Configurar Always On VPN antes del inicio de sesión de Windows
En esta sección se capturan los detalles para configurar Always On VPN antes del inicio de sesión de Windows mediante una directiva avanzada.
Requisitos previos
- El complemento VPN y NetScaler Gateway deben ser de la versión 13.0.41.20 y posteriores.
- Se necesitan NetScaler ADC Advanced Edition y versiones posteriores para que la solución funcione.
- La funcionalidad solo se puede configurar mediante directivas avanzadas.
- El servidor virtual de VPN debe estar en funcionamiento.
Pasos para la configuración
La configuración de Always On VPN antes de iniciar sesión en Windows implica los siguientes pasos de alto nivel:
- Configurar un túnel a nivel de máquina
- Configurar un túnel a nivel de usuario (opcional)
- Habilitar autenticación de usuarios
- Configure el servidor virtual de VPN y vincule la clave del certificado al servidor virtual.
- Creación de un perfil de autenticación
- Creación de un servidor virtual de autenticación
- Creación de directivas de autenticación
- Enlazar las directivas al perfil de autenticación
Túnel a nivel máquina
El túnel a nivel de máquina se establece hacia NetScaler Gateway mediante el certificado del dispositivo como identidad. El certificado del dispositivo debe instalarse en la máquina cliente en el almacén de máquinas. Esto solo se aplica al servicio Always On before Windows Logon.
Para obtener más información sobre el certificado de dispositivo, consulte Usar certificados de dispositivo para la autenticación.
Importante:
Si el servidor virtual VPN del dispositivo NetScaler Gateway está configurado en un puerto no estándar (distinto del 443), el túnel a nivel de máquina no funciona según lo previsto.
Configurar el túnel a nivel de máquina mediante el certificado de dispositivo
Configuración de autenticación basada en certificados de dispositivo mediante la interfaz gráfica de usuario
- En la pestaña Configuración , vaya a Citrix Gateway > Servidores virtuales .
- En la página Servidores virtuales de Citrix Gateway, seleccione un servidor virtual existente y haga clic en Modificar.
- En la página Servidor virtual de VPN, haga clic en el icono de modificación.
-
Haga clic en Agregar junto a la sección CA para certificado de dispositivo y, a continuación, haga clic en Aceptar.
Nota: No active la casilla de verificación Habilitar certificado de dispositivo.
-
Para vincular un certificado de CA al servidor virtual, haga clic en Certificado de CA en la sección Certificado. Haga clic en Agregar enlace en la página Enlace de certificados de CA de servidor virtual SSL.
Nota:
- El campo Nombre común del sujeto (CN) del certificado de dispositivo no debe estar vacío. Si un dispositivo intenta iniciar sesión con certificados de dispositivo CN vacíos, su sesión VPN se crea con el nombre de usuario como “anónimo”. En IIP, si varias sesiones tienen el mismo nombre de usuario, las sesiones anteriores se desconectan. Por lo tanto, cuando IIP está habilitada, observa el impacto de la funcionalidad debido a un nombre común vacío.
- Todos los certificados de CA (raíz e intermedia) que pueden firmar potencialmente el certificado de dispositivo emitido a los clientes deben estar enlazados en la sección CA para certificado de dispositivo y también en la sección de enlace de certificados de CA para el servidor virtual en los pasos 4 y 5. Para obtener más información sobre cómo vincular un certificado de CA con un certificado intermedio o subordinado, consulte Instalar, vincular y actualizar certificados.
- Si se configuran varios certificados de dispositivos, se intenta el certificado con la fecha de caducidad más larga para la conexión VPN. Si este certificado permite el escaneo de la EPA correctamente, se establece la conexión VPN. Si este certificado falla en el proceso de escaneo, se usa el siguiente certificado. Este proceso continúa hasta que se prueban todos los certificados.
-
Haga clic en Haga clic para seleccionar el certificado requerido.
-
Seleccione el certificado de CA necesario.
-
Haga clic en Bind.
- Cree un servidor virtual de autenticación.
- En la página Servidores virtuales VPN, en Perfil de autenticación, haga clic en Agregar.
- En la página Crear perfil de autenticación, proporcione un nombre para el perfil de autenticación y haga clic en Agregar.
- En la página Servidor virtual de autenticación, proporcione un nombre para el servidor virtual de autenticación. Seleccione Tipo de dirección IP como no direccionable y haga clic en Aceptar.
Nota: El servidor virtual de autenticación siempre permanece en estado DOWN.
- Cree una directiva de autenticación.
- En Directivas de autenticación avanzadas, haga clic dentro de la directiva de autenticación.
- En la página Vinculación de directivas, haga clic en Agregar junto a Seleccionar directiva.
- En la página Crear directiva de autenticación ;
- Introduzca un nombre para la directiva de autenticación avanzada.
- Seleccione EPA en la lista Tipo de acción.
- Haga clic en Agregar junto a Acción.
- En la página Crear acción de autenticación de la EPA;
- Introduzca un nombre para la acción de la EPA que se va a crear.
- Introduzca
sys.client_expr("device-cert_0_0")en el campo Expresión. - Haga clic en Crear.
- En la página Crear directiva de autenticación ;
- Introduzca un nombre para la directiva de autenticación.
- Escriba is_aoservice en el campo Expresión.
- Haga clic en Crear.
-
En la página Vinculación de directivas, introduzca 100 en Prioridad y haga clic en Vincular.
Configuración de autenticación basada en certificados de dispositivo mediante la CLI
-
Enlazar un certificado de CA al servidor virtual de VPN.
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional ) <!--NeedCopy-->Ejemplo
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory <!--NeedCopy--> -
Agregue un servidor virtual de autenticación.
add authentication authnProfile <name> {-authnVsName <string>} <!--NeedCopy-->Ejemplo
add authentication authnProfile always_on -authnVsName always_on_auth_server <!--NeedCopy--> -
Cree una acción de autenticación de la EPA
add authentication epaAction <name> -csecexpr <expression> <!--NeedCopy-->Example
``` add authentication epaAction epa-act -csecexpr
sys.client_expr("device-cert_0_0")-defaultgroup epa_pass ``` -
Crear una directiva de autenticación
add authentication Policy <name> -rule <expression> -action <string>Ejemplo:
add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
Importante:
La configuración del túnel a nivel de máquina ya está completa. Para configurar el túnel de nivel de usuario después del inicio de sesión de Windows, consulte la sección Túnel de nivel de usuario.
En el equipo cliente, el certificado del dispositivo está en formato.pfx. El certificado.pfx se instala en la máquina Windows, ya que Windows entiende el formato.pfx. Este archivo contiene los archivos de certificado y clave. Este certificado debe ser del mismo dominio que está enlazado al servidor virtual. Los certificados y claves.pfx y de servidor se pueden generar mediante el asistente para certificados de cliente. Estos certificados se pueden usar con la entidad de certificación para generar el.pfx respectivo con el certificado del servidor y el dominio. El certificado.pfx se instala en la cuenta de equipo en la carpeta personal. El comando
show aaa sessionmuestra el túnel del dispositivo en el dispositivo NetScaler ADC.
Túnel a nivel usuario
Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la interfaz gráfica de usuario
Nota: La expresión is_aoservice.not se aplica a partir de la versión 13.0.41.20 y posteriores de NetScaler Gateway.
- Configure una directiva para la autenticación de usuarios.
- Vaya a Citix Gateway > Servidores virtuales y, en Configuración avanzada, haga clic en Perfil de autenticación.
- Configure el perfil de autenticación.
- En la página Servidor virtual de autenticación, haga clic en la directiva de autenticación.
-
En Seleccionar acción, haga clic en Modificar enlace y cambie Expresión GoTo a SIGUIENTE en lugar de END para el límite de la directiva.
-
Haga clic en Enlazar y, a continuación, en la página Directiva de autenticación, seleccione la directiva de autenticación y haga clic en Agregar enlace.
-
En la página Vinculación de directivas, haga clic en Agregar junto a Seleccionar directiva.
En la página Crear directiva de autenticación ;
- Introduzca un nombre para la directiva “sin autenticación” que se va a crear.
- Seleccione el tipo de acción como no_Authn.
- Escriba is_aoservice.not en el campo Expresión.
- Haga clic en Crear.
-
En Seleccionar acción, haga clic en Modificar enlace.
- En la página Vinculación de directivas, introduzca 110 en Prioridad. Haga clic en Agregar junto a Seleccionar siguiente factor.
- En la página Etiqueta de directiva de autenticación, introduzca un nombre descriptivo para la etiqueta de directiva, seleccione el esquema de inicio de sesión y haga clic en Continuar.
- En Seleccionar directiva, haga clic en Agregar y cree una directiva de autenticación LDAP.
- Haga clic en Crear y, a continuación, en Enlazar.
- Haga clic en Listo y, a continuación, en Enlazar.
En la página Directiva de autenticación, la columna Factor siguiente muestra la directiva de siguiente factor configurada.
- Puede configurar la directiva LDAP como el siguiente factor de la directiva de autenticación.
- En la página Crear directiva de autenticación, introduzca un nombre para la directiva LDAP.
- Seleccione Tipo de acción como LDAP.
- Introduzca Acción como acción LDAP configurada.
Nota:
- Para crear un archivo XML de esquema de inicio de sesión, consulte Archivo XML de esquemade inicio
- Para crear etiquetas de directiva, consulte Autenticar la etiqueta de directiva.
- Para crear una directiva de autenticación LDAP, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.
Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la CLI
-
Enlazar una directiva al servidor virtual de autenticación
bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>Ejemplo
bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT -
Agregue una directiva de autenticación con la acción como
NO_AUTHy la expresiónis_aoservice.not,y enlácela a la directiva.add authentication Policy <name> -rule <expression> -action <string> bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>Ejemplo
add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110 -
Agregue un factor siguiente y vincule la etiqueta de la directiva al siguiente factor.
add authentication policylabel <labelName> -loginSchema <string> bind authentication policylabel <string> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>Ejemplo
add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100 -
Configure una directiva LDAP y enlácela a la etiqueta de directiva de túnel de usuario.
add authentication policy <name> -rule <expression> -action <string> bind authentication vserver <vserver_name> -policy <string> -priorit < positive integer> gotoPriorityExpression <string>Ejemplo
add authentication Policy LDAP_new -rule true -action LDAP_new bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
Configuración del lado del cliente
Los Registros AlwaysOn, locationDetection, and suffixList registriesson opcionales y solo se requieren si se necesita la funcionalidad de detección de ubicación.
Para acceder a las entradas de clave de registro, vaya a la siguiente ruta: Computer>HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client
| Clave del Registro | Tipo de Registro | Valores y descripción |
|---|---|---|
| AlwaysOnService | REG_DWORD | 1 => Establecer túnel a nivel máquina pero no túnel a nivel de usuario; 2 => Establecer túnel a nivel máquina y túnel a nivel de usuario |
| AlwaysOnURL | REG SZ | URL del servidor virtual de NetScaler Gateway al que el usuario quiere conectarse. Ejemplo: https://xyz.companyDomain.comImportante: Solo una URL es responsable del túnel a nivel de máquina y del túnel a nivel de usuario. El registro AlwaysOnURL ayuda tanto al servicio como al componente de nivel de usuario a funcionar y a conectar un túnel independiente, es decir, túnel a nivel de máquina y túnel a nivel de usuario según el diseño |
AlwaysOn |
REG_DWORD | 1 => Permitir el acceso a la red en caso de fallo de VPN; 2=> Bloquear el acceso a la red si falla |
| AlwaysOnAllowlist | REG_SZ | Lista de direcciones IP o FQDN separados por punto y coma que deben incluirse en la lista de permitidos mientras la máquina se ejecuta en modo estricto. Ejemplo: 8.8.8.8;linkedin.com
|
| UserCertCAList | REG_SZ | Lista de nombres de CA raíz separados por comas o puntos y coma, es decir, el nombre del emisor del certificado. Se utiliza en el contexto de un servicio Always On, en el que un cliente puede especificar la lista de CA para elegir el certificado de cliente. Ejemplo: cgwsanity.net;xyz.gov.in
|
| locationDetection | REG_DWORD | 1 => Para habilitar la detección de ubicación; 0 => Para inhabilitar la detección de ubicación |
| suffixList | REG SZ | Lista de dominios separada por punto y coma y se encarga de comprobar si la máquina está en la intranet o no en un momento dado cuando la detección de ubicación está habilitada. Example: citrite.net,cgwsanity.net
|
Para obtener más información sobre estas entradas del registro, consulte Siempre activado.
Nota:
Cuando se configura el servicio Always On, el perfil Always On configurado en el servidor virtual Citrix Gateway o en Citrix ADC se ignora en el lado del cliente. Por lo tanto, asegúrese de habilitar también los
locationDetectionregistrosAlwaysOny VPN al configurar el servicio Always On. ```