Configurer le VPN Always On avant l’ouverture de session Windows
Cette section contient les détails nécessaires pour configurer le VPN permanent avant l’ouverture de session Windows à l’aide d’une stratégie avancée.
Pré-requis
- NetScaler Gateway et le plug-in VPN doivent être de version 13.0.41.20 ou ultérieure.
- NetScaler Advanced Edition ou version ultérieure est requis pour que la solution fonctionne.
- Vous pouvez configurer la fonctionnalité uniquement à l’aide de stratégies avancées.
- Le serveur virtuel VPN doit être opérationnel.
Étapes de configuration de
La configuration Always On VPN avant l’ouverture de session Windows implique les étapes de haut niveau suivantes :
- Configurer un tunnel au niveau de la machine
- Configurer un tunnel au niveau utilisateur (facultatif)
- Activer l’authentification des utilisateurs
- Configurez le serveur virtuel VPN, installez un certificat CA et liez la clé du certificat au serveur virtuel.
- Créer un profil d’authentification
- Créer un serveur virtuel d’authentification
- Créer des stratégies d’authentification
- Liez les stratégies au profil d’authentification
Tunnel de niveau machine
Un tunnel au niveau de la machine est établi vers NetScaler Gateway en utilisant le certificat de l’appareil comme identité. Le certificat d’appareil doit être installé sur la machine cliente sous le magasin de machines. Cela s’applique uniquement au service Always On before Windows Logon.
Pour plus de détails sur le certificat d’appareil, voir Utiliser des certificats d’appareil pour l’authentification.
Important :
si le serveur virtuel VPN de l’appliance NetScaler Gateway est configuré sur un port non standard (autre que 443), le tunnel au niveau de la machine ne fonctionne pas comme prévu.
Configurer le tunnel au niveau de la machine à l’aide du certificat de l’appareil
Configuration de l’authentification basée sur le certificat d’appareil à l’aide de
- Dans l’onglet Configuration, accédez à NetScaler Gateway> Virtual Servers.
- Sur la page Serveurs virtuels NetScaler Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
-
Sous Certificat, cliquez sur Certificat CA.
-
Sur la page de liaison des certificats CA, cliquez sur Ajouter à côté du champ Sélectionner un certificat CA, mettez à jour les informations requises, puis cliquez sur Installer.
-
Sur la page du serveur virtuel VPN, cliquez sur l’icône de modification.
-
Dans la section Paramètres de base, cliquez sur Plus.
-
Cliquez sur Ajouter à côté de la section CA for Device Certificate, puis cliquez sur OK.
Remarque :ne cochez pas la case Activer le certificat de l’appareil.
-
Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification sous la section Certificat. Cliquez sur Ajouter une liaison sous la page Liaison de certificat de l’autorité de certification du serveur virtuel SSL.
Remarque :
- Le champ Nom commun de l’objet (CN) du certificat de périphérique ne doit pas être vide. Si un appareil tente de se connecter avec des certificats d’appareil CN vides, sa session VPN est créée avec le nom d’utilisateur « anonyme ». Dans IIP, si plusieurs sessions ont le même nom d’utilisateur, les sessions précédentes sont déconnectées. Ainsi, lorsque l’IIP est activé, vous remarquez l’impact de la fonctionnalité en raison d’un nom commun vide.
- Tous les certificats d’autorité de certification (racine et intermédiaire) susceptibles de signer le certificat de périphérique émis aux clients doivent être liés sous la section CA for Device Certificate et également dans la section Liaison de certificat d’autorité de certification pour le serveur virtuel aux étapes 4 et 5. Pour plus d’informations sur la liaison d’un certificat d’autorité de certification avec des certificats intermédiaires/subordonnés, consultez Installer, lier et mettre à jour des certificats.
- Si plusieurs certificats d’appareil sont configurés, le certificat dont la date d’expiration est la plus longue est essayé pour la connexion VPN. Si ce certificat autorise l’analyse EPA avec succès, la connexion VPN est établie. Si ce certificat échoue au cours du processus d’analyse, le certificat suivant est utilisé. Ce processus se poursuit jusqu’à ce que tous les certificats soient essayés.
-
Sur la page CA Certificate Binding, sélectionnez le certificat.
-
Cliquez sur Bind.
- Créez un serveur virtuel d’authentification.
- Sur la page Serveurs virtuels VPN, accédez à Paramètres avancés > Profil d’authentification et cliquez sur Ajouter.
- Sur la page Créer un profil d’authentification, attribuez un nom au profil d’authentification, puis cliquez sur Créer.
- Sur la page Serveur virtuel d’authentification, attribuez un nom au serveur virtuel d’authentification. Sélectionnez le type d’adresse IP comme non adressable, puis cliquez sur OK.
Remarque :
Le serveur virtuel d’authentification reste toujours à l’état DOWN.
- Créez une stratégie d’authentification.
- Dans la section Stratégies d’authentification avancées de la page Sécurité > Trafic des applications AAA > Serveurs virtuels d’authentification, sélectionnez la stratégie d’authentification et cliquez sur Ajouter une liaison.
- Sur la page Policy Binding, cliquez sur Ajouter à côté du champ Select Policy.
- Sur la page Créer une stratégie d’authentification ;
- Attribuez un nom à la stratégie d’authentification avancée.
- Sélectionnez EPA dans la liste Type d’action.
- Cliquez sur Ajouter en regard de Action.
- Sur la page Créer une action EPA d’authentification ;
- Attribuez un nom à l’action EPA.
- Entrez
sys.client_expr("device-cert_0_0")
dans le champ Expression. -
Cliquez sur Créer.
- Sur la page Créer une politique d’authentification ;
- Attribuez un nom à la stratégie d’authentification.
- Entrez is_aoservice dans le champ Expression.
-
Cliquez sur Créer.
- Sur la page Liaison de stratégie, saisissez 100 dans Priorité, puis cliquez sur Liaison.
Configuration de l’authentification basée sur le certificat d’appareil à l’aide de
-
Installez un certificat CA sur un serveur virtuel VPN.
add ssl certkey ckp -cert t_CA.cer <!--NeedCopy-->
-
Liez le certificat CA au serveur virtuel VPN .
bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional ) <!--NeedCopy-->
Exemple
bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory <!--NeedCopy-->
-
Ajoutez un serveur virtuel d’authentification.
add authentication authnProfile <name> {-authnVsName <string>} <!--NeedCopy-->
Exemple
add authentication authnProfile always_on -authnVsName always_on_auth_server <!--NeedCopy-->
-
Créez une action d’authentification EPA.
add authentication epaAction <name> -csecexpr <expression> <!--NeedCopy-->
Example
``` add authentication epaAction epa-act -csecexpr
sys.client_expr("device-cert_0_0")
-defaultgroup epa_pass ``` -
Création d’une stratégie d’authentification
add authentication Policy <name> -rule <expression> -action <string>
Exemple:
add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth
Important :
La configuration du tunnel au niveau de la machine est maintenant terminée. Pour configurer le tunnel au niveau utilisateur après l’ouverture de session Windows, reportez-vous à la section Tunnel de niveau utilisateur.
Sur l’ordinateur client, le certificat de périphérique est au format .pfx. Le certificat .pfx est installé sur l’ordinateur Windows car Windows comprend le format .pfx. Ce fichier contient les fichiers de certificat et de clé. Ce certificat doit appartenir au même domaine qui est lié au serveur virtuel. Les certificats et clés .pfx et serveur peuvent être générés à l’aide de l’assistant de certificat client. Ces certificats peuvent être utilisés avec l’autorité de certification pour générer le .pfx respectif avec le certificat du serveur et le domaine. Le certificat .pfx est installé dans le compte d’ordinateur dans le dossier personnel. La
show aaa session
commande affiche le tunnel de l’appareil sur l’appliance NetScaler.
Tunnel au niveau utilisateur
Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur à l’aide de l’interface graphique
Remarque : L’expression is_aoservice.not
est applicable à partir des versions 13.0.41.20 et ultérieures de NetScaler Gateway.
- Configurez une stratégie pour l’authentification des utilisateurs.
- Accédez à NetScaler Gateway > Serveurs virtuels et sélectionnez un serveur virtuel.
- Dans les paramètres avancés, cliquez sur Profil d’authentification.
- Configurez le profil d’authentification.
- Sur la page Configuration > Sécurité > Trafic des applications AAA > Serveurs virtuels d’authentification, sélectionnez la stratégie d’authentification.
-
Dans Sélectionner une action, cliquez sur Modifier la liaison et remplacez Expression GoTo par NEXT au lieu de END pour la liaison de stratégie.
-
Cliquez sur Lier, puis sur la page Politique d’authentification, sélectionnez la stratégie d’authentification et cliquez sur Ajouter une liaison.
-
Sur la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie.
Sur la page Créer une stratégie d’authentification ;
- Entrez le nom de la stratégie « aucune authentification » à créer.
- Sélectionnez le type d’action No_Authn.
- Entrez is_aoservice.not dans le champ Expression.
- Cliquez sur Créer.
-
Dans Sélectionner une action, cliquez sur Modifier la liaison.
- Sur la page Liaison de stratégie, saisissez 110 dans Priorité. Cliquez sur Ajouter en regard de Sélectionner le facteur suivant.
- Sur la page Étiquette de stratégie d’authentification, saisissez un nom descriptif pour l’étiquette de stratégie, sélectionnez le schéma de connexion, puis cliquez sur Continuer.
- Dans Sélectionner une stratégie, cliquez sur Ajouter et créez une stratégie d’authentification LDAP.
- Cliquez sur Créer, puis cliquez sur Liaison.
- Cliquez sur Terminé, puis sur Liaison.
Dans la page Stratégie d’authentification, la colonne Facteur suivant affiche la stratégie de facteur suivant configurée.
- Vous pouvez configurer la stratégie LDAP en tant que facteur suivant de la stratégie d’authentification.
- Sur la page Créer une stratégie d’authentification, entrez un nom pour la stratégie LDAP.
- Sélectionnez Type d’action en tant que LDAP.
- Entrez Action en tant qu’action LDAP configurée.
Remarque :
- Pour créer un fichier XML de schéma de connexion, consultez la section Fichier XML de schéma de connexion.
- Pour créer des étiquettes de stratégie, voir Authentifier l’étiquette de stratégie.
- Pour créer une stratégie d’authentification LDAP, consultez Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.
Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur en utilisant l’interface de ligne de commande
-
Lier une stratégie au serveur virtuel d’authentification
bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Exemple
bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT
-
Ajoutez une stratégie d’authentification avec l’action en tant que
NO_AUTH
et l’expressionis_aoservice.not,
et liez-la à la stratégie.add authentication Policy <name> -rule <expression> -action <string> bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>
Exemple
add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110
-
Ajoutez un facteur suivant et liez l’étiquette de stratégie au facteur suivant.
add authentication policylabel <labelName> -loginSchema <string> bind authentication policylabel <string> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>
Exemple
add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100
-
Configurez une stratégie LDAP et liez-la à l’étiquette de stratégie de tunnel utilisateur.
add authentication policy <name> -rule <expression> -action <string> bind authentication vserver <vserver_name> -policy <string> -priorit < positive integer> gotoPriorityExpression <string>
Exemple
add authentication Policy LDAP_new -rule true -action LDAP_new bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT
Configuration côté client
Ils AlwaysOn, locationDetection, and suffixList registries
sont facultatifs et ne sont nécessaires que si la fonctionnalité de détection d’emplacement est requise.
Pour accéder aux entrées de clé de registre, accédez au chemin suivant : Ordinateur> HKEY_LOCAL_MACHINE>Software>Citrix>Secure Access Client
Clé de registre | Type de registre | Valeurs et description |
---|---|---|
AlwaysOnService | REG_DWORD | 1 => Établir un tunnel au niveau machine mais pas un tunnel au niveau utilisateur ; 2 => Établir un tunnel au niveau machine et un tunnel au niveau utilisateur |
AlwaysOnURL | REG SZ | URL du serveur virtuel NetScaler Gateway auquel l’utilisateur souhaite se connecter. Exemple : https://xyz.companyDomain.com Important : Une seule URL est responsable du tunnel au niveau de la machine et du tunnel au niveau utilisateur. Le registre AlwaysOnURL aide le composant de niveau service et utilisateur à travailler et à connecter un tunnel distinct, c’est-à-dire un tunnel au niveau machine et un tunnel au niveau utilisateur en fonction de la conception |
AlwaysOn | REG_DWORD | 1 => Autoriser l’accès au réseau en cas de défaillance du VPN ; 2=> Bloquer l’accès réseau en cas de panne VPN |
AlwaysOnAllowlist | REG_SZ | Liste d’adresses IP ou de noms de domaine FQDN séparés par des points-virgules qui doivent être mis sur liste blanche lorsque la machine fonctionne en mode strict. Exemple : 8.8.8.8;linkedin.com
|
UserCertCAList | REG_SZ | Liste de noms d’autorité de certification racine séparés par des virgules ou des points-virgules, c’est-à-dire le nom de l’émetteur du certificat. Utilisé dans le contexte d’un service Always On dans lequel un client peut spécifier la liste des autorités de certification dans lesquelles choisir le certificat client. Exemple: cgwsanity.net;xyz.gov.in
|
locationDetection | REG_DWORD | 1 => Pour activer la détection de position ; 0 => Pour désactiver la détection de position |
suffixList | REG SZ | Liste de domaines séparés par des points-virgules et chargée de vérifier si la machine se trouve sur l’intranet ou non à un moment donné lorsque la détection de localisation est activée. Example: citrite.net,cgwsanity.net
|
Pour plus d’informations sur ces entrées de Registre, consultez Toujours allumé.
Remarque :
Lorsque le service Always On est configuré, le profil Always On configuré sur le serveur virtuel NetScaler Gateway ou sur NetScaler est ignoré côté client. Assurez-vous donc d’activer également les
locationDetection
registres etAlwaysOn
VPN lors de la configuration du service Always On. ```