Gateway

Liste de contrôle de pré-installation de la passer

La liste de contrôle comprend une liste de tâches et d’informations de planification que vous devez effectuer avant d’installer NetScaler Gateway.

De l’espace est prévu pour que vous puissiez cocher chaque tâche au fur et à mesure que vous la terminez et que vous prenez des notes. Citrix vous recommande de prendre note des valeurs de configuration que vous devez saisir pendant le processus d’installation et lors de la configuration de NetScaler Gateway.

Pour savoir comment installer et configurer NetScaler Gateway, consultez la section Installationde NetScaler Gateway.

Machines utilisateur

  • Assurez-vous que les machines utilisateur répondent aux conditions d’installation décrites dans la section Configuration système requise pour Citrix Secure Access
  • Identifiez les appareils mobiles auxquels les utilisateurs se connectent. Remarque : Si les utilisateurs se connectent à un appareil iOS, vous devez activer la Secure Browse dans un profil de session.

Connectivité réseau de base de NetScaler Gateway

Citrix vous recommande d’obtenir des licences et des certificats de serveur signés avant de commencer à configurer l’appliance.

  • Identifiez et prenez note du nom d’hôte de NetScaler Gateway. Remarque : Il ne s’agit pas du nom de domaine complet (FQDN). Le nom de domaine complet est contenu dans le certificat de serveur signé qui est lié au serveur virtuel.
  • Obtenez des licences universelles sur le site Web Citrix
  • Générez une demande de signature de certificat (CSR) et envoyez-la à une autorité de certification (CA). Entrez la date à laquelle vous envoyez le CSR à l’autorité de certification.
  • Notez l’adresse IP du système et le masque de sous-réseau.
  • Notez l’adresse IP du sous-réseau et le masque de sous-réseau.
  • Notez le mot de passe administrateur. Le mot de passe par défaut fourni avec NetScaler Gateway est. nsroot
  • Notez le numéro de port sur lequel NetScaler Gateway écoute les connexions utilisateur sécurisées. La valeur par défaut est le port TCP 443. Ce port doit être ouvert sur le pare-feu entre le réseau non sécurisé (Internet) et la zone démilitarisée.
  • Notez l’adresse IP de la passerelle par défaut.
  • Notez l’adresse IP et le numéro de port du serveur DNS. Le numéro de port par défaut est 53. En outre, si vous ajoutez directement le serveur DNS, vous devez également configurer ICMP (ping) sur l’appliance.
  • Notez la première adresse IP et le nom d’hôte du premier serveur virtuel.
  • Notez l’adresse IP et le nom d’hôte du deuxième serveur virtuel (le cas échéant).
  • Notez l’adresse IP du serveur WINS (le cas échéant).

Réseaux internes accessibles via NetScaler Gateway

  • Notez les réseaux internes auxquels les utilisateurs peuvent accéder via NetScaler Gateway. Exemple : 10.10.0.0/24
  • Entrez tous les réseaux internes et les segments de réseau auxquels les utilisateurs doivent accéder lorsqu’ils se connectent via NetScaler Gateway à l’aide du client Citrix Secure Access.

Haute disponibilité

Si vous possédez deux appliances NetScaler Gateway, vous pouvez les déployer dans une configuration haute disponibilité dans laquelle un NetScaler Gateway accepte et gère les connexions, tandis qu’un second NetScaler Gateway surveille le premier dispositif. Si le premier NetScaler Gateway cesse d’accepter les connexions pour une raison quelconque, le second NetScaler Gateway prend le relais et commence à accepter activement les connexions.

  • Notez le numéro de version du logiciel NetScaler Gateway.
  • Le numéro de version doit être le même sur les deux appliances NetScaler Gateway.
  • Notez le mot de passe administrateur (nsroot). Le mot de passe doit être le même sur les deux solutions matérielles-logicielles.
  • Notez l’adresse IP et l’ID principaux de NetScaler Gateway. Le numéro d’identification maximal est de 64.
  • Notez l’adresse IP et l’ID de NetScaler Gateway secondaires.
  • Obtenez et installez la licence universelle sur les deux appliances.
  • Installez la même licence universelle sur les deux appliances.
  • Notez le mot de passe du nœud RPC.

Authentification et autorisation

NetScaler Gateway prend en charge différents types d’authentification et d’autorisation qui peuvent être utilisés selon différentes combinaisons. Pour plus d’informations sur l’authentification et l’autorisation, consultez la section Authentification et autorisation.

Authentification LDAP

Si votre environnement inclut un serveur LDAP, vous pouvez utiliser LDAP pour l’authentification.

  • Notez l’adresse IP et le port du serveur LDAP.

    Si vous autorisez les connexions non sécurisées au serveur LDAP, le port par défaut est 389. Si vous chiffrez les connexions au serveur LDAP avec SSL, le port par défaut est 636.

  • Notez le type de sécurité.

    Vous pouvez configurer la sécurité avec ou sans chiffrement.

  • Notez le nom unique de liaison de l’administrateur.

    Si votre serveur LDAP nécessite une authentification, entrez le nom distinctif de l’administrateur que NetScaler Gateway doit utiliser pour s’authentifier lors de l’envoi de requêtes à l’annuaire LDAP. Un exemple est cn=administrator, CN=Users, dc=ace, dc=com.

  • Notez le mot de passe administrateur.

    Le mot de passe est associé au nom unique de liaison de l’administrateur.

  • Notez le nom unique de base.

    DN (ou niveau répertoire) sous lequel se trouvent les utilisateurs ; par exemple, ou=users, dc=ace, dc=com.

  • Notez l’attribut du nom d’ouverture de session du serveur.

    Entrez l’attribut d’objet personne de l’annuaire LDAP qui spécifie le nom d’ouverture de session d’un utilisateur. La valeur par défaut est SAMAccountName. Si vous n’utilisez pas Active Directory, les valeurs communes de ce paramètre sont cn ou uid. Pour plus d’informations sur les paramètres de l’annuaire LDAP, consultez Configuration de l’authentification LDAP

  • Notez l’attribut de groupe. Entrez l’attribut d’objet personne de l’annuaire LDAP qui spécifie les groupes auxquels appartient un utilisateur. La valeur par défaut est MemberOf. Cet attribut permet à NetScaler Gateway d’identifier les groupes d’annuaires auxquels appartient un utilisateur.
  • Notez le nom du sous-attribut.

Authentification et autorisation RADIUS

Si votre environnement inclut un serveur RADIUS, vous pouvez utiliser RADIUS pour l’authentification. L’authentification RADIUS inclut les produits RSA SecurID, SafeWord et Gemalto Protiva.

  • Notez l’adresse IP et le port du serveur RADIUS principal. Le port par défaut est 1812.
  • Notez le secret du serveur RADIUS principal (secret partagé).
  • Notez l’adresse IP et le port du serveur RADIUS secondaire. Le port par défaut est 1812.
  • Notez le secret du serveur RADIUS secondaire (secret partagé).
  • Notez le type de codage du mot de passe (PAP, CHAP, MS-CHAP v1, MSCHAP v2).

Authentification SAML

Le langage SAML (Security Assertion Markup Language) est une norme XML pour l’échange d’authentification et d’autorisation entre les fournisseurs d’identité (IdP) et les fournisseurs de services.

  • Obtenez et installez sur NetScaler Gateway un certificat IdP sécurisé.
  • Notez l’URL de redirection.
  • Notez le champ utilisateur.
  • Notez le nom du certificat de signature.
  • Notez le nom de l’émetteur SAML.
  • Notez le groupe d’authentification par défaut.

Ouverture de ports via les pare-feu (DMZ à saut unique)

Si votre organisation protège le réseau interne à l’aide d’une seule zone démilitarisée et que vous déployez NetScaler Gateway dans la zone démilitarisée, ouvrez les ports suivants via les pare-feux. Si vous installez deux appliances NetScaler Gateway dans un déploiement DMZ à double saut, consultez la section Ouverture des ports appropriés sur les pare-feux.

Sur le pare-feu entre le réseau non sécurisé et la zone démilitarisée

  • Ouvrez un port TCP/SSL (443 par défaut) sur le pare-feu entre Internet et NetScaler Gateway. Les machines utilisateur se connectent à NetScaler Gateway sur ce port.

Sur le pare-feu entre le réseau sécurisé

  • Ouvrez un ou plusieurs ports appropriés sur le pare-feu entre la zone démilitarisée et le réseau sécurisé. NetScaler Gateway se connecte à un ou plusieurs serveurs d’authentification ou à des ordinateurs exécutant Citrix Virtual Apps and Desktops sur le réseau sécurisé sur ces ports.
  • Notez les ports d’authentification.

    Ouvrez uniquement le port correspondant à votre configuration NetScaler Gateway.

    • Pour les connexions LDAP, la valeur par défaut est le port TCP 389.
    • Pour une connexion RADIUS, la valeur par défaut est le port UDP 1812. Notez les ports Citrix Virtual Apps and Desktops.
  • Si vous utilisez NetScaler Gateway avec Citrix Virtual Apps and Desktops, ouvrez le port TCP 1494. Si vous activez la fiabilité de session, ouvrez le port TCP 2598 au lieu de 1494. Citrix recommande de garder ces deux ports ouverts.

Citrix Virtual Desktops, Citrix Virtual Apps, l’interface Web ou StoreFront

Effectuez les tâches suivantes si vous déployez NetScaler Gateway pour fournir un accès à Citrix Virtual Apps and Desktops via l’interface Web ou StoreFront. Le client Citrix Secure Access n’est pas requis pour ce déploiement. Les utilisateurs accèdent aux applications et aux bureaux publiés via NetScaler Gateway en utilisant uniquement des navigateurs Web et Citrix Receiver.

  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant l’interface Web ou StoreFront.
  • Notez le nom de domaine complet ou l’adresse IP du serveur exécutant la Secure Ticket Authority (STA) (pour l’interface Web uniquement).

Citrix Endpoint Management

Effectuez les tâches suivantes si vous déployez Citrix Endpoint Management sur votre réseau interne. Si les utilisateurs se connectent à Endpoint Management depuis un réseau externe, tel qu’Internet, ils doivent se connecter à NetScaler Gateway avant d’accéder aux applications mobiles, Web et SaaS.

  • Notez le nom de domaine complet ou l’adresse IP d’Endpoint Management.
  • Identifiez les applications Web, SaaS et mobiles iOS ou Android auxquelles les utilisateurs peuvent accéder.

Déploiement DMZ à double saut avec Citrix Virtual Apps

Effectuez les tâches suivantes si vous déployez deux appliances NetScaler Gateway dans une configuration DMZ à double saut pour prendre en charge l’accès aux serveurs exécutant Citrix Virtual Apps.

NetScaler Gateway dans la première zone démilitarisée

La première zone démilitarisée est la zone démilitarisée située à la périphérie de votre réseau interne (la plus proche d’Internet ou d’un réseau non sécurisé). Les clients se connectent à NetScaler Gateway dans la première zone démilitarisée via le pare-feu qui sépare Internet de la zone démilitarisée. Collectez ces informations avant d’installer NetScaler Gateway dans la première zone démilitarisée.

  • Complétez les éléments de la section Connectivité réseau de base de NetScaler Gateway de cette liste de contrôle pour ce NetScaler Gateway.

    Lorsque vous complétez ces éléments, l’interface 0 connecte ce NetScaler Gateway à Internet et l’interface 1 connecte ce NetScaler Gateway à NetScaler Gateway dans la deuxième zone démilitarisée.

  • Configurez les informations de la deuxième appliance DMZ sur l’appliance principale.

    Pour configurer NetScaler Gateway comme premier saut dans la zone démilitarisée à double saut, vous devez spécifier le nom d’hôte ou l’adresse IP de NetScaler Gateway dans la deuxième zone démilitarisée sur l’appliance située dans la première zone démilitarisée. Après avoir spécifié quand le proxy NetScaler Gateway est configuré sur l’appliance lors du premier saut, liez-le à NetScaler Gateway globalement ou à un serveur virtuel.

  • Notez le protocole de connexion et le port entre les appliances.

    Pour configurer NetScaler Gateway comme premier saut dans la double DMZ, vous devez spécifier le protocole de connexion et le port sur lequel NetScaler Gateway de la seconde DMZ écoute les connexions. Le protocole de connexion et le port sont SOCKS avec SSL (port 443 par défaut). Le protocole et le port doivent être ouverts via le pare-feu qui sépare la première DMZ de la deuxième DMZ.

NetScaler Gateway dans la deuxième zone démilitarisée

La deuxième zone démilitarisée est la zone démilitarisée la plus proche de votre réseau interne et sécurisé. NetScaler Gateway déployé dans la seconde zone démilitarisée sert de proxy pour le trafic ICA, qui traverse la seconde zone démilitarisée entre les machines utilisateur externes et les serveurs du réseau interne.

  • Effectuez les tâches décrites dans la section Connectivité réseau de base de NetScaler Gateway de cette liste de contrôle pour ce NetScaler Gateway.

    Lorsque vous complétez ces éléments, l’interface 0 connecte ce NetScaler Gateway à NetScaler Gateway dans la première zone démilitarisée. L’interface 1 connecte ce NetScaler Gateway au réseau sécurisé.