Configurer l’accès VPN sans client avec NetScaler Gateway
L’accès sans client fournit aux utilisateurs l’accès dont ils ont besoin sans qu’ils aient à installer de logiciel utilisateur, tel que le client Citrix Secure Access ou Receiver. Les utilisateurs peuvent utiliser leur navigateur Web pour se connecter à des applications Web, telles qu’Outlook Web Access.
Pour configurer l’accès sans client, procédez comme suit :
- Activation de l’accès sans client soit globalement, soit à l’aide d’une stratégie de session liée à un utilisateur, un groupe ou un serveur virtuel.
- Sélection de la méthode de codage des adresses Web.
Pour activer l’accès sans client uniquement pour un serveur virtuel spécifique, désactivez l’accès sans client globalement, puis créez une stratégie de session pour l’activer.
Si vous utilisez l’assistant NetScaler Gateway pour configurer l’appliance, vous avez le choix de configurer l’accès sans client dans l’assistant. Les paramètres de l’assistant sont appliqués globalement. Dans l’assistant NetScaler Gateway, vous pouvez configurer les méthodes de connexion client suivantes :
- Client Citrix Secure Access. Les utilisateurs sont autorisés à se connecter à l’aide du client Citrix Secure Access uniquement.
- Utilisez le client Citrix Secure Access et autorisez le scénario d’accès de secours. Les utilisateurs se connectent à NetScaler Gateway avec le client Citrix Secure Access. Si la machine utilisateur échoue à une analyse d’analyse des points de terminaison, les utilisateurs sont autorisés à ouvrir une session à l’aide d’un accès sans client. Dans ce cas, les utilisateurs ont un accès limité aux ressources réseau.
- Autorisez les utilisateurs à ouvrir une session à l’aide d’un navigateur Web et d’un accès sans client. Les utilisateurs peuvent ouvrir une session uniquement en utilisant un accès sans client et bénéficier d’un accès limité aux ressources réseau.
Fonctionnement des stratégies d’accès VPN sans client
Vous configurez l’accès sans client aux applications Web en créant des stratégies. Vous pouvez configurer les paramètres d’une stratégie d’accès sans client dans l’utilitaire de configuration. Une stratégie d’accès sans client est composée d’une règle et d’un profil. Vous pouvez utiliser les stratégies d’accès sans client préconfigurées fournies avec NetScaler Gateway. Vous pouvez également créer vos propres stratégies d’accès sans client personnalisées.
NetScaler Gateway fournit des stratégies préconfigurées pour les éléments suivants :
- Outlook Web Access et Outlook Web App
- SharePoint 2007
- Toutes les autres applications Web
Remarque :
OWA 2016 et SharePoint 2016 sont pris en charge uniquement à l’aide d’un accès sans client avancé.
Gardez à l’esprit les caractéristiques suivantes des stratégies d’accès sans client préconfigurées :
- Ils sont configurés automatiquement et ne peuvent pas être modifiés.
- Chaque stratégie est liée au niveau mondial.
- Chaque stratégie n’est pas appliquée, sauf si vous activez l’accès sans client soit globalement, soit en créant une stratégie de session.
- Vous ne pouvez pas supprimer ou modifier les liaisons globales, même si vous n’activez pas l’accès sans client.
La prise en charge des autres applications Web dépend des stratégies de réécriture que vous configurez sur NetScaler Gateway. Citrix recommande de tester toutes les stratégies personnalisées que vous créez pour garantir que tous les composants de l’application se réécrivent correctement.
Si vous autorisez les connexions depuis Receiver pour Android, Receiver pour iOS ou Citrix Secure Hub, vous devez activer l’accès sans client. Pour Citrix Secure Hub qui s’exécute sur un appareil iOS, vous devez également activer la Secure Browse dans le profil de session. La Secure Browse et l’accès sans client fonctionnent ensemble pour permettre les connexions à partir d’appareils iOS. Il n’est pas nécessaire d’activer la Secure Browse si les utilisateurs ne se connectent pas à des appareils iOS.
L’assistant de configuration rapide configure les stratégies et paramètres d’accès sans client corrects pour les appareils mobiles. Citrix recommande d’exécuter l’assistant de configuration rapide pour configurer les stratégies appropriées pour les connexions à StoreFront et Citrix Endpoint Management.
Vous pouvez lier des stratégies d’accès sans client personnalisées globalement ou à un serveur virtuel. Si vous souhaitez lier des stratégies d’accès sans client à un serveur virtuel, vous devez créer une stratégie personnalisée, puis la lier. Pour appliquer différentes stratégies d’accès sans client globalement ou pour un serveur virtuel, modifiez le numéro de priorité de la stratégie personnalisée afin qu’elle ait un nombre inférieur à celui des stratégies préconfigurées, ce qui donne à la stratégie personnalisée une priorité plus élevée. Si aucune autre stratégie d’accès sans client n’est liée au serveur virtuel, les stratégies globales préconfigurées sont prioritaires.
Remarque :
Vous ne pouvez pas modifier les numéros de priorité des stratégies d’accès sans client préconfigurées.
Activer l’accès VPN sans client
Lorsque vous activez l’accès sans client au niveau global, tous les utilisateurs reçoivent les paramètres de l’accès sans client. Vous pouvez utiliser l’assistant NetScaler Gateway, une stratégie globale ou une stratégie de session pour activer l’accès sans client.
Dans un paramètre global ou un profil de session, l’accès sans client comporte les paramètres suivants :
- Sur. Permet un accès sans client. Si vous désactivez les choix des clients et que vous ne configurez pas ou ne désactivez pas StoreFront, les utilisateurs ouvrent une session en utilisant un accès sans client.
- Désactivé. L’accès sans client n’est pas activé par défaut. L’accès sans client est activé une fois que les utilisateurs se connectent avec le client Citrix Secure Access. Si vous désactivez les choix du client et que vous ne configurez ni ne désactivez StoreFront, les utilisateurs ouvrent une session avec le client Citrix Secure Access. Si l’analyse des points de terminaison échoue lorsque les utilisateurs ouvrent une session, les utilisateurs reçoivent la page de choix avec un accès sans client disponible.
- Désactivé. L’accès sans client est désactivé. Lorsque vous sélectionnez Désactivé, les utilisateurs ne peuvent pas ouvrir de session à l’aide de l’accès sans client et l’icône d’accès sans client n’apparaît pas sur la page de choix.
Si vous n’activez pas l’accès sans client à l’aide de l’assistant NetScaler Gateway, vous pouvez l’activer globalement ou dans une stratégie de session à l’aide de l’utilitaire de configuration.
Pour activer l’accès sans client à l’échelle mondiale
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Expérience client, en regard de Accès sans client, sélectionnez ACTIVÉ,** puis cliquez sur **OK.
Pour activer l’accès sans client à l’aide d’une stratégie de session
Si vous souhaitez qu’un groupe restreint d’utilisateurs, de groupes ou de serveurs virtuels utilise l’accès sans client, désactivez ou effacez l’accès sans client à l’échelle mondiale. Ensuite, à l’aide d’une stratégie de session, activez l’accès sans client et liez-le à des utilisateurs, des groupes ou des serveurs virtuels.
- Dans l’utilitaire de configuration, sous l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway > PoliciesSession.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Expérience client, à côté de Clientless Access, cliquez surOverride Global, sélectionnez Activé, puis cliquez sur Créer.
- Dans la boîte de dialogue Créer une politique de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.
- Cliquez sur Créer, puis sur Fermer.
Après avoir créé la stratégie de session qui autorise l’accès sans client, vous la liez à un utilisateur, un groupe ou un serveur virtuel.
Encodez l’adresse Web
Lorsque vous activez l’accès sans client, vous pouvez choisir d’encoder les adresses des applications Web internes ou de laisser l’adresse en texte clair. Les paramètres sont les suivants :
- Obscure. Cela utilise des mécanismes de codage standard pour masquer la partie domaine et protocole de la ressource.
- Transparent. L’adresse Web n’est pas codée et est visible par les utilisateurs.
- Crypter. Le domaine et le protocole sont chiffrés à l’aide d’une clé de session. Lorsque l’adresse Web est chiffrée, l’URL est différente pour chaque session utilisateur de la même ressource Web. Si les utilisateurs mettent l’adresse Web codée dans un signet, l’enregistrent dans le navigateur Web, puis se déconnectent. Lorsque les utilisateurs ouvrent une session et tentent de se connecter à nouveau à l’adresse Web à l’aide du signet, ils ne peuvent pas se connecter à l’adresse Web. Remarque : Si les utilisateurs enregistrent le signet chiffré dans l’interface d’accès au cours de leur session, le signet fonctionne chaque fois que l’utilisateur ouvre une session.
Vous pouvez configurer ce paramètre globalement ou dans le cadre d’une stratégie de session. Si vous configurez le codage dans le cadre de la stratégie de session, vous pouvez le lier aux utilisateurs, aux groupes ou à un serveur virtuel.
Configurer l’encodage des adresses Web globalement
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Expérience client, en regard de Codage d’URL d’accès sans client, sélectionnez le niveau de codage, puis cliquez sur OK.
Configurez le codage des adresses Web en créant une stratégie de session
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway > Policies, puis cliquez sur Session.
- Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la stratégie.
- À côté de Demander un profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Dans l’onglet Expérience client, à côté de Codage de l’URL d’accès sans client, cliquez sur Override Global, sélectionnez le niveau de codage, puis cliquez sur OK.
- Dans la boîte de dialogue Créer une politique de session, à côté de Expressions nommées, sélectionnez Général, sélectionnez Valeur vraie, cliquez sur Ajouter une expression, sur Créer, puis sur Fermer.
Créer des stratégies d’accès sans client
Si vous souhaitez utiliser les mêmes paramètres que pour les stratégies d’accès sans client par défaut, mais que vous souhaitez lier la stratégie à un serveur virtuel, vous pouvez copier les stratégies par défaut en fournissant un nouveau nom pour la stratégie. Vous pouvez utiliser l’utilitaire de configuration pour copier les stratégies par défaut.
Après avoir lié la nouvelle stratégie au serveur virtuel, vous pouvez définir la priorité de la stratégie de sorte qu’elle s’exécute en premier lorsqu’un utilisateur ouvre une session.
Créer une stratégie d’accès sans client à l’aide des paramètres par défaut
- Dans l’utilitaire de configuration, dans le volet de navigation, développez NetScaler Gateway > Policies, puis cliquez sur Clientless Access.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur une stratégie par défaut, puis sur Ajouter.
- Dans Nom, tapez un nouveau nom pour la stratégie, cliquez sur Créer, puis cliquez sur Fermer.
Liaison d’une stratégie d’accès sans client à un serveur virtuel
Après avoir créé la stratégie, liez-la au serveur virtuel.
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Virtual Servers.
- Dans le volet d’informations, sélectionnez un serveur virtuel, puis cliquez sur Ouvrir.
- Dans la boîte de dialogue de configuration du serveur virtuel NetScaler Gateway, cliquez sur l’onglet Stratégies, puis sur Clientless.
- Cliquez sur Insérer une stratégie, sélectionnez une stratégie dans la liste, puis cliquez sur OK.
Créer et évaluer des expressions de stratégie d’accès sans client
Lorsque vous créez une stratégie d’accès sans client, vous pouvez créer votre propre expression pour la stratégie. Lorsque vous avez fini de créer l’expression, vous pouvez ensuite évaluer la précision de l’expression.
- Dans l’utilitaire de configuration, dans le volet de navigation, développez NetScaler Gateway > Policies, puis cliquez sur Clientless Access.
- Dans le volet d’informations, sous l’onglet Stratégies, cliquez sur une stratégie par défaut, puis sur Ajouter.
- Dans Nom, tapez le nom de la stratégie.
- À côté de Profil, cliquez sur Nouveau.
- Dans Nom, saisissez le nom du profil.
- Configurez les paramètres de réécriture, puis cliquez sur Créer.
- Dans la boîte de dialogue Créer une stratégie d’accès sans client, sous Expression, cliquez sur Ajouter.
- Dans la boîte de dialogue Ajouter une expression, créez l’expression, puis cliquez sur OK.
- Dans la boîte de dialogue Créer une stratégie d’accès sans client, cliquez sur Evaluer, et si l’expression est correcte, cliquez sur Créer.