Gateway

FAQ sur Unified Gateway

Qu’est-ce qu’Unified Gateway ? **

Unified Gateway est une nouvelle fonctionnalité de la version 11.0 de Citrix ADC, qui permet de recevoir du trafic sur un seul serveur virtuel (appelé serveur virtuel Unified Gateway), puis de diriger ce trafic en interne, le cas échéant, vers des serveurs virtuels liés au serveur virtuel Unified Gateway.

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Les administrateurs peuvent libérer des adresses IP et simplifier la configuration du déploiement de Citrix Gateway.

Chaque serveur virtuel Unified Gateway peut front-end un serveur virtuel Citrix Gateway avec zéro ou plusieurs serveurs virtuels d’équilibrage de charge dans le cadre d’une formation. Unified Gateway fonctionne en tirant parti de la fonctionnalité de commutation de contenu de l’appliance Citrix ADC.

Voici quelques exemples de déploiements d’Unified Gateway :

  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, un serveur virtuel d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, deux serveurs virtuels d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, trois serveurs virtuels d’équilibrage de charge]

Chacun des serveurs virtuels d’équilibrage de charge peut être n’importe quel serveur d’équilibrage de charge standard hébergeant un service principal, tel que Microsoft Exchange ou Citrix ShareFile.

Pourquoi utiliser Unified Gateway ? **

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Pour les administrateurs, l’avantage est qu’ils peuvent libérer des adresses IP et simplifier la configuration du déploiement de Citrix Gateway.  

Est-ce qu’il y a plus d’un serveur virtuel Unified Gateway ? **

Oui. Il peut y avoir autant de serveurs virtuels Unified Gateway que nécessaire.

Pourquoi la commutation de contenu est-elle nécessaire pour Unified Gateway ? **

La fonctionnalité de commutation de contenu est nécessaire car le serveur virtuel de commutation de contenu est celui qui reçoit le trafic et le dirige en interne vers le serveur virtuel approprié. Le serveur virtuel de commutation de contenu est le principal composant de la fonctionnalité Unified Gateway.

Dans les versions antérieures à la version 11.0, la commutation de contenu peut être utilisée pour recevoir du trafic pour plusieurs serveurs virtuels. Cette utilisation est-elle également appelée Unified Gateway ? **

L’utilisation d’un serveur virtuel de commutation de contenu pour recevoir du trafic pour plusieurs serveurs virtuels est prise en charge dans les versions antérieures à la version 11.0. Cependant, la commutation de contenu n’a pas pu rediriger le trafic vers un serveur virtuel Citrix Gateway.

Les améliorations de la version 11.0 permettent à un serveur virtuel de commutation de contenu de diriger le trafic vers n’importe quel serveur virtuel, y compris un serveur virtuel Citrix Gateway.

Qu’est-ce qui a changé avec les stratégies de commutation de contenu dans Unified Gateway ? **

1. Un nouveau paramètre de ligne de commande « -TargetvServer » est ajouté pour l’action de changement de contenu. Le nouveau paramètre est utilisé pour spécifier le serveur virtuel Citrix Gateway cible. Exemple:

ajouter l’action cs UG_CSACT_MyUG -TargetVServer UG_VPN_MyUG

Dans l’utilitaire de configuration Citrix Gateway, l’action de commutation de contenu comporte une nouvelle option, Target Virtual Server, qui peut référencer un serveur virtuel Citrix Gateway.

2. Une nouvelle expression de stratégie avancée, is_vpn_url, peut être utilisée pour faire correspondre Citrix Gateway et les demandes spécifiques à l’authentification.

Quelles fonctionnalités Citrix Gateway ne sont actuellement pas prises en charge dans Unified Gateway ? **

Toutes les fonctionnalités sont prises en charge dans Unified Gateway. Cependant, un problème mineur (numéro de problème 544325) a été signalé avec l’ouverture de session native via le plug-in VPN. Dans ce cas, l’authentification unique (SSO) transparente ne fonctionne pas.

Avec Unified Gateway, quel est le comportement des analyses EPA ? **

Avec Unified Gateway, l’analyse des terminaux est déclenchée uniquement pour les méthodes d’accès Citrix Gateway, et non pour l’accès AAA-TM. Si un utilisateur tente d’accéder à un serveur virtuel AAA-TM alors que l’authentification est effectuée sur le serveur virtuel Citrix Gateway, le scan EPA n’est pas déclenché. Toutefois, si l’utilisateur tente d’obtenir un accès VPN sans client/VPN complet, l’analyse EPA configurée est déclenchée. Dans ce cas, l’authentification ou l’authentification unique transparente sont effectuées.

Installation

Quelles sont les conditions de licence requises pour Unified Gateway ? **

Unified Gateway est uniquement pris en charge pour les licences Enterprise et Platinum. Il ne sera pas disponible uniquement pour les éditions de licence Citrix Gateway ou Standard.

Le serveur virtuel Citrix Gateway utilisé avec Unified Gateway a-t-il besoin d’une configuration IP/port/SSL ? **

Pour un serveur virtuel Citrix Gateway utilisé avec le serveur virtuel Unified Gateway, aucune configuration IP/port/SSL n’est requise sur le serveur virtuel Citrix Gateway. Toutefois, pour la fonctionnalité proxy RDP, vous pouvez lier le même certificat de serveur SSL/TLS au serveur virtuel Citrix Gateway.

Dois-je reprovisionner les certificats SSL/TLS qui se trouvent sur le serveur virtuel Citrix Gateway pour les utiliser avec un serveur virtuel Unified Gateway ? **

Il n’est pas nécessaire de reprovisionner les certificats actuellement liés à votre serveur virtuel Citrix Gateway. Vous êtes libre de réutiliser tous les certificats SSL existants et de les lier au serveur virtuel Unified Gateway.

Quelle est la différence entre une URL unique et un déploiement multi-hôtes ? De laquelle ai-je besoin ? **

Une URL unique fait référence à la capacité du serveur virtuel Unified Gateway à gérer le trafic pour un nom de domaine complet (FQDN). Cette restriction existe lorsque Unified Gateway utilise un certificat de serveur SSL/TLS dont l’objet du certificat est renseigné avec le nom de domaine complet. Par exemple : ug.citrix.com

Toutefois, si Unified Gateway utilise un certificat de serveur générique, il peut gérer le trafic de plusieurs sous-domaines. Par exemple :*.citrix.com

Une autre option est la configuration SSL/TLS avec la fonctionnalité d’indicateur de nom de serveur (SNI) pour permettre la liaison de plusieurs certificats de serveur SSL/TLS. Exemples : auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un hôte unique par rapport à plusieurs hôtes est similaire à la manière dont les sites Web sont généralement hébergés sur un serveur Web (par exemple un serveur HTTP Apache ou Microsoft Internet Information Services (IIS)). S’il n’y a qu’un seul hôte, vous pouvez utiliser le chemin du site pour changer le trafic de la même manière que vous utilisez un alias ou un « répertoire virtuel » dans Apache. S’il y a plusieurs hôtes, vous utilisez un en-tête d’hôte pour basculer le trafic de la même manière que vous utilisez les hôtes virtuels dans Apache.

Authentification

Quels mécanismes d’authentification peuvent être utilisés avec Unified Gateway ? **

Tous les mécanismes d’authentification existants qui fonctionnent avec Citrix Gateway fonctionnent avec Unified Gateway.

Il s’agit notamment de LDAP, RADIUS, SAML, Kerberos, l’authentification basée sur des certificats, etc.

Quel que soit le mécanisme d’authentification configuré sur le serveur virtuel Citrix Gateway avant l’utilisation de la mise à niveau, il est automatiquement utilisé lorsque le serveur virtuel Citrix Gateway est placé derrière le serveur virtuel Unified Gateway. Aucune étape de configuration supplémentaire n’est requise, si ce n’est l’attribution d’une adresse IP non adressable (0.0.0.0) au serveur virtuel Citrix Gateway.

Qu’est-ce que l’authentification « SelfAuth » ? **

SelfAuth n’est pas un type d’authentification en soi. SelFauth décrit comment une URL est créée. Un nouveau paramètre de ligne de commande, ssotype, est disponible pour la configuration de l’URL VPN. Exemple:

\> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelfAuth est l’une des valeurs du paramètre ssotype. Ce type d’URL peut être utilisé pour accéder à des ressources qui ne se trouvent pas dans le même domaine que le serveur virtuel Unified Gateway. Le paramètre est visible dans l’utilitaire de configuration lors de la configuration d’un signet.

Qu’est-ce que « StepUp » Authentication ? **

Lorsque des niveaux d’authentification supplémentaires et plus sécurisés sont requis pour accéder à une ressource AAA-TM, vous pouvez utiliser l’authentification StepUp. Sur la ligne de commande, utilisez une commande AuthnProfile pour définir le paramètre AuthnLevel. Exemple:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab -AuthenticationLevel 100

Ce profil d’authentification est lié au serveur virtuel d’équilibrage de charge.

L’authentification StepUp est-elle prise en charge pour les serveurs virtuels AAA-TM ? **

Oui, il est pris en charge.

Qu’est-ce que se connecter une fois/se déconnecter une fois ? **

Connexion unique : les utilisateurs de VPN se connectent une seule fois à un serveur virtuel AAA-TM ou Citrix Gateway. À partir de ce moment, les utilisateurs de VPN ont un accès transparent à toutes les applications d’entreprise/Cloud/Web. Il n’est pas nécessaire de réauthentifier l’utilisateur. Cependant, une réauthentification est effectuée pour des cas particuliers, tels que AAA-TM StepUp.

Déconnexion unique : une fois la première session AAA-TM ou Citrix Gateway créée, elle est utilisée pour créer les sessions AAA-TM ou Citrix Gateway suivantes pour cet utilisateur. Si l’une de ces sessions est déconnectée, l’appliance Citrix ADC déconnecte également les autres applications ou sessions de l’utilisateur.

Des politiques d’authentification communes peuvent-elles être spécifiées au niveau de Unified Gateway avec une limite authentifiée spécifique au serveur virtuel d’équilibrage de charge AAA-TM au niveau du serveur virtuel d’équilibrage de charge ? Quelles sont les étapes de configuration pour prendre en charge ce cas d’utilisation ? **

Si vous devez spécifier des politiques d’authentification distinctes pour le serveur virtuel AAA-TM derrière Unified Gateway, vous devez disposer d’un serveur virtuel d’authentification distinct et adressable indépendamment (similaire à une configuration AAA-TM ordinaire). Le paramètre d’hôte d’authentification sur le serveur virtuel d’équilibrage de charge doit pointer vers ce serveur virtuel d’authentification.

Comment configurer Unified Gateway pour que les serveurs virtuels AAA-TM liés disposent de leurs propres politiques d’authentification ? **

Dans ce scénario, l’option FQDN d’authentification du serveur d’équilibrage de charge doit être définie pour pointer vers le serveur virtuel AAA-TM. Le serveur virtuel AAA-TM doit avoir une adresse IP indépendante et être accessible depuis Citrix ADC et les clients.

Un serveur virtuel d’authentification AAA-TM est-il nécessaire pour authentifier les utilisateurs passant par un serveur virtuel Unified Gateway ? **

Non Le serveur virtuel Citrix Gateway authentifiera même les utilisateurs AAA-TM.

Où spécifiez-vous les stratégies d’authentification Citrix Gateway : sur le serveur virtuel Unified Gateway ou sur le serveur virtuel Citrix Gateway ? **

Les politiques d’authentification doivent être liées au serveur virtuel Citrix Gateway.

Comment activer l’authentification sur les serveurs virtuels AAA-TM derrière un serveur virtuel de commutation de contenu Unified Gateway ? **

Activez l’authentification sur AAA-TM et dirigez l’hôte d’authentification vers le nom de domaine complet du commutateur de contenu Unified Gateway.

Gestion du trafic AAA

Comment ajouter des serveurs TM Virtual à la commutation de contenu (URL unique ou multi-hôtes) ? **

Il n’y a aucune différence entre l’ajout de serveurs virtuels AAA-TM pour une URL unique et son ajout pour plusieurs hôtes. Dans les deux cas, le serveur virtuel est ajouté en tant que cible dans une action de changement de contenu. La différence entre une URL unique et plusieurs hôtes est implémentée par des règles de stratégie de commutation de contenu.

Qu’arrive-t-il aux politiques d’authentification liées à un serveur virtuel d’équilibrage de charge AAA-TM si ce serveur virtuel est déplacé derrière un serveur virtuel Unified Gateway ? **

Les politiques d’authentification sont liées au serveur virtuel d’authentification, et le serveur virtuel d’authentification est lié au serveur virtuel d’équilibrage de charge. Pour le serveur virtuel Unified Gateway, Citrix recommande d’utiliser le serveur virtuel Citrix Gateway comme point d’authentification unique, ce qui élimine la nécessité d’effectuer l’authentification sur un serveur virtuel d’authentification (ou même le besoin d’un serveur virtuel d’authentification spécifique). Le fait de pointer l’hôte d’authentification vers le nom de domaine complet du serveur virtuel Unified Gateway garantit que l’authentification est effectuée par le serveur virtuel Citrix Gateway. Si vous pointez l’hôte d’authentification vers la commutation de contenu pour Unified Gateway et que vous disposez toujours d’un serveur virtuel d’authentification lié, les stratégies d’authentification liées au serveur virtuel d’authentification sont ignorées. Toutefois, si vous pointez un hôte d’authentification vers un serveur virtuel d’authentification adressable indépendant, les stratégies d’authentification liées prennent effet.

Comment configurer les politiques de session pour les sessions AAA-TM ? **

Si, dans Unified Gateway, aucun serveur virtuel d’authentification n’est spécifié pour le serveur virtuel AAA-TM, les sessions AAA-TM héritent des politiques de session Citrix Gateway. Si le serveur virtuel d’authentification est spécifié, les politiques de session AAA-TM liées à ce serveur virtuel sont appliquées.

Personnalisation du portail

Quelles sont les modifications apportées au portail Citrix Gateway dans Citrix ADC 11.0 ? **

Dans les versions de Citrix ADC antérieures à la version 11.0, une personnalisation unique du portail peut être configurée au niveau mondial. Chaque serveur virtuel de passerelle d’une appliance Citrix ADC donnée utilise la personnalisation globale du portail.

Dans Citrix ADC 11.0, avec la fonctionnalité Thèmes de portail, vous pouvez configurer plusieurs thèmes de portail. Les thèmes peuvent être liés globalement ou à des serveurs virtuels spécifiques.

Citrix ADC 11.0 prend-il en charge la personnalisation du portail Citrix Gateway ? **

À l’aide de l’utilitaire de configuration, vous pouvez utiliser la nouvelle fonctionnalité de thèmes de portail pour personnaliser et créer complètement les nouveaux thèmes de portail. Vous pouvez télécharger différentes images, définir des jeux de couleurs, modifier les étiquettes de texte, etc.

Les pages du portail qui peuvent être personnalisées sont les suivantes :

  • Page de connexion
  • Page Analyse des points de terminaison
  • Page d’erreur Endpoint Analysis
  • Page Post Endpoint Analysis
  • Page de connexion VPN
  • Page d’accueil du portail

Avec cette version, vous pouvez personnaliser les serveurs virtuels Citrix Gateway avec des conceptions de portail uniques.

Les thèmes de portail sont-ils pris en charge dans les déploiements Citrix ADC haute disponibilité ou en cluster ? **

Oui. Les thèmes de portail sont pris en charge dans les déploiements Citrix ADC haute disponibilité et en cluster.

Mes personnalisations seront-elles migrées dans le cadre du processus de mise à niveau de Citrix ADC 11.0 ? **

Non Les personnalisations existantes de la page du portail Citrix Gateway qui sont invoquées via la modification du fichier rc.conf/rc.netscaler ou à l’aide de la fonctionnalité de thème personnalisé dans la version 10.1/10.5 ne seront pas automatiquement migrées lors de la mise à niveau vers Citrix ADC 11.0.

Y a-t-il des étapes préalables à la mise à niveau à suivre pour être prêt pour les thèmes de portail dans Citrix ADC 11.0 ? **

Toutes les personnalisations existantes doivent être supprimées du ou des fichiers rc.conf ou rc.netscaler.

L’autre option est que si des thèmes personnalisés sont utilisés, ils doivent être affectés au paramètre Par défaut :

Accédez à Configuration > Citrix Gateway > Paramètres globaux

Cliquez sur Modifier les paramètres globaux. Cliquez sur Expérience client et sélectionnez Par défaut dans la liste déroulante Thème de l’interface utilisateur .

J’ai des personnalisations qui sont stockées sur l’instance Citrix ADC, invoquées par rc.conf ou rc.netscaler. Comment passer aux thèmes du portail ? **

L’article CTX126206 du Centre de connaissances Citrix détaille une telle configuration pour les versions Citrix ADC 9.3 et 10.0 jusqu’à la version 10.0 73.5001.e. Depuis Citrix ADC 10.0 build 10.0 73.5002.e (y compris 10.1 et 10.5), le paramètre UITHEME CUSTOM est disponible pour aider les clients à conserver leurs personnalisations lors des redémarrages. Si les personnalisations sont stockées sur le disque dur Citrix ADC et que vous souhaitez continuer à les utiliser, sauvegardez les fichiers de l’interface graphique 11.0 et insérez-les dans le fichier de thème personnalisé existant. Si vous souhaitez passer aux thèmes du portail, vous devez d’abord désactiver le paramètre UITHEME dans les paramètres généraux ou dans le profil de session, sous Expérience client. Vous pouvez également le définir sur DEFAULT ou GREENBUBBLE. Ensuite, vous pouvez commencer à créer et à lier un thème de portail.

Comment puis-je exporter mes personnalisations actuelles et les enregistrer avant de procéder à la mise à niveau vers Citrix ADC 11.0 ? Puis-je déplacer les fichiers exportés vers une autre appliance Citrix ADC ? **

Les fichiers personnalisés qui ont été téléchargés dans le dossier ns_gui_custom se trouvent sur le disque et sont conservés pendant les mises à niveau. Toutefois, ces fichiers peuvent ne pas être entièrement compatibles avec le nouveau noyau Citrix ADC 11.0 et d’autres fichiers d’interface graphique qui font partie du noyau. Par conséquent, Citrix recommande de sauvegarder les fichiers de l’interface graphique 11.0 et de personnaliser les sauvegardes.

De plus, l’utilitaire de configuration ne contient aucun utilitaire permettant d’exporter le dossier ns_custom_gui vers une autre appliance Citrix ADC. Vous devez utiliser SSH ou un utilitaire de transfert de fichiers tel que WinSCP pour retirer les fichiers de l’instance Citrix ADC.

Les thèmes de portail sont-ils pris en charge pour les serveurs virtuels AAA-TM ? **

Oui. Les thèmes de portail sont pris en charge pour les serveurs virtuels AAA-TM.

Proxy RDP

Qu’est-ce qui a changé dans le proxy RDP pour Citrix Gateway 11.0 ? **

De nombreuses améliorations ont été apportées au proxy RDP depuis la version d’amélioration Citrix ADC 10.5.e. Dans Citrix ADC 11.0, cette fonctionnalité est disponible à partir de la première version publiée.

Changements de licence

La fonctionnalité de proxy RDP de Citrix ADC 11.0 ne peut être utilisée qu’avec les éditions Platinum et Enterprise. Les licences Citrix Concurrent User (CCU) doivent être obtenues pour chaque utilisateur.

Commande Enable

Dans Citrix ADC 10.5.e, il n’existait aucune commande permettant d’activer le proxy RDP. Dans Citrix ADC 11.0, la commande enable a été ajoutée :

activer la fonctionnalité rdpproxy

La fonctionnalité doit être sous licence pour exécuter cette commande.

Autres modifications apportées au proxy RDP

Un attribut de clé pré-partagée (PSK) sur le profil de serveur a été rendu obligatoire.

Pour migrer les configurations Citrix ADC 10.5.e existantes pour le proxy RDP vers Citrix ADC 11.0, les informations suivantes doivent être comprises et traitées.

Si un administrateur souhaite ajouter une configuration de proxy RDP existante à un déploiement Unified Gateway choisi :

  • L’adresse IP du serveur virtuel Citrix Gateway doit être modifiée et définie sur une adresse IP non adressable (0.0.0.0).
  • Tous les certificats de serveur SSL/TLS et stratégies d’authentification doivent être liés au serveur virtuel Citrix Gateway qui fait partie de la formation Unified Gateway choisie.

Comment migrer une configuration de proxy RDP (Remote Desktop Protocol) basée sur Citrix ADC 10.5.e vers Citrix ADC 11.0 ? **

Option 1 : Conservez le serveur virtuel Citrix Gateway existant avec la configuration du proxy RDP tel quel, avec une licence Platinum ou Enterprise.

Option 2 : déplacez le serveur virtuel Citrix Gateway existant avec la configuration du proxy RDP, en le plaçant derrière un serveur virtuel Unified Gateway.

Option 3 : ajoutez un serveur virtuel Citrix Gateway autonome avec configuration de proxy RDP à un dispositif Standard Edition existant.

Comment configurer Citrix Gateway pour la configuration du proxy RDP à l’aide de la version Citrix ADC 11.0 ? **

Il existe deux options pour déployer un proxy RDP à l’aide de la version NS 11.0 :

1) Utilisation d’un serveur virtuel Citrix Gateway orienté vers l’extérieur. Cela nécessite une adresse IP/nom de domaine complet visible en externe pour le serveur virtuel Citrix Gateway. Cette option est disponible dans Citrix ADC 10.5.e.

2) Utilisation d’un serveur virtuel Unified Gateway frontal au serveur virtuel Citrix Gateway.

Avec l’option 2, le serveur virtuel Citrix Gateway n’a pas besoin de sa propre adresse IP/nom de domaine complet, car il utilise une adresse IP non adressable (0.0.0.0).

Intégration à d’autres logiciels Citrix

HDX Insight est-il compatible avec Unified Gateway ?

Lorsque Citrix Gateway est déployé avec Unified Gateway, les conditions suivantes doivent être remplies :

  • Un certificat SSL valide doit être lié au serveur virtuel Citrix Gateway.

  • Le serveur virtuel Citrix Gateway doit être actif pour générer des enregistrements AppFlow sur Citrix ADM, pour les rapports HDX Insight.

Comment migrer ma configuration HDX Insight existante ?

Aucune migration n’est nécessaire. Les stratégies AppFlow liées à un serveur virtuel Citrix Gateway sont remises si ce serveur virtuel Citrix Gateway est placé derrière un serveur virtuel Unified Gateway.

Pour les données existantes sur Citrix ADM pour le serveur virtuel Citrix Gateway, deux possibilités s’offrent à vous :

  • Si l’adresse IP du serveur virtuel Citrix Gateway est attribuée à un serveur virtuel Unified Gateway dans le cadre de la migration vers Unified Gateway, les données restent liées au serveur virtuel Citrix Gateway.
  • Si une adresse IP distincte est attribuée au serveur virtuel Unified Gateway, les données AppFlow du serveur virtuel Citrix Gateway seront liées à cette nouvelle adresse IP. Par conséquent, les données existantes ne feront pas partie des nouvelles données.
FAQ sur Unified Gateway