Sélectionner le client Citrix Secure Access pour les utilisateurs
Lorsque vous configurez NetScaler Gateway, vous pouvez choisir la manière dont les utilisateurs se connectent. Les utilisateurs peuvent ouvrir une session à l’aide de l’un des plug-ins suivants :
- Client Citrix Secure Access pour Windows
- Client Citrix Secure Access pour macOS
Vous terminez la configuration en créant une stratégie de session, puis en la liant aux utilisateurs, groupes ou serveurs virtuels. Vous pouvez également activer les plug-ins en configurant les paramètres globaux. Dans le profil global ou de session, vous sélectionnez Windows ou macOS X comme type de module externe. Lorsque les utilisateurs ouvrent une session, ils reçoivent le plug-in tel que défini globalement ou dans le profil de session et la stratégie. Créez des profils distincts pour le type de plug-in.
Configurez le plug-in globalement
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développez NetScaler Gateway, puis cliquez sur Paramètres globaux.
- Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
- Dans l’onglet Expérience client, en regard de Type de plug-in, sélectionnez Windows/macOS X, puis cliquez sur OK.
Configurer le type de plug-in pour Windows ou macOS dans un profil de session
- Dans l’utilitaire de configuration, dans l’onglet Configuration, dans le volet de navigation, développezNetScaler Gateway > Policies, puis cliquez sur Session.
- Procédez comme suit :
- Si vous créez une stratégie de session, dans le volet d’informations, cliquez sur Ajouter.
- Si vous modifiez une stratégie existante, sélectionnez-en une, puis cliquez sur Ouvrir.
- Créez un profil ou modifiez un profil existant. Pour ce faire, effectuez l’une des opérations suivantes :
- À côté de Demander un profil, cliquez sur Nouveau.
- À côté de Demander un profil, cliquez sur Modifier.
- Dans l’onglet Expérience client, en regard de Type de plug-in, cliquez sur Override Global, puis sélectionnez Windows/macOS X.
- Procédez comme suit :
- Si vous créez un profil, cliquez sur Créer, définissez l’expression dans la boîte de dialogue de stratégie, cliquez sur Créer, puis sur Fermer.
- Si vous modifiez un profil existant, après avoir effectué la sélection, cliquez deux fois sur OK .
Client Citrix Secure Access pour Windows
Lorsque les utilisateurs se connectent à NetScaler Gateway, ils téléchargent et installent le client Citrix Secure Access sur la machine utilisateur.
Pour installer le plug-in, les utilisateurs doivent être un administrateur local ou un membre du groupe Administrateurs. Cette restriction s’applique uniquement à la première installation. Les mises à niveau de plug-in ne nécessitent pas d’accès de niveau administrateur.
Pour permettre aux utilisateurs de se connecter à NetScaler Gateway et de l’utiliser, vous devez leur fournir les informations suivantes :
- Adresse Web NetScaler Gateway, telle que https://NetScalerGatewayFQDN/
- Toute configuration système requise pour exécuter le client Citrix Secure Access si vous avez configuré des ressources et des stratégies de point de terminaison
Selon la configuration de la machine utilisateur, vous devrez peut-être également fournir les informations suivantes :
- Si les utilisateurs exécutent un pare-feu sur leur ordinateur, ils doivent modifier les paramètres du pare-feu afin que celui-ci ne bloque pas le trafic à destination ou en provenance des adresses IP correspondant aux ressources auxquelles vous avez accordé l’accès. Le client Citrix Secure Access gère automatiquement le pare-feu de connexion Internet dans Windows XP et le pare-feu Windows dans Windows XP Service Pack 2, Windows Vista, Windows 7, Windows 8 ou Windows 8.1.
- Les utilisateurs qui souhaitent envoyer du trafic vers FTP via une connexion NetScaler Gateway doivent configurer leur application FTP pour effectuer des transferts passifs. Un transfert passif signifie que l’ordinateur distant établit la connexion de données à votre serveur FTP, plutôt que l’établissement de la connexion de données par le serveur FTP à l’ordinateur distant.
- Les utilisateurs qui souhaitent exécuter des applications clientes X sur la connexion doivent exécuter un serveur X, par exemple,
XManager
sur leurs ordinateurs. - Les utilisateurs qui installent Receiver pour Windows ou Receiver pour Mac peuvent démarrer le client Citrix Secure Access depuis Receiver ou à l’aide d’un navigateur Web. Fournissez des instructions aux utilisateurs sur la façon de se connecter avec le client Citrix Secure Access via Receiver ou un navigateur Web.
Étant donné que les utilisateurs travaillent sur des fichiers et des applications comme s’ils étaient locaux sur le réseau de l’organisation, il n’est pas nécessaire de recycler les utilisateurs ou de configurer des applications.
Pour établir une connexion sécurisée pour la première fois, connectez-vous à NetScaler Gateway à l’aide de la page de connexion Web. Le format typique d’une adresse Web est https://companyname.com. Lorsque les utilisateurs ouvrent une session, ils peuvent télécharger et installer le client Citrix Secure Access sur leur ordinateur.
Installation du client Citrix Secure Access pour Windows
- Dans un navigateur Web, saisissez l’adresse Web de NetScaler Gateway.
- Tapez le nom d’utilisateur et le mot de passe, puis cliquez sur Ouverture de session.
- Sélectionnez Accès réseau, puis cliquez sur Télécharger.
- Suivez les instructions pour installer le plug-in.
Une fois le téléchargement terminé, le client Citrix Secure Access se connecte et affiche un message dans la zone de notification d’un ordinateur Windows.
Si vous souhaitez que les utilisateurs se connectent au client Citrix Secure Access sans utiliser de navigateur Web, vous pouvez configurer le plug-in pour qu’il affiche la boîte de dialogue d’ouverture de session lorsque les utilisateurs cliquent avec le bouton droit sur l’icône NetScaler Gateway dans la zone de notification d’un ordinateur Windows ou démarrent le plug-in depuis le menu Démarrer.
Configurer la boîte de dialogue d’ouverture de session pour le client Citrix Secure Access pour Windows
Pour configurer le client Citrix Secure Access afin qu’il utilise la boîte de dialogue d’ouverture de session, les utilisateurs doivent être connectés pour terminer cette procédure.
- Sur un ordinateur Windows, dans la zone de notification, cliquez avec le bouton droit sur l’icône NetScaler Gateway, puis cliquez sur Configurer NetScaler Gateway.
- Cliquez sur l’onglet Profil, puis sur Modifier le profil.
- Dans l’onglet Options, cliquez sur Utiliser le client Citrix Secure Access pour l’ouverture de session. Remarque : Si les utilisateurs ouvrent la boîte de dialogue Configurer NetScaler Gateway depuis Receiver, l’onglet Options n’est pas disponible.
Définissez le mode d’interception pour le client Citrix Secure Access pour Windows
Si vous configurez le client Citrix Secure Access pour Windows, vous devez également configurer le mode d’interception et le définir sur transparent.
- Dans l’utilitaire de configuration, cliquez sur l’onglet Configuration, ouvrez NetScaler Gateway > Ressources, puis cliquez sur Applications intranet.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans Nom, tapez le nom de la politique.
- Cliquez sur Transparent.
- Dans Protocole, sélectionnez N’IMPORTE LEQUEL.
- Dans Type de destination, sélectionnez Adresse IP et masque réseau.
- Dans la zone Adresse IP, tapez l’adresse IP.
- Dans Masque de réseau, tapez le masque de sous-réseau, cliquez sur Créer, puis sur Fermer.
Appliquer l’accès au réseau local aux utilisateurs finaux en fonction de la configuration ADC
Les administrateurs peuvent empêcher les utilisateurs finaux de désactiver l’option d’accès au réseau local sur leurs machines clientes. Une nouvelle option, FORCED, est ajoutée aux valeurs des paramètres d’accès au réseau local existants. Lorsque la valeur Accès au réseau local est définie sur FORCED, l’accès au réseau local est toujours activé pour les utilisateurs finaux sur les machines clientes. Les utilisateurs finaux ne peuvent pas désactiver les paramètres du réseau local à l’aide de l’interface utilisateur du client Citrix Secure Access.
Les administrateurs peuvent permettre aux utilisateurs finaux d’accéder aux ressources du réseau local sur leur machine cliente en réglant le paramètre d’accès au réseau local sur ON. Pour empêcher les utilisateurs finaux d’accéder aux ressources du réseau local sur leur machine cliente, les administrateurs peuvent définir le paramètre d’accès au réseau local sur OFF. Pour plus de détails sur les configurations de l’utilisateur final, voir Accès au réseau local pour macOS et Accès au réseau local pour iOS.
Pour activer l’option Forced à l’aide de l’interface graphique :
- Accédez à NetScaler Gateway > Paramètres globaux > Modifier les paramètres globaux.
- Cliquez sur l’onglet Expérience client, puis sur Paramètres avancés.
- Dans Accès au réseau local, sélectionnez FORCÉ.
Pour activer l’option Forced à l’aide de l’interface de ligne de commande, exécutez la commande suivante :
set vpn parameter -localLanAccess FORCED
<!--NeedCopy-->
Remarques :
Le client Citrix Secure Access pour macOS/iOS et les versions ultérieures prennent en charge la fonctionnalité d’accès au réseau local de NetScaler Gateway.
À partir du client Citrix Secure Access pour Windows 23.10.1.7, l’accès au réseau local est pris en charge sur un tunnel au niveau de la machine si le paramètre Accès au réseau local est défini sur Forced on NetScaler Gateway.
Support de Microsoft Edge WebView pour Windows Citrix Secure Access — Version préliminaire
La prise en charge de Microsoft Edge WebView pour Windows Citrix Secure Access améliore l’expérience de l’utilisateur final. Pour plus de détails, consultez la section Support de Microsoft Edge WebView pour Windows Citrix Secure Access
Client Windows Citrix Secure Access utilisant la plateforme de filtrage Windows
La plate-forme de filtrage Windows (WFP) est un ensemble d’API et de services système qui fournit une plate-forme pour créer une application de filtrage réseau. WFP est conçu pour remplacer les technologies de filtrage de paquets précédentes, le filtre NDIS (Network Driver Interface Specification) qui était utilisé avec le pilote DNE. Le mode WFP est pris en charge avec la version 22.6.1.5 du client Windows Citrix Secure Access.
Installez la version WFP
Vous pouvez installer la version WFP en utilisant l’une des méthodes suivantes.
-
Installez le plug-in VPN avec les pilotes DNE et WFP (méthode par défaut)
Lorsque le plug-in est installé avec les pilotes DNE et WFP, les administrateurs peuvent utiliser le pilote WFP ou DNE pour créer un tunnel via un bouton de registre. Par défaut, le pilote DNE est utilisé pour le tunneling.
-
Installez le plug-in VPN avec uniquement le pilote WFP (Ignorer l’installation du pilote DNE)
Les pilotes DNE ne sont pas pris en charge par certaines applications tierces, même lorsqu’ils ne sont pas utilisés. Pour ces déploiements, les administrateurs peuvent utiliser ce type d’installation. Comme le pilote DNE n’est pas installé, seul le pilote WFP est utilisé pour le tunneling.
Sélectionnez un pilote WFP au lieu d’un pilote DNE
Effectuez les étapes suivantes pour sélectionner le pilote WFP au lieu du pilote DNE.
Remarque :
Cela fonctionne uniquement avec la méthode d’installation par défaut.
- Téléchargez la version du plug-in VPN pris en charge par WFP et installez le nouveau plug-in VPN.
- Par défaut, le pilote DNE est utilisé pour tunneler le trafic. Pour utiliser le pilote WFP pour le tunneling, les administrateurs doivent créer l’entrée de registre suivante :
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - EnableWFP
- REG_VALUE — Définissez la valeur sur 1 pour utiliser WFP et 0 pour utiliser DNE (par défaut, DNE est activé si cette valeur de registre n’est pas présente ou est définie sur 0)
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
Remarque :
Après avoir basculé le mode tunneling de DNE à WFP ou inversement, le système doit être redémarré pour que les modifications soient prises en compte correctement.
Ignorez complètement l’installation DNE
Effectuez les étapes suivantes pour ignorer l’installation du DNE.
- Effectuez une désinstallation propre du plug-in VPN.
- Désinstallez le plug-in VPN actuel présent sur la machine et redémarrez la machine.
- Vérifiez si le pilote DNE est désinstallé à l’aide de l’une des options suivantes.
- Ouvrez une invite de commandes avec privilèges élevés (ou PowerShell). Exécutez les commandes suivantes (l’exemple de sortie montre que le pilote basé sur DNE est installé sur le système)
PS C:\Users\Administrator> sc qc cag [SC] QueryServiceConfig SUCCESS SERVICE_NAME: cag TYPE : 1 KERNEL_DRIVER START_TYPE : 2 AUTO_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : ??\C:\Program Files\Common Files\Deterministic Networks\Common Files\cag.sys LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Citrix cag plugin for Access Gateway DEPENDENCIES : SERVICE_START_NAME : PS C:\Users\Administrator> sc qc dne [SC] QueryServiceConfig SUCCESS SERVICE_NAME: dne TYPE : 1 KERNEL_DRIVER START_TYPE : 1 SYSTEM_START ERROR_CONTROL : 1 NORMAL BINARY_PATH_NAME : \SystemRoot\system32\DRIVERS\dnelwf64.sys LOAD_ORDER_GROUP : NDIS TAG : 38 DISPLAY_NAME : DNE LightWeight Filter DEPENDENCIES : SERVICE_START_NAME : <!--NeedCopy-->
Si le pilote n’est pas installé, la sortie suivante s’affiche :
The specified service does not exist as an installed service.
Le pilote DNE (dnelwf64.sys) étant également utilisé par d’autres fournisseurs, il peut être présent même lorsque le client Citrix Secure Access n’est pas installé sur le système. En revanche, le plug-in CAG est uniquement utilisé par le client Citrix Secure Access.
-
La présence d’un DNE peut également être vérifiée en essayant de démarrer les pilotes CAG et DNE. Ouvrez l’invite de commandes à l’aide des droits d’administrateur et exécutez les commandes suivantes :
net start cag net start dne <!--NeedCopy-->
- Si le message de sortie indique que les services ne peuvent pas être localisés (le nom du service n’est pas valide.), les composants du plug-in et du pilote sont désinstallés avec succès. Dans ce cas, passez à l’étape 2.
- Si les composants du plug-in et du pilote ne sont pas désinstallés correctement, exécutez l’utilitaire de nettoyage sur la machine cliente en suivant les instructions fournies à la section https://citrix.sharefile.com/d-s829800c3821a4a8f869ad324de6f0332.
- Décompressez l’utilitaire Cleanup et copiez-le dans un dossier.
- Exécutez nsRmSAC.exe à partir de l’invite de commandes.
- Redémarrez la machine cliente.
-
Créez les entrées de registre suivantes.
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - SkipDNE
- REG_VALUE - Définissez sur 1 pour vous assurer que DNE n’est pas installé sur la machine
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- REG_TYPE - REG_DWORD
- REG_NAME - EnableWFP
- REG_VALUE - Définissez sur 1 pour activer WFP (cette entrée doit être créée si l’installation DNE est ignorée)
Remarque :
- Si les entrées de registre ne sont pas créées avant l’installation, DNE est installé par défaut. Vous pouvez également consulter les fichiers journaux VPN pour vérifier si WFP ou DNE est utilisé.
- Si l’installation DNE est ignorée, EnableWFP doit être défini sur 1. Dans ce cas, vous ne pouvez pas passer au plug-in basé sur DNE sans réinstaller le client Citrix Secure Access.
- REG_PATH - HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client
- Installez le nouveau plug-in VPN.
-
Vérifiez si le pilote WFP est installé sur le système. Ouvrez une invite de commandes avec privilèges élevés et exécutez la commande suivante. L’exemple de sortie montre que le pilote WFP est installé sur le système.
PS C:\Users\Administrator> sc qc ctxsgwcallout [SC] QueryServiceConfig SUCCESS SERVICE_NAME: ctxsgwcallout TYPE : 1 KERNEL_DRIVER START_TYPE : 1 SYSTEM_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : ??\C:\Program Files\Citrix\Secure Access Client\ctxsgwcallout.sys LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Citrix Secure Access Callout Driver DEPENDENCIES : SERVICE_START_NAME : <!--NeedCopy-->
Si le pilote n’est pas installé, la sortie suivante s’affiche :
The specified service does not exist as an installed service.
- Redémarrez la machine cliente.
Avantages de WFP
Voici quelques-uns des avantages de WFP si l’installation du pilote WFP autonome est effectuée sur le client.
-
Prise en charge du split tunneling inversé basé sur le nom de domaine complet : le pilote WFP permet la prise en charge du split tunneling REVERSE basé sur Il n’est pas pris en charge par le pilote DNE. Pour plus de détails, consultez la section Options de split tunneling.
-
Prise en charge de Wireshark : DNE ne permet pas de capturer le trafic bidirectionnel sur une machine cliente en raison de sa liaison avec la carte Ethernet/Wi-Fi. Ce n’est pas un problème avec le nouveau pilote WFP. Toute capture de trafic (unidirectionnelle ou bidirectionnelle) est cryptée et nécessite des clés SSL pour le déchiffrer.
-
Support NMAP : le nouveau pilote WFP prend en charge l’analyse NMAP alors que le plug-in VPN est utilisé pour tunneliser le trafic, tandis que le DNE n’autorise pas l’analyse NMAP, tandis que le plug-in VPN est utilisé pour tunneliser le trafic.
-
Vitesse du réseau : dans certains scénarios, si DNE est installé sur une machine cliente, la vitesse de téléchargement et de téléversement est affectée, ce qui n’est pas le cas avec WFP.
-
Amélioration des performances de nslookup : Parfois, avec DNE,
nslookup
ne répond pas avec un nombre moindre d’essais, et la même chose n’est pas observée avec WFP. -
Amélioration des performances iperf par rapport à UDP : avec DNE, une certaine perte de paquets a été observée lors des tests d’évolutivité utilisant iperf sur UDP. La perte de paquets n’est pas observée avec le WFP.
Dans cet article
- Configurez le plug-in globalement
- Configurer le type de plug-in pour Windows ou macOS dans un profil de session
-
Client Citrix Secure Access pour Windows
- Installation du client Citrix Secure Access pour Windows
- Configurer la boîte de dialogue d’ouverture de session pour le client Citrix Secure Access pour Windows
- Définissez le mode d’interception pour le client Citrix Secure Access pour Windows
- Appliquer l’accès au réseau local aux utilisateurs finaux en fonction de la configuration ADC
- Support de Microsoft Edge WebView pour Windows Citrix Secure Access — Version préliminaire
- Client Windows Citrix Secure Access utilisant la plateforme de filtrage Windows