Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF

FAQ sur Unified Gateway

March 27, 2024
Contributeur: 
C

Qu’est-ce qu’Unified Gateway ?

Unified Gateway est une nouvelle fonctionnalité de la version 11.0 de Citrix ADC, qui permet de recevoir du trafic sur un seul serveur virtuel (appelé serveur virtuel Unified Gateway), puis de diriger ce trafic en interne, le cas échéant, vers des serveurs virtuels liés au serveur virtuel Unified Gateway.

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Les administrateurs peuvent libérer des adresses IP et simplifier la configuration du déploiement de Citrix Gateway.

Chaque serveur virtuel Unified Gateway peut front-end un serveur virtuel Citrix Gateway avec zéro ou plusieurs serveurs virtuels d’équilibrage de charge dans le cadre d’une formation. Unified Gateway fonctionne en utilisant la fonctionnalité de commutation de contenu de l’appliance Citrix ADC.

Voici quelques exemples de déploiements d’Unified Gateway :

  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, un serveur virtuel d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, deux serveurs virtuels d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel Citrix Gateway, trois serveurs virtuels d’équilibrage de charge]

Chacun des serveurs virtuels d’équilibrage de charge peut être n’importe quel serveur d’équilibrage de charge standard hébergeant un service principal, tel que Microsoft Exchange ou Citrix ShareFile.

Pourquoi utiliser Unified Gateway ?

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Pour les administrateurs, l’avantage est qu’ils peuvent libérer des adresses IP et simplifier la configuration du déploiement de Citrix Gateway.  

Est-ce qu’il y a plus d’un serveur virtuel Unified Gateway ?

Oui. Il peut y avoir autant de serveurs virtuels Unified Gateway que nécessaire.

Pourquoi la commutation de contenu est-elle nécessaire pour Unified Gateway ?

La fonctionnalité de commutation de contenu est nécessaire car le serveur virtuel de commutation de contenu est celui qui reçoit le trafic et le dirige en interne vers le serveur virtuel approprié. Le serveur virtuel de commutation de contenu est le principal composant de la fonctionnalité Unified Gateway.

Dans les versions antérieures à la version 11.0, la commutation de contenu peut être utilisée pour recevoir du trafic pour plusieurs serveurs virtuels. Cette utilisation est-elle également appelée Unified Gateway ?

L’utilisation d’un serveur virtuel de commutation de contenu pour recevoir du trafic pour plusieurs serveurs virtuels est prise en charge dans les versions antérieures à la version 11.0. Toutefois, la commutation de contenu ne peut pas diriger le trafic vers un serveur virtuel Citrix Gateway.

Les améliorations de la version 11.0 permettent à un serveur virtuel de commutation de contenu de diriger le trafic vers n’importe quel serveur virtuel, y compris un serveur virtuel Citrix Gateway.

Qu’est-ce qui a changé avec les stratégies de commutation de contenu dans Unified Gateway ?

  1. Un nouveau paramètre de ligne de commande « -TargetvServer » est ajouté pour l’action de changement de contenu. Le nouveau paramètre est utilisé pour spécifier le serveur virtuel Citrix Gateway cible. Exemple:

    add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

    Dans l’utilitaire de configuration Citrix Gateway, l’action de commutation de contenu comporte une nouvelle option, Target Virtual Server, qui peut référencer un serveur virtuel Citrix Gateway.

  2. Une nouvelle expression de stratégie avancée, is_vpn_url, peut être utilisée pour faire correspondre Citrix Gateway et les demandes spécifiques à l’authentification.

Quelles fonctionnalités Citrix Gateway ne sont actuellement pas prises en charge dans Unified Gateway ?

Toutes les fonctionnalités sont prises en charge dans Unified Gateway. Toutefois, un problème mineur (ID de problème 544325) a été signalé lors de l’ouverture de session native via le plug-in VPN. Dans ce cas, l’authentification unique (SSO) transparente ne fonctionne pas.

Avec Unified Gateway, quel est le comportement des analyses EPA ?

Avec Unified Gateway, l’analyse des points de terminaison est déclenchée uniquement pour les méthodes d’accès Citrix Gateway, pas pour l’accès Citrix ADC AAA TM. Si un utilisateur tente d’accéder à un serveur virtuel Citrix ADC AAA TM même si l’authentification est effectuée sur le serveur virtuel Citrix Gateway, l’analyse EPA n’est pas déclenchée. Toutefois, si l’utilisateur tente d’obtenir un accès VPN sans client/VPN complet, l’analyse EPA configurée est déclenchée. Dans ce cas, l’authentification ou l’authentification unique transparente sont effectuées.

Quelles sont les conditions de licence requises pour Unified Gateway ?

Unified Gateway n’est pris en charge que pour les licences Advanced et Premium. Il n’est pas disponible pour les éditions de licence Citrix Gateway uniquement ou Standard.

Le serveur virtuel Citrix Gateway utilisé avec Unified Gateway a-t-il besoin d’une configuration IP/port/SSL ?

Pour un serveur virtuel Citrix Gateway utilisé avec le serveur virtuel Unified Gateway, une configuration IP/port/SSL n’est pas nécessaire sur le serveur virtuel Citrix Gateway. Toutefois, pour la fonctionnalité proxy RDP, vous pouvez lier le même certificat de serveur SSL/TLS au serveur virtuel Citrix Gateway.

Dois-je reprovisionner les certificats SSL/TLS qui se trouvent sur le serveur virtuel Citrix Gateway pour les utiliser avec un serveur virtuel Unified Gateway ?

Il n’est pas nécessaire de reprovisionner les certificats actuellement liés à votre serveur virtuel Citrix Gateway. Vous êtes libre de réutiliser tous les certificats SSL existants et de les lier au serveur virtuel Unified Gateway.

Quelle est la différence entre une URL unique et un déploiement multi-hôtes ? De laquelle ai-je besoin ?

Une URL unique fait référence à la capacité du serveur virtuel Unified Gateway à gérer le trafic pour un nom de domaine complet (FQDN). Cette restriction existe lorsque Unified Gateway utilise un certificat de serveur SSL/TLS dont l’objet du certificat est renseigné avec le nom de domaine complet. Par exemple : ug.citrix.com

Si Unified Gateway utilise un certificat de serveur générique, il peut gérer le trafic pour plusieurs sous-domaines. Par exemple :*.citrix.com

Une autre option est la configuration SSL/TLS avec la fonctionnalité d’indicateur de nom de serveur (SNI) pour permettre la liaison de plusieurs certificats de serveur SSL/TLS. Exemples : auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un seul hôte par rapport à plusieurs hôtes est analogue à la façon dont les sites Web sont généralement hébergés sur un serveur Web (par exemple, le serveur HTTP Apache ou Microsoft Internet Information Services (IIS)). S’il existe un seul hôte, vous pouvez utiliser un chemin d’accès au site pour basculer le trafic de la même manière que vous utilisez un alias ou un « répertoire virtuel » dans Apache. S’il y a plusieurs hôtes, vous utilisez un en-tête d’hôte pour basculer le trafic de la même manière que vous utilisez les hôtes virtuels dans Apache.

Quels mécanismes d’authentification peuvent être utilisés avec Unified Gateway ?

Tous les mécanismes d’authentification existants compatibles avec Citrix Gateway sont également compatibles avec Unified Gateway.

Il s’agit notamment de LDAP, RADIUS, SAML, Kerberos, l’authentification basée sur des certificats, etc.

Quel que soit le mécanisme d’authentification configuré sur le serveur virtuel Citrix Gateway avant la mise à niveau, il est automatiquement utilisé lorsque le serveur virtuel Citrix Gateway est placé derrière le serveur virtuel Unified Gateway. Aucune étape de configuration supplémentaire n’est nécessaire, à part l’attribution d’une adresse IP non adressable (0.0.0.0) au serveur virtuel Citrix Gateway.

Qu’est-ce que l’authentification « SelfAuth » ?

SelfAuth n’est pas un type d’authentification en soi. SelFauth décrit comment une URL est créée. Un nouveau paramètre de ligne de commande ssotype est disponible pour la configuration de l’URL VPN. Exemple:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelFauth est l’une des valeurs du paramètre ssotype. Ce type d’URL peut être utilisé pour accéder à des ressources qui ne se trouvent pas dans le même domaine que le serveur virtuel Unified Gateway. Le paramètre est visible dans l’utilitaire de configuration lors de la configuration d’un signet.

Qu’est-ce que « StepUp » Authentication ?

Lorsque des niveaux d’authentification supplémentaires et plus sécurisés sont requis pour accéder à une ressource Citrix ADC AAA TM, vous pouvez utiliser l’authentification StepUp. Sur la ligne de commande, utilisez une commande AuthnProfile pour définir le paramètre AuthnLevel. Exemple:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

Ce profil d’authentification est lié au serveur virtuel d’équilibrage de charge.

L’authentification StepUp est-elle prise en charge pour les serveurs virtuels Citrix ADC AAA TM ?

Oui, il est pris en charge.

Qu’est-ce que c’est login once/logout once ?

Login Once: les utilisateurs VPN se connectent une fois à un serveur virtuel Citrix ADC AAA TM ou Citrix Gateway. À partir de ce moment, les utilisateurs de VPN ont un accès transparent à toutes les applications d’entreprise/Cloud/Web. Il n’est pas nécessaire de réauthentifier l’utilisateur. Toutefois, la réauthentification est effectuée pour des cas particuliers, tels que Citrix ADC AAA TM StepUp.

Logout Once: Une fois la première session Citrix ADC AAA TM ou Citrix Gateway créée, elle est utilisée pour créer des sessions Citrix ADC AAA TM ou Citrix Gateway suivantes pour cet utilisateur. Si l’une de ces sessions est déconnectée, l’appliance Citrix ADC déconnecte également les autres applications ou sessions de l’utilisateur.

Les stratégies d’authentification communes peuvent-elles être spécifiées au niveau Unified Gateway avec une liaison authentifiée spécifique au serveur virtuel d’équilibrage de charge Citrix ADC AAA TM au niveau du serveur virtuel d’équilibrage de charge ? Quelles sont les étapes de configuration pour prendre en charge ce cas d’utilisation ?

Si vous devez spécifier des stratégies d’authentification distinctes pour le serveur virtuel Citrix ADC AAA TM derrière Unified Gateway, vous devez disposer d’un serveur virtuel d’authentification distinct et adressable indépendamment (similaire à la configuration Citrix ADC AAA TM ordinaire). Le paramètre d’hôte d’authentification sur le serveur virtuel d’équilibrage de charge doit pointer vers ce serveur virtuel d’authentification.

Comment configurer Unified Gateway pour que les serveurs virtuels Citrix ADC AAA TM liés aient leurs propres stratégies d’authentification ?

Dans ce scénario, l’option FQDN d’authentification du serveur d’équilibrage de charge doit être définie pour pointer vers le serveur virtuel Citrix ADC AAA TM. Le serveur virtuel Citrix ADC AAA TM doit disposer d’une adresse IP indépendante et être accessible depuis Citrix ADC et les clients.

Un serveur virtuel d’authentification Citrix ADC AAA TM est-il nécessaire pour authentifier les utilisateurs qui passent par un serveur virtuel Unified Gateway ?

Non. Le serveur virtuel Citrix Gateway authentifie même les utilisateurs Citrix ADC AAA TM.

Où spécifiez-vous les stratégies d’authentification Citrix Gateway : sur le serveur virtuel Unified Gateway ou sur le serveur virtuel Citrix Gateway ?

Les stratégies d’authentification doivent être liées au serveur virtuel Citrix Gateway.

Comment activer l’authentification sur les serveurs virtuels Citrix ADC AAA TM derrière un serveur virtuel de commutation de contenu Unified Gateway ?

Activez l’authentification sur Citrix ADC AAA TM et pointez l’hôte d’authentification vers le nom de domaine complet de commutation de contenu Unified Gateway.

Comment ajouter des serveurs TM Virtual à la commutation de contenu (URL unique ou multi-hôtes) ?

Il n’y a aucune différence entre ajouter les serveurs virtuels Citrix ADC AAA TM pour une seule URL et l’ajouter pour plusieurs hôtes. Dans les deux cas, le serveur virtuel est ajouté en tant que cible dans une action de changement de contenu. La différence entre une URL unique et plusieurs hôtes est implémentée par des règles de stratégie de commutation de contenu.

Qu’advient-il des stratégies d’authentification liées à un serveur virtuel d’équilibrage de charge Citrix ADC AAA TM si ce serveur virtuel est déplacé derrière un serveur virtuel Unified Gateway ?

Les stratégies d’authentification sont liées au serveur virtuel d’authentification, et le serveur virtuel d’authentification est lié au serveur virtuel d’équilibrage de charge. Pour le serveur virtuel Unified Gateway, Citrix recommande d’utiliser le serveur virtuel Citrix Gateway comme point d’authentification unique, ce qui élimine la nécessité d’effectuer l’authentification sur un serveur virtuel d’authentification (ou même le besoin d’un serveur virtuel d’authentification spécifique). Le fait de pointer l’hôte d’authentification vers le nom de domaine complet du serveur virtuel Unified Gateway garantit que l’authentification est effectuée par le serveur virtuel Citrix Gateway. Si vous pointez l’hôte d’authentification vers la commutation de contenu pour Unified Gateway et que vous disposez toujours d’un serveur virtuel d’authentification lié, les stratégies d’authentification liées au serveur virtuel d’authentification sont ignorées. Toutefois, si vous pointez un hôte d’authentification vers un serveur virtuel d’authentification adressable indépendant, les stratégies d’authentification liées prennent effet.

Comment configurer les stratégies de session pour les sessions Citrix ADC AAA TM ?

Si, dans Unified Gateway, aucun serveur virtuel d’authentification n’est spécifié pour le serveur virtuel Citrix ADC AAA TM, les sessions Citrix ADC AAA TM héritent des stratégies de session Citrix Gateway. Si le serveur virtuel d’authentification est spécifié, les stratégies de session Citrix ADC AAA TM liées à ce serveur virtuel sont appliquées.

Quelles sont les modifications apportées au portail Citrix Gateway dans Citrix ADC 11.0 ?

Dans les versions de Citrix ADC antérieures à la version 11.0, une personnalisation unique du portail peut être configurée au niveau mondial. Chaque serveur virtuel de passerelle d’une appliance Citrix ADC donnée utilise la personnalisation globale du portail.

Dans Citrix ADC 11.0, avec la fonctionnalité Thèmes de portail, vous pouvez configurer plusieurs thèmes de portail. Les thèmes peuvent être liés globalement ou à des serveurs virtuels spécifiques.

Citrix ADC 11.0 prend-il en charge la personnalisation du portail Citrix Gateway ?

À l’aide de l’utilitaire de configuration, vous pouvez utiliser la nouvelle fonctionnalité de thèmes de portail pour personnaliser et créer complètement les thèmes de portail. Vous pouvez télécharger différentes images, définir des jeux de couleurs, modifier les étiquettes de texte, etc.

Les pages du portail qui peuvent être personnalisées sont les suivantes :

  • Page de connexion
  • Page Analyse des points de terminaison
  • Page d’erreur Endpoint Analysis
  • Page Post Endpoint Analysis
  • Page de connexion VPN
  • Page d’accueil du portail

Avec cette version, vous pouvez personnaliser les serveurs virtuels Citrix Gateway avec des conceptions de portail uniques.

Les thèmes de portail sont-ils pris en charge dans les déploiements Citrix ADC haute disponibilité ou en cluster ?

Oui. Les thèmes de portail sont pris en charge dans les déploiements Citrix ADC haute disponibilité et en cluster.

Mes personnalisations sont-elles migrées dans le cadre du processus de mise à niveau de Citrix ADC 11.0 ?

Non. Les personnalisations existantes de la page du portail Citrix Gateway qui sont appelées via la modification du fichier rc.conf/rc.netscaler ou à l’aide de la fonctionnalité de thème personnalisé dans la version 10.1/10.5 ne sont pas automatiquement migrées lors de la mise à niveau vers Citrix ADC 11.0.

Y a-t-il des étapes préalables à la mise à niveau à suivre pour être prêt pour les thèmes de portail dans Citrix ADC 11.0 ?

Toutes les personnalisations existantes doivent être supprimées des fichiers rc.conf ou rc.netscaler.

L’autre option est que si des thèmes personnalisés sont utilisés, ils doivent être affectés au paramètre Par défaut :

  1. Accédez à Configuration > Citrix Gateway > Paramètres globaux

  2. Cliquez sur Modifier les paramètres globaux.

  3. Cliquez sur Expérience client et sélectionnez Par défaut dans la liste Thème de l’interface utilisateur.

J’ai des personnalisations qui sont stockées sur l’instance Citrix ADC, invoquées par rc.conf ou rc.netscaler. Comment passer aux thèmes du portail ?

L’article CTX126206 du Centre de connaissances Citrix détaille une telle configuration pour les versions Citrix ADC 9.3 et 10.0 jusqu’à la version 10.0 73.5001.e. Depuis Citrix ADC 10.0 build 10.0 73.5002.e (y compris 10.1 et 10.5), le paramètre UITHEME CUSTOM est disponible pour aider les clients à conserver leurs personnalisations lors des redémarrages. Si les personnalisations sont stockées sur le disque dur Citrix ADC et que vous souhaitez continuer à utiliser ces personnalisations, sauvegardez les fichiers de l’interface graphique 11.0 et insérez-les dans le fichier de thème personnalisé existant. Si vous souhaitez passer aux thèmes du portail, vous devez d’abord désactiver le paramètre UITHEME dans les paramètres généraux ou dans le profil de session, sous Expérience client. Vous pouvez également le définir sur DEFAULT ou GREENBUBBLE. Ensuite, vous pouvez commencer à créer et à lier un thème de portail.

Comment puis-je exporter mes personnalisations actuelles et les enregistrer avant de procéder à la mise à niveau vers Citrix ADC 11.0 ? Puis-je déplacer les fichiers exportés vers une autre appliance Citrix ADC ?

Les fichiers personnalisés qui ont été téléchargés dans le dossier ns_gui_custom se trouvent sur le disque et sont conservés pendant les mises à niveau. Toutefois, ces fichiers peuvent ne pas être entièrement compatibles avec le nouveau noyau Citrix ADC 11.0 et d’autres fichiers d’interface graphique qui font partie du noyau. Par conséquent, Citrix recommande de sauvegarder les fichiers de l’interface graphique 11.0 et de personnaliser les sauvegardes.

De plus, l’utilitaire de configuration ne contient aucun utilitaire permettant d’exporter le dossier ns_custom_gui vers une autre appliance Citrix ADC. Utilisez SSH ou un utilitaire de transfert de fichiers tel que WinSCP pour retirer les fichiers de l’instance Citrix ADC.

Les thèmes de portail sont-ils pris en charge pour les serveurs virtuels Citrix ADC AAA TM ?

Oui. Les thèmes de portail sont pris en charge pour les serveurs virtuels Citrix ADC AAA TM.

Qu’est-ce qui a changé dans la fonctionnalité de proxy RDP pour Citrix Gateway 11.0 ?

De nombreuses améliorations ont été apportées au proxy RDP depuis la version d’amélioration Citrix ADC 10.5.e. Dans Citrix ADC 11.0, cette fonctionnalité est disponible à partir de la première version publiée.

Changements de licence

La fonctionnalité de proxy RDP de Citrix ADC 11.0 ne peut être utilisée qu’avec les éditions Premium et Advanced. Les licences Citrix Concurrent User (CCU) doivent être obtenues pour chaque utilisateur.

Commande Enable

Dans Citrix ADC 10.5.e, il n’existait aucune commande permettant d’activer le proxy RDP. Dans Citrix ADC 11.0, la commande enable a été ajoutée :

enable feature rdpproxy
<!--NeedCopy-->

La fonctionnalité doit être sous licence pour exécuter cette commande.

Autres modifications apportées au proxy RDP

Un attribut de clé pré-partagée (PSK) sur le profil de serveur a été rendu obligatoire.

Pour migrer les configurations Citrix ADC 10.5.e existantes pour le proxy RDP vers Citrix ADC 11.0, les détails suivants doivent être compris et traités.

Si un administrateur souhaite ajouter une configuration de proxy RDP existante à un déploiement Unified Gateway choisi :

  • L’adresse IP du serveur virtuel Citrix Gateway doit être modifiée et définie sur une adresse IP non adressable (0.0.0.0).
  • Tous les certificats de serveur SSL/TLS et stratégies d’authentification doivent être liés au serveur virtuel Citrix Gateway qui fait partie de la formation Unified Gateway choisie.

Comment migrer une configuration de proxy RDP (Remote Desktop Protocol) basée sur Citrix ADC 10.5.e vers Citrix ADC 11.0 ?

Option 1 : conservez le serveur virtuel Citrix Gateway existant avec la configuration du proxy RDP tel qu’il est, avec une licence Premium ou Advanced.

Option 2 : déplacez le serveur virtuel Citrix Gateway existant avec la configuration du proxy RDP, en le plaçant derrière un serveur virtuel Unified Gateway.

Option 3 : ajoutez un serveur virtuel Citrix Gateway autonome avec configuration de proxy RDP à un dispositif Standard Edition existant.

Comment configurer Citrix Gateway pour la configuration du proxy RDP à l’aide de la version Citrix ADC 11.0 ?

Il existe deux options pour déployer un proxy RDP à l’aide de la version NS 11.0 :

  1. Utilisation d’un serveur virtuel Citrix Gateway externe. Cela nécessite une adresse IP/nom de domaine complet visible en externe pour le serveur virtuel Citrix Gateway. Cette option est disponible dans Citrix ADC 10.5.e.

  2. Utilisation d’un serveur virtuel Unified Gateway frontal sur le serveur virtuel Citrix Gateway.

Avec l’option 2, le serveur virtuel Citrix Gateway n’a pas besoin de sa propre adresse IP/nom de domaine complet, car il utilise une adresse IP non adressable (0.0.0.0).

HDX Insight est-il compatible avec Unified Gateway ?

Lorsque Citrix Gateway est déployé avec Unified Gateway, les conditions suivantes doivent être remplies :

  • Un certificat SSL valide doit être lié au serveur virtuel Citrix Gateway.

  • Le serveur virtuel Citrix Gateway doit être actif pour générer des enregistrements AppFlow sur Citrix ADM, pour les rapports HDX Insight.

Comment migrer ma configuration HDX Insight existante ?

Aucune migration n’est nécessaire. Les stratégies AppFlow liées à un serveur virtuel Citrix Gateway sont remises si ce serveur virtuel Citrix Gateway est placé derrière un serveur virtuel Unified Gateway.

Pour les données existantes sur Citrix ADM pour le serveur virtuel Citrix Gateway, deux possibilités s’offrent à vous :

  • Si l’adresse IP du serveur virtuel Citrix Gateway est attribuée à un serveur virtuel Unified Gateway dans le cadre de la migration vers Unified Gateway, les données restent liées au serveur virtuel Citrix Gateway.
  • Si une adresse IP distincte est attribuée au serveur virtuel Unified Gateway, les données AppFlow du serveur virtuel Citrix Gateway sont liées à cette nouvelle adresse IP. Par conséquent, les données existantes ne font pas partie des nouvelles données.
FAQ sur Unified Gateway
March 27, 2024
Contributeur: 
C
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.