCopy-->
    

    Esta regla realiza una comprobación basada en el encabezado del host. Para omitir el tráfico de sincronización activa del proxy, sustituya ActiveSyncServer por el nombre del servidor de sincronización activa adecuado.

  11. Haga clic en la ficha Directivas de tráfico y, después, en Agregar. Introduzca el nombre de la directiva de tráfico y, para Solicitar perfil, seleccione el perfil de tráfico creado en el paso 6. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  12. Haga clic en la ficha Directivas de tráfico y, después, en Agregar. Introduzca el nombre de la directiva de tráfico y, en Perfil de solicitud, seleccione el perfil de tráfico creado en el paso 6. Escriba la siguiente expresión y, a continuación, haga clic en Crear:

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  13. Vaya a NetScaler Gateway > Servidores virtuales, seleccione el servidor virtual en el panel derecho y, a continuación, haga clic en Modificar.
  14. En la fila Directivas, haga clic en +.
  15. En el menú Elegir directiva, seleccione Tráfico.
  16. Haga clic en Continuar.
  17. En Vinculación de directivas, al lado de Seleccionar directiva, haga clic en >.
  18. Seleccione la directiva que creó en el paso 10 y, a continuación, haga clic en Aceptar.
  19. Haga clic en Bind.
  20. En Directivas, haga clic en Directiva de tráfico.
  21. En Enlace de directivas de tráfico de servidor virtual VPN, haga clic en Agregar enlace.
  22. En Vinculación de directivas, junto al menú Seleccionar directiva, haga clic en > para ver la lista de directivas.
  23. Seleccione la directiva que creó en el paso 11 y, a continuación, haga clic en Aceptar.
  24. Haga clic en Bind.
  25. En Directivas, haga clic en Directivas de tráfico.
  26. En Enlace de directivas de tráfico de servidor virtual VPN, haga clic en Agregar enlace.
  27. En Vinculación de directivas, junto al menú Seleccionar directiva, haga clic en > para ver la lista de directivas.
  28. Seleccione la directiva que creó en el paso 12 y, a continuación, haga clic en Aceptar.
  29. Haga clic en Bind.
  30. Haga clic en Cerrar.
  31. Haga clic en Listo.

Asegúrese de configurar la aplicación Secure Web (WorxWeb) en la consola de XenMobile. Vaya a Configurar > Aplicaciones, seleccione la aplicación Secure Web, haga clic en Modificar y, a continuación, realice los siguientes cambios:

  • En la página Información de la aplicación, cambie el Modo VPN inicial a Secure Browse.
  • En la página iOS, cambie el Modo VPN inicial a Secure Browse.
  • En la página Android, cambie el modo VPN preferido a Secure Browse.

Configurar los tiempos de espera de la aplicación y del token MDX

Cuando los usuarios inician sesión desde un dispositivo iOS o Android, se emite un token de aplicación o un token MDX. El token es similar a Secure Ticket Authority (STA).

Puede establecer el número de segundos o minutos que los tokens están activos. Si el token caduca, los usuarios no pueden acceder al recurso solicitado, como una aplicación o una página web.

Los tiempos de espera de los tokens son ajustes globales. Al configurar la configuración, se aplica a todos los usuarios que inician sesión en NetScaler Gateway.

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En el cuadro de diálogo Configuración global de NetScaler Gateway, en la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  4. En la ficha General, en Application Token Timeout (seg) introduzca el número de segundos antes de que caduque el token. El valor predeterminado es de 100 segundos.
  5. En Tiempo de espera del token MDX (minutos), introduzca el número de minutos antes de que caduque el token y, a continuación, haga clic en Aceptar. El valor predeterminado es de 10 minutos.

Inhabilitar Endpoint Analysis para dispositivos móviles

Si configura el análisis de dispositivos de punto final, debe configurar las expresiones de directiva para que los análisis de análisis de dispositivos de punto final no se ejecuten en dispositivos móviles Android o iOS. Las exploraciones de análisis de dispositivos de punto final no son compatibles con los dispositivos móviles.

Si vincula una directiva de análisis de dispositivos de punto final a un servidor virtual, debe crear un servidor virtual secundario para dispositivos móviles. No vincule las directivas de autenticación previa o posterior a la autenticación al servidor virtual del dispositivo móvil.

Al configurar la expresión de directiva en una directiva de autenticación previa, agrega la cadena User-Agent para excluir Android o iOS. Cuando los usuarios inician sesión desde uno de estos dispositivos y excluye el tipo de dispositivo, el análisis de endpoint no se ejecuta.

Por ejemplo, crea la siguiente expresión de directiva para comprobar si el User-Agent contiene Android, si la aplicación virus.exe no existe y para finalizar el proceso keylogger.exe si se está ejecutando mediante el perfil de autenticación previa. La expresión de directiva podría tener este aspecto:

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains

Después de crear la directiva y el perfil de autenticación previa, vincule la directiva al servidor virtual. Cuando los usuarios inician sesión desde un dispositivo Android o iOS, el análisis no se ejecuta. Si los usuarios inician sesión desde un dispositivo basado en Windows, el análisis sí se ejecuta.

Para obtener más información sobre la configuración de directivas de autenticación previa, consulte Configuración de directivas de endpoint.

Admite consultas DNS mediante sufijos DNS para dispositivos Android

Cuando los usuarios establecen una conexión Micro VPN desde un dispositivo Android, NetScaler Gateway envía la configuración de DNS dividida al dispositivo del usuario. NetScaler Gateway admite consultas DNS divididas en función de la configuración de DNS dividida que configure. NetScaler Gateway también admite consultas DNS divididas en función de los sufijos DNS configurados en el dispositivo. Si los usuarios se conectan desde un dispositivo Android, debe configurar la configuración de DNS en NetScaler Gateway.

El DNS dividido funciona de la siguiente manera:

  • Si configuras DNS dividido en Local, el dispositivo Android envía todas las solicitudes DNS al servidor DNS local.
  • Si establece DNS dividido en Remoto, todas las solicitudes DNS se envían a los servidores DNS configurados en NetScaler Gateway (servidor DNS remoto) para su resolución.
  • Si configuras DNS dividido en Ambos, el dispositivo Android comprueba el tipo de solicitud DNS.
    • Si el tipo de solicitud de DNS no es “A”, envía el paquete de solicitud de DNS a los servidores DNS locales y remotos.
    • Si el tipo de solicitud de DNS es “A”, el complemento de Android extrae el FQDN de la consulta y compara ese FQDN con la lista de sufijos DNS configurada en el dispositivo NetScaler. Si el FQDN de la solicitud de DNS coincide, la solicitud de DNS se envía al servidor DNS remoto. Si el FQDN no coincide, la solicitud DNS se envía a los servidores DNS locales.

En la tabla siguiente se resume el trabajo de DNS dividido según el registro de tipo A y la lista de sufijos.

Configuración DNS dividida ¿Es un disco tipo A? ¿Está en la lista de sufijos? Dónde se envía la solicitud DNS
Locales tanto sí como no tanto sí como no Locales
Remota tanto sí como no tanto sí como no Remota
Ambos No NA Ambos
Ambos Remota
Ambos No Locales

Para configurar un sufijo DNS:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, en la ficha Directivas, seleccione una directiva de sesión y, a continuación, haga clic en Abrir.
  3. Junto a Solicitar perfil , haz clic en Modificar .
  4. En la ficha Configuración de red, haga clic en Avanzadas.
  5. Junto a Sufijo DNS de IP de intranet , haga clic en Anular global , escriba el sufijo DNS y, a continuación, haga clic enAceptar tres veces.

Para configurar DNS dividido globalmente en NetScaler Gateway:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Configuración global.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar la configuración global.
  3. En la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  4. En la ficha General, en Dividir DNS, seleccione Ambos, Remoto oLocaly, a continuación, haga clic en Aceptar.

Para configurar DNS dividido en una directiva de sesión en NetScaler Gateway:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda NetScaler Gateway > Directivas y, a continuación, haga clic en Sesión.
  2. En el panel de detalles, en la ficha Directivas, haga clic en Agregar.
  3. En Nombre, escriba un nombre para la directiva.
  4. Junto a Solicitar perfil, haga clic en Nuevo.
  5. En Nombre, escriba un nombre para el perfil.
  6. En la ficha Experiencia del cliente, haga clic en Configuración avanzada.
  7. En la ficha General, junto a Dividir DNS, haga clic en Supedición global, seleccione Ambos, Remoto oLocaly, a continuación, haga clic en Aceptar.
  8. En el cuadro de diálogo Crear directiva de sesión, junto a Expresiones con nombre, seleccione General, True, haga clic en Agregar expresión, haga clic en Crear y, a continuación, haga clic en Cerrar.
Permitir el acceso desde dispositivos móviles con Citrix Mobile Productivity Apps