Configurar Always On VPN antes del inicio de sesión de Windows
En esta sección se capturan los detalles para configurar Always On VPN antes del inicio de sesión de Windows mediante una directiva avanzada.
Requisitos previos
- El plug-in de VPN y NetScaler Gateway deben ser de la versión 13.0.41.20 y posteriores.
- Se necesitan NetScaler Advanced Edition y versiones posteriores para que la solución funcione.
- La funcionalidad solo se puede configurar mediante directivas avanzadas.
- El servidor virtual de VPN debe estar en funcionamiento.
Pasos para la configuración
La configuración de Always On VPN antes de iniciar sesión en Windows implica los siguientes pasos de alto nivel:
- Configurar un túnel a nivel de máquina
- Configurar un túnel a nivel de usuario (opcional)
- Habilitar autenticación de usuarios
- Configure el servidor virtual VPN, instale un certificado de CA y enlace la clave del certificado al servidor virtual.
- Creación de un perfil de autenticación
- Creación de un servidor virtual de autenticación
- Creación de directivas de autenticación
- Enlazar las directivas al perfil de autenticación
Túnel a nivel máquina
El túnel a nivel de máquina se establece hacia NetScaler Gateway mediante el certificado del dispositivo como identidad. El certificado del dispositivo debe instalarse en la máquina cliente en el almacén de máquinas. Esto solo se aplica al servicio Always On before Windows Logon.
Para obtener más información sobre el certificado de dispositivo, consulte Usar certificados de dispositivo para la autenticación.
Importante:
Si el servidor virtual de VPN del dispositivo NetScaler Gateway está configurado en un puerto no estándar (distinto del 443), el túnel a nivel de máquina no funciona según lo previsto.
Configurar el túnel a nivel de máquina mediante el certificado de dispositivo
Configuración de autenticación basada en certificados de dispositivo mediante la interfaz gráfica de usuario
- En la ficha Configuración, vaya a NetScaler Gateway> Servidores virtuales.
- En la página Servidores virtuales de NetScaler Gateway, seleccione un servidor virtual existente y haga clic en Modificar.
-
En Certificado, haga clic en Certificado de CA.
-
En la página Vinculación de certificados de CA, haga clic en Agregar junto al campo Seleccionar certificado de CA, actualice la información requerida y haga clic en Instalar.
-
En la página Servidor virtual de VPN, haga clic en el icono de modificación.
-
En la sección Configuración básica, haga clic en Más.
-
Haga clic en Agregar junto a la sección CA para certificado de dispositivo y, a continuación, haga clic en Aceptar.
Nota:No active la casilla Habilitar certificado de dispositivo.
-
Para vincular un certificado de CA al servidor virtual, haga clic en Certificado de CA en la sección Certificado. Haga clic en Agregar enlace en la página Enlace de certificados de CA de servidor virtual SSL.
Nota:
- El campo Nombre común del sujeto (CN) del certificado de dispositivo no debe estar vacío. Si un dispositivo intenta iniciar sesión con certificados de dispositivo CN vacíos, su sesión VPN se crea con el nombre de usuario como “anónimo”. En IIP, si varias sesiones tienen el mismo nombre de usuario, las sesiones anteriores se desconectan. Por lo tanto, cuando IIP está habilitada, observa el impacto de la funcionalidad debido a un nombre común vacío.
- Todos los certificados de CA (raíz e intermedia) que pueden firmar potencialmente el certificado de dispositivo emitido a los clientes deben estar enlazados en la sección CA para certificado de dispositivo y también en la sección de enlace de certificados de CA para el servidor virtual en los pasos 4 y 5. Para obtener más información sobre cómo vincular un certificado de CA con un certificado intermedio o subordinado, consulte Instalar, vincular y actualizar certificados.
- Si se configuran varios certificados de dispositivos, se intenta el certificado con la fecha de caducidad más larga para la conexión VPN. Si este certificado permite el escaneo de la EPA correctamente, se establece la conexión VPN. Si este certificado falla en el proceso de escaneo, se usa el siguiente certificado. Este proceso continúa hasta que se prueban todos los certificados.
-
En la página Vinculación de certificados de CA, seleccione el certificado.
-
Haga clic en Bind.
- Cree un servidor virtual de autenticación.
- En la página Servidores virtuales VPN, vaya a Configuración avanzada > Perfil de autenticación y haga clic en Agregar.
- En la página Crear perfil de autenticación, asigne un nombre al perfil de autenticación y haga clic en Crear.
- En la página Servidor virtual de autenticación, asigne un nombre al servidor virtual de autenticación. Seleccione el tipo de dirección IP como No direccionable y haga clic en Aceptar.
Nota:
El servidor virtual de autenticación siempre permanece en el estado INACTIVO.
- Cree una directiva de autenticación.
- En la sección Directivas de autenticación avanzadas de la página Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales de autenticación, seleccione la directiva de autenticación y haga clic en Agregar enlace.
- En la página Vinculación de directivas, haga clic en Agregar junto al campo Seleccionar directiva.
- En la página Crear directiva de autenticación ;
- Asigne un nombre a la directiva de autenticación avanzada.
- Seleccione EPA en la lista Tipo de acción.
- Haga clic en Agregar junto a Acción.
- En la página Crear acción de autenticación de la EPA;
- Asigne un nombre a la acción de la EPA.
- Introduzca
sys.client_expr("device-cert_0_0")
en el campo Expresión. -
Haga clic en Crear.
- En la página Crear directiva de autenticación ;
- Asigne un nombre a la directiva de autenticación.
- Escriba is_aoservice en el campo Expresión.
-
Haga clic en Crear.
- En la página Vinculación de directivas, introduzca 100 en Prioridad y haga clic en Vincular.
Configuración de autenticación basada en certificados de dispositivo mediante la CLI
-
Instale un certificado de CA en un servidor virtual VPN.
add ssl certkey ckp -cert t_CA.cer <!--NeedCopy-->
-
Enlazar el certificado de CA al servidor virtual VPN .
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional ) <!--NeedCopy-->
Ejemplo
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory <!--NeedCopy-->
-
Agregue un servidor virtual de autenticación.
add authentication authnProfile <name> {-authnVsName <string>} <!--NeedCopy-->
Ejemplo
add authentication authnProfile always_on -authnVsName always_on_auth_server <!--NeedCopy-->
-
Cree una acción de autenticación de la EPA
add authentication epaAction <name> -csecexpr <expression> <!--NeedCopy-->
Example
``` add authentication epaAction epa-act -csecexpr
sys.client_expr("device-cert_0_0")
-defaultgroup epa_pass ``` -
Crear una directiva de autenticación
add authentication Policy <name> -rule <expression> -action <string>
Ejemplo:
add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
Importante:
La configuración del túnel a nivel de máquina ya está completa. Para configurar el túnel de nivel de usuario después del inicio de sesión de Windows, consulte la sección Túnel de nivel de usuario.
En el equipo cliente, el certificado del dispositivo está en formato.pfx. El certificado.pfx se instala en la máquina Windows, ya que Windows entiende el formato.pfx. Este archivo contiene los archivos de certificado y clave. Este certificado debe ser del mismo dominio que está enlazado al servidor virtual. Los certificados y claves.pfx y de servidor se pueden generar mediante el asistente para certificados de cliente. Estos certificados se pueden usar con la entidad de certificación para generar el.pfx respectivo con el certificado del servidor y el dominio. El certificado.pfx se instala en la cuenta de equipo en la carpeta personal. El comando
show aaa session
muestra el túnel del dispositivo en el dispositivo NetScaler.
Túnel a nivel usuario
Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la interfaz gráfica de usuario
Nota: La expresión is_aoservice.not
se aplica a partir de la versión 13.0.41.20 y posteriores de NetScaler Gateway.
- Configure una directiva para la autenticación de usuarios.
- Vaya a NetScaler Gateway > Servidores virtuales y seleccione un servidor virtual.
- En Configuración avanzada, haga clic en Perfil de autenticación.
- Configure el perfil de autenticación.
- En la página Configuración > Seguridad > Tráfico de aplicaciones AAA > Servidores virtuales de autenticación, seleccione la directiva de autenticación.
-
En Seleccionar acción, haga clic en Modificar enlace y cambie Expresión GoTo a SIGUIENTE en lugar de END para el límite de la directiva.
-
Haga clic en Enlazar y, a continuación, en la página Directiva de autenticación, seleccione la directiva de autenticación y haga clic en Agregar enlace.
-
En la página Vinculación de directivas, haga clic en Agregar junto a Seleccionar directiva.
En la página Crear directiva de autenticación ;
- Introduzca un nombre para la directiva “sin autenticación” que se va a crear.
- Seleccione el tipo de acción como no_Authn.
- Escriba is_aoservice.not en el campo Expresión.
- Haga clic en Crear.
-
En Seleccionar acción, haga clic en Modificar enlace.
- En la página Vinculación de directivas, introduzca 110 en Prioridad. Haga clic en Agregar junto a Seleccionar siguiente factor.
- En la página Etiqueta de directiva de autenticación, introduzca un nombre descriptivo para la etiqueta de directiva, seleccione el esquema de inicio de sesión y haga clic en Continuar.
- En Seleccionar directiva, haga clic en Agregar y cree una directiva de autenticación LDAP.
- Haga clic en Crear y, a continuación, en Enlazar.
- Haga clic en Listo y, a continuación, en Enlazar.
En la página Directiva de autenticación, la columna Factor siguiente muestra la directiva de siguiente factor configurada.
- Puede configurar la directiva LDAP como el siguiente factor de la directiva de autenticación.
- En la página Crear directiva de autenticación, introduzca un nombre para la directiva LDAP.
- Seleccione Tipo de acción como LDAP.
- Introduzca Acción como acción LDAP configurada.
Nota:
- Para crear un archivo XML de esquema de inicio de sesión, consulte Archivo XML de esquemade inicio
- Para crear etiquetas de directiva, consulte Autenticar la etiqueta de directiva.
- Para crear una directiva de autenticación LDAP, consulte Para configurar la autenticación LDAP mediante la utilidad de configuración.
Reemplazar un túnel de nivel de máquina por un túnel de nivel de usuario mediante la CLI
-
Enlazar una directiva al servidor virtual de autenticación
bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Ejemplo
bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
-
Agregue una directiva de autenticación con la acción como
NO_AUTH
y la expresiónis_aoservice.not,
y enlácela a la directiva.add authentication Policy <name> -rule <expression> -action <string> bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Ejemplo
add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
-
Agregue un factor siguiente y vincule la etiqueta de la directiva al siguiente factor.
add authentication policylabel <labelName> -loginSchema <string> bind authentication policylabel <string> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
Ejemplo
add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
-
Configure una directiva LDAP y enlácela a la etiqueta de directiva de túnel de usuario.
add authentication policy <name> -rule <expression> -action <string> bind authentication vserver <vserver_name> -policy <string> -priorit < positive integer> gotoPriorityExpression <string>
Ejemplo
add authentication Policy LDAP_new -rule true -action LDAP_new bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
Configuración del lado del cliente
Los Registros AlwaysOn, locationDetection, and suffixList registries
son opcionales y solo se requieren si se necesita la funcionalidad de detección de ubicación.
Para acceder a las entradas de clave de registro, vaya a la siguiente ruta: Computer>HKEY_LOCAL_MACHINE>SOFTWARE>Citrix>Secure Access Client
Clave del Registro | Tipo de Registro | Valores y descripción |
---|---|---|
AlwaysOnService | REG_DWORD | 1 => Establecer túnel a nivel máquina pero no túnel a nivel de usuario; 2 => Establecer túnel a nivel máquina y túnel a nivel de usuario |
AlwaysOnURL | REG SZ | URL del servidor virtual de NetScaler Gateway al que el usuario quiere conectarse. Ejemplo: https://xyz.companyDomain.com Importante: Solo una URL es responsable del túnel a nivel de máquina y del túnel a nivel de usuario. El registro AlwaysOnURL ayuda tanto al servicio como al componente de nivel de usuario a funcionar y a conectar un túnel independiente, es decir, túnel a nivel de máquina y túnel a nivel de usuario según el diseño |
AlwaysOn | REG_DWORD | 1 => Permitir el acceso a la red en caso de fallo de VPN; 2=> Bloquear el acceso a la red si falla |
AlwaysOnAllowlist | REG_SZ | Lista de direcciones IP o FQDN separados por punto y coma que deben incluirse en la lista de permitidos mientras la máquina se ejecuta en modo estricto. Ejemplo: 8.8.8.8;linkedin.com
|
UserCertCAList | REG_SZ | Lista de nombres de CA raíz separados por comas o puntos y coma, es decir, el nombre del emisor del certificado. Se utiliza en el contexto de un servicio Always On, en el que un cliente puede especificar la lista de CA para elegir el certificado de cliente. Ejemplo: cgwsanity.net;xyz.gov.in
|
locationDetection | REG_DWORD | 1 => Para habilitar la detección de ubicación; 0 => Para inhabilitar la detección de ubicación |
suffixList | REG SZ | Lista de dominios separada por punto y coma y se encarga de comprobar si la máquina está en la intranet o no en un momento dado cuando la detección de ubicación está habilitada. Example: citrite.net,cgwsanity.net
|
Para obtener más información sobre estas entradas del registro, consulte Siempre activado.
Nota:
Cuando se configura el servicio Always On, el perfil Always On configurado en el servidor virtual de NetScaler Gateway o en NetScaler se ignora en el lado del cliente. Por lo tanto, asegúrese de habilitar también los
locationDetection
registrosAlwaysOn
y VPN al configurar el servicio Always On. ```