Always On
La fonctionnalité Always On de Citrix Gateway garantit que les utilisateurs sont toujours connectés au réseau de l’entreprise. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN.
Remarque
La fonctionnalité Always On prend en charge les portails captifs pour Citrix ADC 12.0 Build 51.24 et versions ultérieures.
Quand utiliser Always On
Utilisez Always On lorsque vous devez fournir une connectivité VPN transparente en fonction de l’emplacement de l’utilisateur et que vous devez empêcher l’accès au réseau d’un utilisateur qui n’est pas connecté à un VPN.
Les scénarios suivants illustrent l’utilisation de Always On.
- Un employé démarre l’ordinateur portable en dehors du réseau de l’entreprise et a besoin d’aide pour établir la connectivité VPN.
Solution : Lorsque l’ordinateur portable est démarré en dehors du réseau de l’entreprise, Always On établit un tunnel de manière transparente et fournit une connectivité VPN. - Un employé utilisant la connectivité VPN se déplace vers le réseau de l’entreprise. L’employé passe à un réseau d’entreprise mais reste connecté au tunnel VPN, ce qui n’est pas un état souhaitable.
Solution : Lorsque l’employé se connecte au réseau de l’entreprise, Always On supprime le tunnel VPN et le transfère facilement vers le réseau de l’entreprise. - Un employé quitte le réseau de l’entreprise et ferme l’ordinateur portable (sans l’éteindre). L’employé a besoin d’aide pour établir la connectivité VPN lors de la reprise du travail sur l’ordinateur portable.
Solution : Lorsque l’employé quitte le réseau de l’entreprise, Always On établit facilement un tunnel et fournit une connectivité VPN. - Une entreprise souhaite réglementer l’accès réseau fourni à ses utilisateurs lorsqu’ils ne sont pas connectés à un tunnel VPN.
Solution : Selon la configuration, Always On limite l’accès, ce qui permet aux utilisateurs d’accéder uniquement au réseau de passerelle.
Comprendre le framework Always On
Always On connecte automatiquement un utilisateur à un tunnel VPN que le client a précédemment établi. La première fois que l’utilisateur a besoin d’un tunnel VPN, il doit se connecter à l’URL Citrix Gateway et établir le tunnel. Une fois la configuration Always On téléchargée sur le client, cette configuration entraîne l’établissement ultérieur du tunnel.
L’exécutable du client Citrix Gateway est toujours en cours d’exécution sur la machine cliente. Lorsque l’utilisateur ouvre une session ou que le réseau change, le client Citrix Gateway détermine si l’ordinateur portable de l’utilisateur se trouve sur le réseau d’entreprise. En fonction de l’emplacement et de la configuration, le client Citrix Gateway établit un tunnel ou supporte un tunnel existant.
L’établissement du tunnel n’est lancé qu’une fois que l’utilisateur ouvre une session sur l’ordinateur. Le client Citrix Gateway utilise les informations d’identification de la machine cliente pour s’authentifier auprès du serveur de passerelle et tente d’établir un tunnel.
Rétablissement automatique d’un tunnel
Le rétablissement automatique d’un tunnel est déclenché lorsqu’un tunnel VPN est déchiré par Citrix Gateway.
Remarque
En cas d’échec de l’analyse du point de terminaison, le client Citrix Gateway ne tente pas de nouveau l’établissement du tunnel, mais affiche un message d’erreur. En cas d’échec de l’authentification, le client Citrix Gateway invite l’utilisateur à entrer ses informations d’identification.
Méthodes d’authentification utilisateur prises en charge pour un établissement de tunnel transparent
Les méthodes d’authentification utilisateur prises en charge sont les suivantes :
- Nom d’utilisateur/mot de passe AD : si le nom d’utilisateur et le mot de passe Windows sont utilisés pour l’authentification, le client Citrix Gateway établit le tunnel de manière transparente à l’aide de ces informations d’identification.
-
Certificat utilisateur : si un certificat utilisateur est utilisé pour l’authentification et qu’il n’existe qu’un seul certificat sur la machine cliente, le client Citrix Secure Access établit un tunnel en toute transparence à l’aide de ce certificat. Si plusieurs certificats clients sont installés, le tunnel est établi une fois que l’utilisateur a sélectionné le certificat préféré. Le client Citrix Secure Access utilise ce certificat préféré pour les tunnels ultérieurs.
Si les cartes à puce partagent un certificat utilisateur, l’auto-connexion ne peut pas être réalisée si les certificats sont installés dynamiquement dans le magasin par rapport aux certificats présents dans le magasin.
- Certificat utilisateur et nom d’utilisateur/mot de passe AD : Cette méthode d’authentification est la combinaison des méthodes d’authentification décrites précédemment.
Remarque
Tous les autres mécanismes d’authentification sont pris en charge, mais l’établissement du tunnel n’est pas transparent pour les autres méthodes d’authentification. L’intervention de l’utilisateur est requise pour toutes les autres méthodes d’authentification.
Configuration requise pour Always On
L’administrateur de l’entreprise doit appliquer les éléments suivants pour les appareils gérés :
- L’utilisateur ne doit pas être en mesure de mettre fin au processus/service pour une configuration spécifique
- L’utilisateur ne doit pas pouvoir désinstaller le package pour une configuration spécifique
- L’utilisateur ne doit pas pouvoir modifier des entrées de registre spécifiques
Remarque
La fonctionnalité peut ne pas fonctionner comme prévu si l’utilisateur dispose de privilèges d’administration, comme dans le cas des appareils non gérés.
Considérations relatives à l’activation de la fonction Toujours
Consultez la section suivante avant d’activer la fonction Always On.
Accès réseau principal : Lorsque le tunnel est établi, le trafic vers le réseau d’entreprise est décidé en fonction de la configuration du tunnel partagé. D’autres configurations ne sont pas fournies pour remplacer ce comportement.
Paramètres proxy de la machine cliente : Les paramètres proxy de la machine cliente sont ignorés pour la connexion au serveur de passerelle.
Remarque
La configuration du proxy de l’appliance Citrix ADC n’est pas ignorée. Seuls les paramètres proxy de la machine cliente sont ignorés. Les utilisateurs qui ont un proxy configuré sur leurs systèmes sont informés que le plug-in VPN a ignoré leurs paramètres de proxy.
Lorsque la valeur de configuration est définie sur « Refuser », les modifications suivantes s’appliquent :
- Interface utilisateur du client : les options de fermeture de session et de sortie du menu contextuel du plug-in et de l’interface utilisateur du plug-in sont désactivées. Les utilisateurs ne sont pas autorisés à modifier l’URL de la passerelle.
- Ouverture de session du navigateur - La connexion du navigateur à une autre passerelle n’est pas autorisée. Les contrôles client sont désactivés.
Configuration d’Always On
Pour configurer Always On, créez un profil Always On sur le dispositif Citrix Gateway et appliquez le profil.
Pour créer un profil Always On :
- Dans l’interface graphique Citrix ADC, accédez à Configuration > Citrix Gateway > Stratégies > AlwaysOn.
- Sur la page Profils AlwaysOn, cliquez sur Ajouter.
- Sur la page Créer un profil AlwaysOn, entrez les informations suivantes :
- Nom : nom de votre profil.
- **VPN basé sur la localisation (nom de registre côté client : LocationDetection) : sélectionnez l’un des paramètres suivants :
- À distance pour permettre à un client de détecter s’il se trouve dans le réseau d’entreprise et d’établir le tunnel s’il n’est pas dans le réseau d’entreprise. Remote est le paramètre par défaut.
- Partout pour permettre à un client d’ignorer la détection de localisation et d’établir le tunnel, quel que soit l’emplacement du client
-
Contrôle du client : sélectionnez l’un des paramètres suivants :
- Refuserpour empêcher l’utilisateur de se déconnecter et de se connecter à une autre passerelle. Refuser est le paramètre par défaut.
- Permet à l’utilisateur de se déconnecter et de se connecter à une autre passerelle.
-
Accès réseau en cas d’échec VPN (nom de registre côté client : AlwaysOn) — Sélectionnez l’un des paramètres suivants :
- Accès complet pour permettre au trafic réseau de circuler vers et depuis le client lorsque le tunnel n’est pas établi. L’accès intégral est le paramètre par défaut.
-
Seulement vers passerelle pour empêcher le trafic réseau de circuler vers ou depuis le client lorsque le tunnel n’est pas établi. Toutefois, le trafic à destination ou en provenance de l’adresse IP de la passerelle est autorisé.
Remarque : En mode Uniquement vers passerelle, seul le serveur virtuel, le trafic DNS et DHCP sont débloqués. Pour débloquer d’autres sites Web, des plages d’adresses IP ou des adresses IP, vous devez définir le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules. Par exemple, mycompany.com,mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67
- Cliquez sur Créer pour terminer la création de votre profil.
Pour appliquer le profil Always On :
- Dans l’interface Citrix ADC, sélectionnez Configuration > Citrix Gateway > Paramètres globaux.
- Sur la page Paramètres globaux, cliquez sur le lien Modifier les paramètres globaux, puis sélectionnez l’onglet Expérience client.
- Dans le menu déroulant Nom du profil AlwaysOn, sélectionnez le profil que vous venez de créer, puis cliquez sur OK.
Remarque
Une configuration similaire peut être effectuée dans le profil de session pour appliquer les stratégies au niveau du groupe, du levier du serveur ou de l’utilisateur.
Note sur les IIP
Le tunnel au niveau de la machine utilise l’authentification basée sur les certificats et la session créée porte le nom commun du certificat en tant que nom d’utilisateur. Ainsi, si les certificats de périphériques ont des noms communs uniques, les sessions des machines différentes ont un nom d’utilisateur différent et donc des adresses IP différentes. Assurez-vous de générer un certificat d’appareil avec des noms uniques. Idéalement, vous devez utiliser des noms de machines comme nom commun du certificat de périphérique.
Résumé du comportement des différentes configurations pour les utilisateurs administrateurs et les utilisateurs non administrateurs
Le tableau suivant récapitule le comportement des différentes configurations. Il détaille également la possibilité que certaines actions de l’utilisateur puissent affecter la fonctionnalité Always On.
networkAccessONVPNFailure | Contrôle des clients | Utilisateur non administrateur | Utilisateur administrateur |
---|---|---|---|
fullaccess |
Allow | Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau. L’utilisateur peut également pointer vers un autre Citrix Gateway. | Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session et rester hors du réseau d’entreprise. L’utilisateur peut également pointer vers un autre Citrix Gateway. |
fullaccess |
Deny | Le tunnel est automatiquement établi. L’utilisateur ne peut pas fermer sa session ou pointer vers un autre Citrix Gateway. | Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Gateway ou passer à un autre Citrix Gateway. |
onlyToGateway | Allow | Le tunnel est automatiquement établi. L’utilisateur peut fermer sa session (pas d’accès réseau). L’utilisateur peut également pointer vers un autre Citrix Gateway, auquel cas l’accès est accordé uniquement à Citrix Gateway nouvellement pointé. | Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Gateway ou passer à un autre Citrix Gateway. |
onlyToGateway | Deny | Le tunnel est automatiquement établi. L’utilisateur ne peut pas fermer sa session ou pointer vers un autre Citrix Gateway. | Le tunnel est automatiquement établi. L’utilisateur peut désinstaller le client Citrix Gateway ou passer à un autre Citrix Gateway. |
Autorisation des URL sélectionnées lorsque l’option Always On est en panne
Les utilisateurs peuvent accéder à quelques sites Web même lorsque Always On est en panne et que le réseau est verrouillé. Les administrateurs peuvent utiliser le registre AlwaysOnAllowList pour ajouter les sites Web auxquels vous souhaitez activer l’accès lorsque l’option AlwaysOnAllowList est inactive.
Remarque :
- Le registreAlwaysOnAllowList est pris en charge à partir des versions 13.0 build 47.x et ultérieures.
- L’emplacement du RegistreAlwaysOnAllowList est Computer \ HKEY_LOCAL_MACHINE \ SOFTWARE \ Citrix \ Secure Access Client.
- Les URL/FQDN génériques ne sont pas pris en charge dans le registre AlwaysOnAllowList.
Pour définir le registre AlwaysOnAllowList
Définissez le registre AlwaysOnAllowList avec une liste de noms de domaine complets, de plages d’adresses IP ou d’adresses IP séparés par des points-virgules auxquels vous souhaitez autoriser l’accès.
Exemple : example.citrix.com ; 10.103.184.156 ; 10.102.0.0-10.102.255.100
La figure suivante présente un exemple de registre AlwaysOnAllowList.