Gateway

Configurer le VPN Always On avant l’ouverture de session Windows

March 27, 2024

Contributeur:

Cette section contient les détails nécessaires pour configurer le VPN permanent avant l’ouverture de session Windows à l’aide d’une stratégie avancée.

Pré-requis

Citrix Gateway et le plug-in VPN doivent être à la version 13.0.41.20 et ultérieure.
Citrix ADC Advanced Edition et versions ultérieures sont nécessaires au fonctionnement de la solution.
Vous pouvez configurer la fonctionnalité uniquement à l’aide de stratégies avancées.
Le serveur virtuel VPN doit être opérationnel.

Étapes de configuration de

La configuration Always On VPN avant l’ouverture de session Windows implique les étapes de haut niveau suivantes :

Configurer un tunnel au niveau de la machine
Configurer un tunnel au niveau utilisateur (facultatif)
Activer l’authentification des utilisateurs
1. Configurez le serveur virtuel VPN et liez la clé de certificat au serveur virtuel.
2. Créer un profil d’authentification
3. Créer un serveur virtuel d’authentification
4. Créer des stratégies d’authentification
5. Liez les stratégies au profil d’authentification

Tunnel de niveau machine

Le tunnel au niveau de la machine est établi vers Citrix Gateway en utilisant le certificat d’appareil comme identité. Le certificat d’appareil doit être installé sur la machine cliente sous le magasin de machines. Cela s’applique uniquement au service Always On before Windows Logon.

Pour plus de détails sur le certificat d’appareil, voir Utiliser des certificats d’appareil pour l’authentification.

Important :

Si le serveur virtuel VPN sur l’appliance Citrix Gateway est configuré sur un port non standard (autre que 443), le tunnel au niveau de la machine ne fonctionne pas comme prévu.

Configurer le tunnel au niveau de la machine à l’aide du certificat de l’appareil

Configuration de l’authentification basée sur le certificat d’appareil à l’aide de

Dans l’onglet Configuration, accédez à Citrix Gateway > Virtual Servers.
Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
Sur la page du serveur virtuel VPN, cliquez sur l’icône de modification.
Cliquez sur Ajouter à côté de la section CA for Device Certificate, puis cliquez sur OK.

Remarque : Ne cochez pas la case Activer le certificat de périphérique.
Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification sous la section Certificat. Cliquez sur Ajouter une liaison sous la page Liaison de certificat de l’autorité de certification du serveur virtuel SSL.
Remarque :
- Le champ Nom commun de l’objet (CN) du certificat de périphérique ne doit pas être vide. Si un appareil tente de se connecter avec des certificats d’appareil CN vides, sa session VPN est créée avec le nom d’utilisateur « anonyme ». Dans IIP, si plusieurs sessions ont le même nom d’utilisateur, les sessions précédentes sont déconnectées. Ainsi, lorsque l’IIP est activé, vous remarquez l’impact de la fonctionnalité en raison d’un nom commun vide.
- Tous les certificats d’autorité de certification (racine et intermédiaire) susceptibles de signer le certificat de périphérique émis aux clients doivent être liés sous la section CA for Device Certificate et également dans la section Liaison de certificat d’autorité de certification pour le serveur virtuel aux étapes 4 et 5. Pour plus d’informations sur la liaison d’un certificat d’autorité de certification avec des certificats intermédiaires/subordonnés, consultez Installer, lier et mettre à jour des certificats.
- Si plusieurs certificats d’appareil sont configurés, le certificat dont la date d’expiration est la plus longue est essayé pour la connexion VPN. Si ce certificat autorise l’analyse EPA avec succès, la connexion VPN est établie. Si ce certificat échoue au cours du processus d’analyse, le certificat suivant est utilisé. Ce processus se poursuit jusqu’à ce que tous les certificats soient essayés.
Cliquez sur Cliquez pour sélectionner pour sélectionner le certificat requis.
Sélectionnez le certificat d’autorité de certification requis.
Cliquez sur Bind.
Créez un serveur virtuel d’authentification.
1. Sur la page Serveurs virtuels VPN, sous Profil d’authentification, cliquez sur Ajouter.
2. Sur la page Créer un profil d’authentification, saisissez un nom pour le profil d’authentification, puis cliquez sur Ajouter.
3. Sur la page Serveur virtuel d’authentification, indiquez un nom pour le serveur virtuel d’authentification. Sélectionnez Type d’adresse IP comme non adressable, puis cliquez sur OK. Remarque : Le serveur virtuel d’authentification reste toujours à l’état DOWN.
Créez une stratégie d’authentification.
1. Sous Stratégies d’authentification avancées, cliquez à l’intérieur de la stratégie d’authentification.
2. Sur la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie.
3. Sur la page Créer une stratégie d’authentification ;
  1. Entrez le nom de la stratégie d’authentification avancée.
  2. Sélectionnez EPA dans la liste Type d’action.
  3. Cliquez sur Ajouter en regard de Action.
4. Sur la page Créer une action EPA d’authentification ;
  1. Entrez le nom de l’action EPA à créer.
  2. Entrez sys.client_expr("device-cert_0_0") dans le champ Expression.
  3. Cliquez sur Créer.
Sur la page Créer une stratégie d’authentification ;
1. Entrez le nom de la stratégie d’authentification.
2. Entrez is_aoservice dans le champ Expression.
3. Cliquez sur Créer.
Sur la page Liaison de stratégie, saisissez 100 dans Priorité, puis cliquez sur Liaison.

Configuration de l’authentification basée sur le certificat d’appareil à l’aide de

Liez un certificat d’autorité de certification au serveur virtuel VPN.

bind ssl vserver <vServerName> -certkeyName <string> -ocspCheck ( Mandatory | Optional )
<!--NeedCopy-->

Exemple

bind ssl vserver TestClient -CertkeyName ag51.xm.nsi.test.com -CA -ocspCheck Mandatory
<!--NeedCopy-->

Ajoutez un serveur virtuel d’authentification.

add authentication authnProfile <name>  {-authnVsName <string>}
<!--NeedCopy-->

Exemple

add authentication authnProfile always_on -authnVsName always_on_auth_server
<!--NeedCopy-->

Créez une action d’authentification EPA.
```
add authentication epaAction <name> -csecexpr <expression>

```
Example

``` add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass ```

Création d’une stratégie d’authentification

add authentication Policy <name> -rule <expression> -action <string>

Exemple:

add authentication Policy always_on_epa_auth -rule is_aoservice -action epa_auth

Important :

La configuration du tunnel au niveau de la machine est maintenant terminée. Pour configurer le tunnel au niveau utilisateur après l’ouverture de session Windows, reportez-vous à la section Tunnel de niveau utilisateur.

Sur l’ordinateur client, le certificat de périphérique est au format .pfx. Le certificat .pfx est installé sur l’ordinateur Windows car Windows comprend le format .pfx. Ce fichier contient les fichiers de certificat et de clé. Ce certificat doit appartenir au même domaine qui est lié au serveur virtuel. Les certificats et clés .pfx et serveur peuvent être générés à l’aide de l’assistant de certificat client. Ces certificats peuvent être utilisés avec l’autorité de certification pour générer le .pfx respectif avec le certificat du serveur et le domaine. Le certificat .pfx est installé dans le compte d’ordinateur dans le dossier personnel. La commande show aaa session affiche le tunnel de l’appareil sur l’appliance Citrix ADC.

Tunnel au niveau utilisateur

Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur à l’aide de l’interface graphique

Remarque : L’expression is_aoservice.not est applicable à partir de Citrix Gateway versions 13.0.41.20 et ultérieures.

Configurez une stratégie pour l’authentification des utilisateurs.
1. Accédez à Citix Gateway > Serveurs virtuels et dans Paramètres avancés, cliquez sur Profil d’authentification.
2. Configurez le profil d’authentification.
3. Sur la page Serveur virtuel d’authentification, cliquez à l’intérieur de la stratégie d’authentification.
4. Dans Sélectionner une action, cliquez sur Modifier la liaison et remplacez Expression GoTo par NEXT au lieu de END pour la liaison de stratégie.
5. Cliquez sur Lier, puis sur la page Politique d’authentification, sélectionnez la stratégie d’authentification et cliquez sur Ajouter une liaison.
6. Sur la page Liaison de stratégie, cliquez sur Ajouter en regard de Sélectionner une stratégie.
  
  Sur la page Créer une stratégie d’authentification ;
  1. Entrez le nom de la stratégie « aucune authentification » à créer.
  2. Sélectionnez le type d’action No_Authn.
  3. Entrez is_aoservice.not dans le champ Expression.
  4. Cliquez sur Créer.
Dans Sélectionner une action, cliquez sur Modifier la liaison.
Sur la page Liaison de stratégie, saisissez 110 dans Priorité. Cliquez sur Ajouter en regard de Sélectionner le facteur suivant.
1. Sur la page Étiquette de stratégie d’authentification, saisissez un nom descriptif pour l’étiquette de stratégie, sélectionnez le schéma de connexion, puis cliquez sur Continuer.
2. Dans Sélectionner une stratégie, cliquez sur Ajouter et créez une stratégie d’authentification LDAP.
3. Cliquez sur Créer, puis cliquez sur Liaison.
4. Cliquez sur Terminé, puis sur Liaison.
Dans la page Stratégie d’authentification, la colonne Facteur suivant affiche la stratégie de facteur suivant configurée.
Vous pouvez configurer la stratégie LDAP en tant que facteur suivant de la stratégie d’authentification.
1. Sur la page Créer une stratégie d’authentification, entrez un nom pour la stratégie LDAP.
2. Sélectionnez Type d’action en tant que LDAP.
3. Entrez Action en tant qu’action LDAP configurée.
Remarque :
- Pour créer un fichier XML de schéma de connexion, consultez la section Fichier XML de schéma de connexion.
- Pour créer des étiquettes de stratégie, voir Authentifier l’étiquette de stratégie.
- Pour créer une stratégie d’authentification LDAP, consultez Pour configurer l’authentification LDAP à l’aide de l’utilitaire de configuration.

Remplacer un tunnel au niveau de la machine par un tunnel au niveau utilisateur en utilisant l’interface de ligne de commande

Lier une stratégie au serveur virtuel d’authentification

bind authentication vserver <name> -policy <name> -priority  <positive_integer> -gotoPriorityExpression <expression>

Exemple

bind authentication vserver alwayson-auth-vserver -policy alwayson-auth-pol -priority 100 -gotoPriorityExpression NEXT

Ajoutez une stratégie d’authentification avec l’action en tant que NO_AUTH et l’expression is_aoservice.not, et liez-la à la stratégie.

add authentication Policy <name> -rule <expression> -action <string>

bind authentication vserver <name> -policy <name> -priority <positive_integer> -gotoPriorityExpression <expression>

Exemple

add authentication Policy alwayson-usertunnel-pol -rule is_aoservice.not -action NO_AUTHN

bind authentication vserver alwayson-auth-vserver -policy alwayson-usertunnel-pol -priority 110

Ajoutez un facteur suivant et liez l’étiquette de stratégie au facteur suivant.

add authentication policylabel <labelName> -loginSchema <string>

bind authentication  policylabel <string>  -policyName <string>  -priority <positive_integer> -gotoPriorityExpression <expression> -nextFactor <string>

Exemple

add authentication policylabel user-tunnel-auth-label -loginSchema singleauth_alwayson

bind authentication policylabel user -policyName alwayson-usertunnel-pol -priority 100

Configurez une stratégie LDAP et liez-la à l’étiquette de stratégie de tunnel utilisateur.

add authentication policy <name>  -rule <expression>  -action <string>

bind authentication vserver <vserver_name> -policy <string>  -priorit < positive integer>  gotoPriorityExpression <string>

Exemple

add authentication Policy LDAP_new -rule true -action LDAP_new

bind authentication policylabel user-tunnel-auth-label -policyName LDAP_new -priority 100 -gotoPriorityExpression NEXT

Configuration côté client

Ils AlwaysOn, locationDetection, and suffixList registries sont facultatifs et ne sont nécessaires que si la fonctionnalité de détection d’emplacement est requise.

Pour accéder aux entrées de clé de registre, accédez au chemin suivant : Ordinateur> HKEY_LOCAL_MACHINE>Software>Citrix>Secure Access Client

Clé de registre	Type de registre	Valeurs et description
AlwaysOnService	REG_DWORD	1 => Établir un tunnel au niveau machine mais pas un tunnel au niveau utilisateur ; 2 => Établir un tunnel au niveau machine et un tunnel au niveau utilisateur
AlwaysOnURL	REG SZ	URL du serveur virtuel Citrix Gateway auquel l’utilisateur souhaite se connecter. Exemple : `https://xyz.companyDomain.com` Important : Une seule URL est responsable du tunnel au niveau de la machine et du tunnel au niveau utilisateur. Le registre AlwaysOnURL aide le composant de niveau service et utilisateur à travailler et à connecter un tunnel distinct, c’est-à-dire un tunnel au niveau machine et un tunnel au niveau utilisateur en fonction de la conception
`AlwaysOn`	REG_DWORD	1 => Autoriser l’accès au réseau en cas de défaillance du VPN ; 2=> Bloquer l’accès réseau en cas de panne VPN
AlwaysOnAllowlist	REG_SZ	Liste d’adresses IP ou de noms de domaine FQDN séparés par des points-virgules qui doivent être mis sur liste blanche lorsque la machine fonctionne en mode strict. Exemple : `8.8.8.8;linkedin.com`
UserCertCAList	REG_SZ	Liste de noms d’autorité de certification racine séparés par des virgules ou des points-virgules, c’est-à-dire le nom de l’émetteur du certificat. Utilisé dans le contexte d’un service Always On dans lequel un client peut spécifier la liste des autorités de certification dans lesquelles choisir le certificat client. Exemple: `cgwsanity.net;xyz.gov.in`
locationDetection	REG_DWORD	1 => Pour activer la détection de position ; 0 => Pour désactiver la détection de position
suffixList	REG SZ	Liste de domaines séparés par des points-virgules et chargée de vérifier si la machine se trouve sur l’intranet ou non à un moment donné lorsque la détection de localisation est activée. Example: `citrite.net,cgwsanity.net`

Pour plus d’informations sur ces entrées de Registre, consultez Toujours allumé.

Remarque :

Lorsque le service Always On est configuré, le profil Always On configuré sur le serveur virtuel Citrix Gateway ou sur Citrix ADC est ignoré côté client. Assurez-vous donc d’activer également les locationDetectionregistres et AlwaysOnVPN lors de la configuration du service Always On. ```

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Configurer le VPN Always On avant l’ouverture de session Windows

March 27, 2024

Contributeur:

March 27, 2024

Contributeur: