Configurar comprobación de dispositivo de control de acceso a redes para el servidor virtual de NetScaler Gateway para iniciar sesión en un solo
En este tema se proporciona información sobre cómo configurar NetScaler Gateway para conectarse a una red interna desde un dispositivo móvil (iOS y Android) con la seguridad de conformidad de acceso a la red (NAC) que ofrece Microsoft Intune. Cuando un usuario intenta conectarse a NetScaler Gateway desde un cliente VPN para iOS o Android, la puerta de enlace comprueba primero con el servicio Intune si el dispositivo es un dispositivo administrado y que cumple los requisitos.
- Administrado: El dispositivo se inscribe mediante el cliente del portal de empresa de Intune.
- Cumple con los requisitos: se aplican las directivas necesarias enviadas desde el servidor MDM de Intune.
Solo si el dispositivo está administrado y es compatible, se establece la sesión VPN y se proporciona acceso al usuario a los recursos internos.
Nota:
En esta configuración, NetScaler Gateway en el back-end habla con el servicio Intune. Los perfiles SSL gestionan las conexiones entrantes a NetScaler Gateway. La comunicación back-end de NetScaler Gateway gestiona todos los requisitos de SNI de los servicios en la nube de back-end (Intune).
El servidor virtual de puerta de enlace SNI para DTLS se admite en NetScaler Gateway versión 13.0 compilación 64.x y posteriores.
La comprobación de NAC de Intune, para la VPN por aplicación o incluso para la VPN de todo el dispositivo, solo se admite cuando el portal de administración de Intune aprovisiona el perfil de VPN (ahora conocido como Microsoft Endpoint Manager). Estas funciones no son compatibles con los perfiles VPN agregados por el usuario final. El administrador de Intune debe implementar el perfil VPN en su dispositivo desde Microsoft Endpoint Manager para utilizar la comprobación de NAC en el dispositivo del usuario final.
Licencias
Se requiere una licencia de Citrix Enterprise Edition para esta funcionalidad.
Requisitos del sistema
- NetScaler Gateway versión 11.1 compilación 51.21 o posterior
- VPN para iOS: 10.6 o posterior
- VPN para Android: 2.0.13 o posterior
- Microsoft
- Acceso a Azure AD (con privilegios de arrendatario y administrador)
- Tenant habilitado para Intune
- Firewall:
Habilite reglas de firewall para todo el tráfico DNS y SSL desde la dirección IP de subred a
https://login.microsoftonline.com
yhttps://graph.windows.net
(puerto 53 y puerto 443)
Requisitos previos
- Todas las directivas de autenticación existentes deben convertirse de directivas clásicas a directivas avanzadas. Para obtener información sobre cómo convertir de directivas clásicas a directivas avanzadas, consulte https://support.citrix.com/article/CTX131024.
- Cree una aplicación NetScaler Gateway en el portal de Azure. Para obtener más información, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
- Configure la directiva OAuth en la aplicación NetScaler Gateway que creó mediante la siguiente información específica de la aplicación.
- ID de cliente/ ID de aplicación
- Secreto de cliente/clave de aplicación
- ID de arrendatario Azure
Referencias
- Este documento captura la configuración de configuración de NetScaler Gateway. La mayor parte de la configuración del cliente de Citrix SSO (iOS/Android) se realiza en el lado de Intune. Para obtener más información sobre la configuración de VPN de Intune para NAC, consulte https://docs.microsoft.com/en-us/mem/intune/protect/network-access-control-integrate.
- Para configurar el perfil VPN de una aplicación iOS, consulte https://docs.microsoft.com/en-us/mem/intune/configuration/vpn-settings-ios.
- Para configurar la aplicación NetScaler Gateway en el portal de Azure, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure.
Para agregar un servidor virtual de NetScaler Gateway con nFactor para la implementación de gateway
-
Vaya a NetScaler Gateway> Servidores virtuales.
-
Haga clic en Agregar.
-
Proporcione la información necesaria en el área Configuración básica y haga clic en Aceptar.
-
Seleccione Certificado de servidor.
-
Seleccione el certificado de servidor necesario y haga clic en Vincular.
-
Como parte de la compatibilidad con la API de Intune NAC v2, debe vincular un archivo de entidad de certificación (certificado de CA) para garantizar que el dispositivo NetScaler obtenga un certificado válido de los dispositivos móviles. En Intune NAC v2, los dispositivos móviles envían ID de dispositivo como parte del certificado de cliente. El certificado de CA enlazado aquí debe ser el que se utilice para emitir certificados de cliente para los dispositivos iOS y Android de los usuarios finales. Si hay certificados intermedios, también deben vincularse aquí. Para obtener más información sobre la configuración de Intune, consulte Configuración de una aplicación NetScaler Gateway en el portal de Azure. Para admitir la API de Intune NAC v2, seleccione el certificado de CA requerido y haga clic en Vincular.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Directivas y seleccione Sesión en la lista Elegir directiva, seleccione Solicitud en la lista Elegir tipo y haga clic en Continuar.
-
Haga clic en el icono del signo más [+] junto a Seleccionar directiva.
-
En la página Crear directiva de sesión de NetScaler Gateway, proporcione un nombre para la directiva de sesión.
-
Haga clic en el icono más [+] junto a Perfil y, en la página Crear perfil de sesión de NetScaler Gateway, proporcione un nombre para el perfil de sesión.
-
En la ficha Experiencia del cliente, haga clic en la casilla de verificación situada junto a Acceso sin cliente y seleccione Desactivado en la lista.
-
Haga clic en la casilla de verificación situada junto a Tipo de complemento y seleccione Windows/Mac OS X en la lista.
-
Haga clic en Configuración avanzada, seleccione la casilla de verificación situada junto a Opciones del cliente y establezca su valor enACTIVADO.
-
En la ficha Seguridad, haga clic en la casilla de verificación situada junto a Acción de autorización predeterminada y seleccione Permitir en la lista.
-
En la ficha Aplicaciones publicadas, haga clic en la casilla de verificación situada junto a Proxy ICA y seleccione DESACTIVADO en la lista.
-
Haga clic en Crear.
-
En la página Crear directiva de sesión de NetScaler Gateway, en el área Expresión, configure la expresión calificadora.
-
Haga clic en Crear.
-
Haga clic en Bind.
-
Seleccione Perfil de autenticación en Configuración avanzada.
-
Haga clic en el icono más [+] y proporcione un nombre para el perfil de autenticación.
-
Haga clic en el icono más [+] para crear un servidor virtual de autenticación.
-
Especifique el nombre y el tipo de dirección IP del servidor virtual de autenticación en el área Configuración básica y haga clic en Aceptar.El tipo de dirección IP también puede ser No direccionable.
-
Haga clic en Directiva de autenticación.
-
En la vista Vinculación de directivas, haga clic en el icono más [+] para crear una directiva de autenticación.
-
Seleccione OAUTH como tipo de acción y haga clic en el icono más [+] para crear una acción de OAuth para NAC.
-
Cree una acción de OAuth mediante ID de cliente, secreto de clientee ID de arrendatario.
Nota:
- ElIDde cliente, el secreto del cliente y el ID de inquilino se generan después de configurar la aplicación NetScaler Gateway en el portal de Azure.
- Anote la información de ID de cliente/ID de aplicación, secreto de cliente/secreto de aplicación e ID de arrendatario de Azure, tal como se requiere para crear una acción de OAuth en NetScaler Gateway más adelante.
Asegúrese de que tiene un servidor de nombres DNS adecuado configurado en el dispositivo para resolverlo y alcanzarlo;
https://login.microsoftonline.com/,
- -https://graph.windows.net/
, - *.manage.microsoft.com. -
Crear directiva de autenticación para OAuth Action.
Regla:
http.req.header("User-Agent").contains("NAC/1.0")&& ((http.req.header("User-Agent").contains("iOS") && http.req.header("User-Agent").contains("NSGiOSplugin")) || (http.req.header("User-Agent").contains("Android") && http.req.header("User-Agent").contains("CitrixVPN"))) <!--NeedCopy-->
-
Haga clic en el icono más [+] para crear una etiqueta de directiva de NextFactor.
-
Haga clic en el icono más [+] para crear un esquema de inicio de sesión.
-
Seleccione
noschema
como esquema de autenticación y haga clic en Crear. -
Tras seleccionar el esquema de inicio de sesión creado, haga clic en Continuar.
-
En Seleccionar directiva, seleccione una directiva de autenticación existente para el inicio de sesión de usuario o haga clic en el icono más + para crear una directiva de autenticación. Para obtener más información sobre cómo crear una directiva de autenticación, consulte Configuración de directivas de autenticación avanzadas y Configuración de la autenticación LDAP.
-
Haga clic en Bind.
-
Haga clic en Listo.
-
Haga clic en Bind.
-
Haga clic en Continuar.
-
Haga clic en Listo.
-
Haga clic en Crear.
-
Haga clic en Aceptar.
-
Haga clic en Listo.
Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
-
Vaya a Seguridad > AAA - Tráfico de aplicaciones > Servidores virtuales.
-
Seleccione el servidor virtual seleccionado previamente y haga clic en Modificar.
-
Haga clic en Esquemas de inicio de sesión en Configuración avanzada.
-
Haga clic en Esquemas de inicio de sesión para enlazar.
-
Haga clic en [>] para seleccionar y vincular las directivas de esquema de inicio de sesión integradas existentes para la verificación del dispositivo NAC.
-
Seleccione la directiva de esquema de inicio de sesión necesaria adecuada para su implementación de autenticación y haga clic en Seleccionar.
En la implementación explicada anteriormente, se utiliza la autenticación de factor único (LDAP) junto con una directiva NAC OAuth Action. Por lo tanto, se selecciona lschema_single_factor_deviceid.
-
Haga clic en Bind.
-
Haga clic en Listo.
Compatibilidad con la API Intune NAC v2
Como parte de la compatibilidad con la API de Intune NAC v2, debe vincular un archivo de entidad de certificación (certificado de CA) para garantizar que el dispositivo NetScaler obtenga un certificado válido de los dispositivos móviles. En Intune NAC v2, los dispositivos móviles envían ID de dispositivo como parte del certificado de CA. El certificado de CA enlazado aquí debe ser el que se utilice para emitir certificados de cliente para los dispositivos iOS y Android de los usuarios finales. Si hay certificados intermedios, también deben vincularse aquí.
Puede usar el siguiente comando de ejemplo para vincular su certificado de CA.
bind ssl vserver intune_nac_check_443 -certkeyName clientca -CA -ocspCheck Optional
<!--NeedCopy-->
Importante:
La compatibilidad con la API de Intune NAC v2 está disponible en las versiones de NetScaler Gateway 13.1 compilación 12.50 o posterior y 13.0 compilación 84.11 o posterior.
- Debe habilitar la autenticación basada en certificados de cliente estableciendo
clientAuth
en HABILITADO yclientCert
en OPCIONAL en los servidores virtuales de autenticación y VPN. El parámetroclientCert
se establece en OPCIONAL para que otros puntos finales que no necesiten la comprobación de NAC de Intune puedan autenticarse a través del mismo servidor virtual sin proporcionar el certificado de cliente. Los dispositivos Android e iOS deben proporcionar el certificado de cliente. De lo contrario, la comprobación NAC de Intune falla- Debe asegurarse de que los certificados de cliente aprovisionados a través de Intune en el dispositivo móvil deben tener un identificador de dispositivo de Intune en el campo SAN de tipo URI como se indica en el documento Nuevo servicio de Microsoft Intune para control de acceso a la red. Para obtener información detallada, consulte https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696. El formato del campo de valor de URI debe ser el mismo que se indica en esta ilustración. Además, la aplicación Citrix SSO debe usar el mismo certificado para autenticarse con la puerta de enlace.
Solución de problemas
Problemas generales
Problema | La resolución |
---|---|
El mensaje “Agregar directiva requerida” aparece cuando abres una aplicación | Agregar directivas en la API de Microsoft Graph |
Hay conflictos de directivas | Solo se permite una única directiva por aplicación |
Su aplicación no se puede conectar a los recursos internos | Asegúrese de que los puertos de firewall correctos estén abiertos, que se haya utilizado el ID de arrendatario correcto, etc. |
Problemas de NetScaler Gateway
Problema | La resolución |
---|---|
Los permisos necesarios para configurar la aplicación de puerta de enlace en Azure no están disponibles. | Compruebe si dispone de una licencia adecuada de Intune. Pruebe a utilizar el portal manage.windowsazure.com para ver si se puede agregar el permiso. Contacte con la asistencia de Microsoft si el problema persiste. |
NetScaler Gateway no puede contactar con login.microsoftonline.comandgraph.windows.net . |
Desde NS Shell, comprueba si puede acceder al siguiente sitio web de Microsoft: cURL -v -k https://login.microsoftonline.com. A continuación, compruebe si el DNS está configurado en NetScaler Gateway. Compruebe también que la configuración del firewall sea correcta (en caso de que las solicitudes DNS estén protegidas por firewall). |
Aparece un error en ns.log después de configurar OAuthAction. | Compruebe si las licencias de Intune están habilitadas y si la aplicación Azure Gateway tiene establecidos los permisos adecuados. |
Sh OAuthAction no muestra el estado de OAuth como completo. |
Consulte la configuración de DNS y los permisos configurados en la aplicación de Azure Gateway. |
El dispositivo Android o iOS no muestra la solicitud de autenticación dual. | Compruebe si el ID de dispositivo de factor dual logonSchema está vinculado al servidor virtual de autenticación. |
Estado y condición de error de OAuth de NetScaler Gateway
Estado | Condición de error |
---|---|
AADFORGRAPH | Secreto no válido, URL no resuelta, tiempo de espera de la conexión agotado |
MDMINFO |
*manage.microsoft.com está caído o es inalcanzable |
GRAPH | El punto final del gráfico no está accesible |
CERTFETCH | No se puede hablar con el token del dispositivo de punto final https://login.microsoftonline.com debido a un error de DNS. Para validar esta configuración, vaya a la solicitud de Shell y escriba cURL https://login.microsoftonline.com. Este comando debe validarse. |
Nota: Cuando el estado de OAuth es correcto, el estado se muestra como COMPLETE.
Comprobación de configuración de Intune
Asegúrese de seleccionar la casilla Acepto en Configuración básica de VPN para iOS para Citrix SSO > Habilitar el control de acceso a la red (NAC). De lo contrario, la comprobación de NAC no funciona.
En este artículo
- Licencias
- Requisitos del sistema
- Requisitos previos
- Referencias
- Para agregar un servidor virtual de NetScaler Gateway con nFactor para la implementación de gateway
- Para enlazar el esquema de inicio de sesión de autenticación al servidor virtual de autenticación para indicar que los complementos VPN deben enviar el ID de dispositivo como parte de la solicitud /cgi/login
- Compatibilidad con la API Intune NAC v2
- Solución de problemas