Gateway

Proxy RDP

La funcionalidad del proxy RDP se proporciona como parte de NetScaler Gateway. En una implementación típica, el cliente RDP se ejecuta en el equipo de un usuario remoto. El dispositivo NetScaler Gateway se implementa en la DMZ y la comunidad de servidores RDP se encuentra en la red corporativa interna.

El usuario remoto;

  1. se conecta a la dirección IP pública de NetScaler Gateway
  2. establece una conexión VPN SSL
  3. autentica
  4. accede a los escritorios remotos a través del dispositivo NetScaler Gateway

La función de proxy RDP se admite en los modos VPN sin cliente y proxy ICA.

Nota:

NetScaler Gateway no admite las aplicaciones Remote Desktop Session Host (RDSH), Remote App, RDS multiusuario, RDP ni RDP.

Las siguientes funciones del proxy RDP proporcionan acceso a una comunidad de escritorios remotos a través de NetScaler Gateway.

  • Proteja el tráfico RDP mediante VPN sin cliente o modo Proxy ICA (sin túnel completo).

  • SSO (inicio de sesión único) en servidores RDP a través de NetScaler Gateway. También proporciona una opción para inhabilitar el SSO si es necesario.

  • Función de cumplimiento (SmartAccess), en la que los administradores de NetScaler ADC pueden inhabilitar determinadas capacidades de RDP mediante la configuración de NetScaler Gateway.

  • Solución de puerta de enlace única o sin estado (doble) para todas las necesidades (VPN/ICA/RDP/Citrix Endpoint Management).

  • Compatibilidad con el cliente MSTSC nativo de Windows para RDP sin necesidad de clientes personalizados.

  • Uso del cliente RDP existente proporcionado por Microsoft en MACOSX, iOS y Android.

En la siguiente ilustración se muestra una descripción general de la implementación:

Descripción general del proxy RDP

Implementación mediante VPN sin cliente

En este modo, los vínculos RDP se publican en la página de inicio o portal de Gateway, como marcadores, a través de la configuración de add vpn url o mediante un portal externo. El usuario puede hacer clic en estos vínculos para obtener acceso al Escritorio remoto.

Implementación mediante ICA Proxy

En este modo, se configura una página principal personalizada en el VIP de puerta de enlace mediante el parámetro wihome. Esta página principal se puede personalizar con la lista de recursos de escritorio remoto a los que el usuario puede acceder. Esta página personalizada se puede alojar en NetScaler ADC o, si es externa, puede ser un iFrame en la página del portal Gateway existente.

En cualquiera de los dos modos, después de que el usuario haga clic en el enlace o icono de RDP aprovisionado, llega a NetScaler Gateway una solicitud HTTPS del recurso correspondiente. La puerta de enlace genera el contenido del archivo RDP para la conexión solicitada y lo envía al cliente. Se invoca el cliente RDP nativo y se conecta a un agente de escucha RDP en Gateway. Gateway realiza el SSO en el servidor RDP mediante la compatibilidad con la aplicación (SmartAccess). La puerta de enlace bloquea el acceso de los clientes a determinadas funciones de RDP, según la configuración de NetScaler ADC y, a continuación, envía el tráfico RDP entre el cliente RDP y el servidor.

Detalles de ejecución

El administrador de NetScaler ADC puede configurar determinadas capacidades de RDP mediante la configuración de NetScaler Gateway. NetScaler Gateway proporciona la función “cumplimiento de RDP” para parámetros importantes de RDP. NetScaler ADC garantiza que el cliente no pueda habilitar los parámetros bloqueados. Si los parámetros bloqueados están habilitados, la función de aplicación RDP sustituye a los parámetros habilitados por el cliente y no se respetan.

Importante: La función de cumplimiento solo se aplica si el SSO está habilitado.

Parámetros RDP compatibles para la aplicación

Se admite la aplicación de los siguientes parámetros de redirección. Estos parámetros se pueden configurar como parte de un perfil de cliente RDP.

  • Redirección del portapapeles

  • Redirección de impresoras

  • Redirección de unidades de disco

  • Redirección de puertos COM

  • Redirección de dispositivos PNP

Flujo de conexión

El flujo de conexión se puede dividir en dos pasos:

  • Enumeración de recursos RDP y descarga de archivos RDP.
  • Inicio de la conexión RDP.

Según el flujo de conexión anterior, existen dos soluciones de implementación:

  • Solución de puerta de enlace sin estado (doble): la enumeración de recursos RDP y la descarga de archivos RDP se realizan a través de la puerta de enlace del autenticador, pero el inicio de la conexión RDP se realiza a través de la puerta de enlace de escucha de

  • Solución de gateway única: la enumeración de recursos RDP, la descarga de archivos RDP y el inicio de la conexión RDP se realizan a través de la misma puerta de enlace.

Compatibilidad con gateway sin estado (dual)

En la siguiente ilustración se muestra la implementación:

Compatibilidad con doble puerta de enlace

  • Un usuario se conecta a la VIP de puerta de enlace de autenticación y proporciona las credenciales.

  • Tras iniciar sesión correctamente en la puerta de enlace, se redirige al usuario a la página principal o al portal externo, que enumera los recursos de escritorio remoto a los que puede acceder el usuario.

  • Una vez que el usuario selecciona un recurso RDP, el VIP de Authenticator Gateway recibe la solicitud en el formato que https://vserver-vip/rdpproxy/rdptarget/listener indica el recurso publicado en el que hizo clic el usuario. Esta solicitud contiene la información sobre la dirección IP y el puerto del servidor RDP que el usuario ha seleccionado.

  • La puerta de enlace de autenticación procesa la solicitud /rdpproxy/. Dado que el usuario ya está autenticado, esta solicitud incluye una cookie de puerta de enlace válida.

  • La información de RDPTarget y RDPUser se almacena en el servidor STA y se genera un tíquet STA. La información almacenada en el servidor STA se cifra mediante la clave previamente compartida configurada. La puerta de enlace de autenticación utiliza uno de los servidores STA configurados en el servidor virtual de puerta de enlace.

  • La información de “Listener” obtenida en la solicitud /rdpproxy/ se coloca .rdp file como “fulladdress”, y el tíquet STA (predefinido con el AuthID de STA) se coloca .rdp file como “loadbalanceinfo”.

  • .rdp file se devuelve al dispositivo de punto final del cliente.

  • El cliente RDP nativo se inicia y se conecta al RDPListener Gateway. Envía el tíquet STA en el paquete inicial.

    La puerta de enlace RDPListener valida el tíquet de STA y obtiene la información de RDPTarget y RDPUser. El servidor STA que se va a utilizar se recupera mediante el ‘authID’ presente en el loadbalanceinfo.

  • Se crea una sesión de puerta de enlace para almacenar directivas de autorización/auditoría. Si existe una sesión para el usuario, se reutiliza.

  • La puerta de enlace RDPListener se conecta a RDPTarget e inicia sesión con SSO mediante CREDSSP.

Importante:

  • Para el proxy RDP sin estado, el servidor STA valida el tíquet STA, enviado por el cliente RDP, para obtener la información de RDPTarget/RDPUser. Debe enlazar el servidor STA además del servidor virtual VPN.

Compatibilidad con puerta de enlace única

En la siguiente ilustración se muestra la implementación:

Compatibilidad con puerta de enlace única

Importante:

En el caso de una única implementación de puerta de enlace, el servidor STA no es necesario. La puerta de enlace del autenticador RDPTarget codifica la cookie de sesión de autenticación, autorización y auditoría de Citrix de forma segura y las envía como loadbalanceinfo en .rdp file. Cuando el cliente RDP envía este token en el paquete inicial, la puerta de enlace del autenticador decodifica la información de RDPTarget, busca la sesión y se conecta a RDPTarget.

Soporte para oyente único

  • Escucha única para tráfico RDP y SSL.

  • La descarga de archivos RDP y el tráfico RDP se pueden gestionar a través de la misma tupla 2 (es decir, IP y puerto) en el dispositivo NetScaler ADC.

Requisitos de licencia del proxy RDP

Edición premium, modificación avanzada

Nota:

La función RDP Proxy no está disponible para los clientes que solo tienen una licencia de plataforma Gateway o solo la modificación Standard.

Puede utilizar el siguiente comando para habilitar el proxy RDP.

enable feature rdpProxy
<!--NeedCopy-->

Marcador

Generación de enlaces RDP mediante Portal. En lugar de configurar los vínculos RDP para el usuario o publicar los vínculos RDP a través de un portal externo, puede dar a los usuarios la opción de generar sus propias URL proporcionando targerIP:Port. Para la implementación de proxy RDP sin estado, el administrador puede incluir información del listener RDP en FQDN: Formato de puerto como parte del perfil de cliente RDP. Esto se hace bajo la opción rdpListener. Esta configuración se utiliza para la generación de enlaces RDP a través del portal en modo de puerta de enlace dual.

Bookmark

Crear marcadores

  1. Cree marcadores en la página del portal para acceder a los recursos de RDP: (ActualURL comienza por rdp://).

  2. Agregar url de VPN <urlName> <linkName>  <actualURL>

    • La dirección URL debe tener el siguiente formato: rdp://<TargetIP:Port>.
    • Para el modo proxy RDP sin estado, la URL debe tener el siguiente formato: rdp://<TargetIP:Port>/<ListenerIP:Port>

    • La URL se publica en el portal en el formato: https://<VPN-VIP>/rdpproxy/<TargetIP:Port> https://<VPN-VIP>/rdpproxy/<TargetIP:Port>/<ListenerIP:Port>
  3. Enlaza los marcadores al usuario, grupo, servidor virtual VPN o VPN global.

Funciones y modos que se habilitan para el proxy RDP

-  enable ns feature ssl

-  enable ns feature sslvpn

-  enable ns feature rdpproxy

-  enable mode usnip
<!--NeedCopy-->

Pasos de configuración de alto nivel para el proxy

Los siguientes pasos de alto nivel implicados en la configuración del proxy RDP sin estado.

  • Crear un perfil de servidor RDP
  • Creación de un perfil de cliente RDP
  • Crear y enlazar un servidor virtual
  • Crear un marcador
  • Crear o modificar un perfil o una directiva de sesión
  • Enlazar un marcador

Configurar un perfil de cliente

Configure el perfil del cliente en la puerta de enlace del autenticador. A continuación se muestra un ejemplo de configuración:

add rdpClient profile <name> [-addUserNameInRdpFile ( YES | NO )] [-audioCaptureMode ( ENABLE | DISABLE )] [-keyboardHook <keyboardHook>] [-multiMonitorSupport ( ENABLE | DISABLE )] [-psk <string>] [-rdpCookieValidity <positive_integer>] [-rdpCustomParams <string>] [-rdpFileName <string>] [-rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress>] [-rdpUrlOverride ( ENABLE | DISABLE )] [-redirectClipboard ( ENABLE | DISABLE )] [-redirectComPorts ( ENABLE | DISABLE )] [-redirectDrives ( ENABLE | DISABLE )] [-redirectPnpDevices ( ENABLE | DISABLE )] [-redirectPrinters ( ENABLE | DISABLE )] [-videoPlaybackMode ( ENABLE | DISABLE )]
<!--NeedCopy-->

Asocie el perfil del cliente RDP al servidor virtual VPN.

Esto se puede hacer configurando una SessionAction+sessionPolicy o estableciendo el parámetro VPN global.

Ejemplo:

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>
<!--NeedCopy-->

O BIEN:

set vpn parameter –rdpClientprofile <name>
<!--NeedCopy-->

Configurar un perfil de servidor

Configure el perfil del servidor en la puerta de enlace del listener.

add rdp ServerProfile <profilename> -rdpIP <IPV4 address of the RDP listener> -rdpPort <port for terminating RDP client connections> -psk <key to decrypt RDPTarget/RDPUser information, needed while using STA>`
<!--NeedCopy-->

rdp ServerProfile debe configurarse en el servidor virtual VPN.

add vpn vserver v1 SSL <publicIP> <portforterminatingvpnconnections> -rdpServerProfile <rdpServer Profile>`  
<!--NeedCopy-->

Configuración de ejemplo

Configuración del proxy RDP mediante la CLI

A continuación se muestra un ejemplo de configuración del proxy RDP mediante la CLI.

  • Agregue la URL de VPN del usuario con la información de destino.

     add aaa user Administrator –password freebsd123$%^
    
     add vpn url rdp RdpLink rdp://rdpserverinfo
    
     add dns addrec rdpserverinfo 10.102.147.132
    
     bind aaa user Administrator  –urlName rdp
     <!--NeedCopy-->
    
  • Configure el perfil de cliente y servidor RDP para la conexión VPN.

     add rdp clientprofile p1 –psk citrix -redirectClipboard ENABLE
    
     add rdp serverprofile p1 -rdpIP 10.102.147.134 -psk citrix
    
     add vpn vserver mygateway SSL  10.102.147.134 443 –rdpserverprofile p1
    
     set vpn parameter -clientlessVpnMode ON -defaultAuthorizationAction ALLOW -rdpClientProfileName p1
    
     add ssl certKey gatewaykey -cert rdp_rootcert.pem  -key rdp_rootkey
    
     bind ssl vserver mygateway -certkeyName gatewaykey
     <!--NeedCopy-->
    
  • AGREGAR SNIP para la conexión de NetScaler ADC al destino.

     add ns ip 10.102.147.135  255.255.255.0 –type SNIP
     <!--NeedCopy-->
    

Configuración del proxy RDP mediante la interfaz gráfica de usuario

  1. Vaya a NetScaler Gateway > Directivas, haga clic con el botón derecho en RDPy haga clic en Activar función

  2. Haga clic en RDP en el panel de navegación. A la derecha, selecciona la ficha Perfiles de cliente y haga clic en Agregar.

  3. Introduzca un nombre para el perfil del cliente y configúrelo.

    Agregar nombre para el perfil

  4. En el campo Host de RDP, introduzca el FQDN que se resuelve en la escucha del proxy RDP, que suele ser el mismo FQDN que el FQDN del dispositivo NetScaler Gateway.

  5. En Clave previamente compartida, introduzca una contraseña y haga clic en Aceptar.

    Contraseña clave previamente compartida

  6. Introduzca un nombre en el perfil del servidor.

  7. Introduzca la dirección IP del servidor virtual de puerta de enlace al que va a enlazar este perfil.

  8. Introduzca la misma clave previamente compartida que configuró para el perfil de cliente RDP. Haga clic en Crear.

    Vuelva a introducir la contraseña de clave compartida previamente

  9. Si quiere agregar marcadores de RDP en la página del portal de acceso sin cliente, a la izquierda, expanda NetScaler Gateway, expanda Recursosy haga clic en Marcadores.

  10. A la derecha, haga clic en Agregar.

  11. Ponle un nombre al marcador.

  12. Para la URL, escriba rdp: //myRDPServer mediante IP o DNS.

  13. Seleccione Usar NetScaler Gateway como proxy inverso y haga clic en Crear.

  14. Cree marcadores según sus necesidades.

    Agregar varios marcadores

  15. Crea o modifica un perfil de sesión. Vaya a NetScaler Gateway > Directivas > Sesión.

  16. En la ficha Seguridad, establezca Acción de autorización predeterminada en Permitir. O bien, puede utilizar directivas de autorización para controlar el acceso.

    Definir acción de autenticación predeterminada

  17. En la ficha Escritorio remoto, seleccione el perfil de cliente RDP que creó anteriormente.

    Seleccione el perfil del cliente RDP

  18. Si quiere utilizar marcadores, en la ficha Experiencia del cliente, establezca Acceso sin clienteen On.

    Establece el acceso sin cliente a On

  19. En la ficha Aplicaciones publicadas, asegúrese de que el proxy ICA esté DESACTIVADO.

    Establecer el proxy ICA en OFF

  20. Modifique o cree su servidor virtual de puerta de enlace.

  21. En la sección Configuración básica, haga clic en Más.

    Configurar ajustes básicos

  22. Utilice la lista de perfiles de servidor RDP para seleccionar el perfil de servidor RDP que creó anteriormente.

    Usar perfil de servidor RDP

  23. Desplácese hacia abajo. Asegúrese de que solo ICA no esté marcada.

    Establezca ICA solo en desactivado

  24. Enlazar un certificado.

  25. Enlazar directivas de autenticación.

  26. Enlazar la directiva/perfil de sesión que tiene configurado el perfil de cliente RDP.

    Directiva de vinculación de sesión

  27. Puede enlazar marcadores al servidor virtual de NetScaler Gateway o a un grupo de autenticación, autorización y auditoría. Para enlazar con el servidor virtual de NetScaler Gateway, a la derecha, en la sección Configuración avanzada, haga clic en Aplicaciones publicadas.

    Haga clic en aplicaciones publicadas

  28. A la izquierda, en la sección Aplicaciones publicadas, haga clic en Sin URL.

    No establecer URL

  29. Enlace sus marcadores.

    Enlazar marcadores

  30. Dado que solo ICA no se especifica para este servidor virtual de NetScaler Gateway, asegúrese de que las licencias universales de NetScaler Gateway estén configuradas correctamente. A la izquierda, expanda NetScaler Gateway y haga clic en Configuración global.

    Definir configuración global

  31. A la derecha, haga clic en Cambiar configuración de autenticación AAA.

    Cambiar la configuración de autenticación

  32. Cambie el número máximo de usuarios al límite con licencia.

    Establecer el número máximo de usuarios

  33. Si quiere conectarse a servidores RDP mediante DNS, asegúrese de que los servidores DNS estén configurados en el dispositivo (Administración del tráfico > DNS > Servidores de nombres).

    Configurar servidores DNS

  34. Si quiere utilizar los nombres cortos en lugar de los FQDN, agregue un sufijo DNS (Administración del tráfico > DNS > Sufijo DNS).

    Usar FQDN

  35. Conéctate a su puerta de enlace e inicia sesión.

    Conectarse a gateway

  36. Si ha configurado Marcadores, haga clic en el marcador.

    Haga clic en marcadores

  37. Puede cambiar la barra de direcciones a /rdpProxy/myrdpServer. Puede introducir una dirección IP (por ejemplo rdpproxy/192.168.1.50) o un nombre DNS (/rdpproxy/myserver).

    Cambiar barra de direcciones

  38. Abre el archivo descargado .rdp file.

    Descargar archivo RDP

  39. Para ver los usuarios conectados actualmente, vaya a NetScaler Gateway Policies > RDP. A la derecha está la ficha Conexiones.

    Haga clic en la ficha conexiones

Opción para inhabilitar el SSO

La función SSO (inicio de sesión único) con proxy RDP se puede inhabilitar mediante la configuración de directivas de tráfico de NetScaler ADC para que siempre se pidan credenciales al usuario. Cuando el SSO está inhabilitado, la aplicación de RDP (SmartAccess) no funciona.

Ejemplo:

add vpn trafficaction <TrafficActionName> HTTP -SSO OFF
<!--NeedCopy-->

La directiva de tráfico se puede configurar según el requisito; a continuación se muestran dos ejemplos:

  • Para inhabilitar el inicio de usuario único para todo el tráfico:

     add vpn trafficpolicy <TrafficPolicyName>  "url contains rdpproxy" <TrafficActionName>
     <!--NeedCopy-->
    
  • Para inhabilitar SSO basado en IP/FQDN de origen/destino

     add vpn trafficPolicy <TrafficPolicyName>  "HTTP.REQ.URL.CONTAINS("rdpproxy") && CLIENT.IP.SRC.EQ(<IP>)" <TrafficActionName>
     bind vpnvserver rdp -policy <TrafficPolicyName> -priority 10
     <!--NeedCopy-->