Configuration des connexions initiées par le serveur
Pour chaque utilisateur connecté à NetScaler Gateway avec les adresses IP activées, le suffixe DNS est ajouté au nom d’utilisateur et un enregistrement d’adresse DNS est ajouté au cache DNS de l’appliance. Cette technique permet de fournir aux utilisateurs un nom DNS plutôt que leurs adresses IP.
Lorsqu’une adresse IP est attribuée à la session d’un utilisateur, il est possible de se connecter à l’appareil de l’utilisateur à partir du réseau interne. Par exemple, les utilisateurs qui se connectent au Bureau à distance ou à un client VNC (Virtual Network Computing) peuvent accéder à la machine utilisateur pour diagnostiquer une application problématique. Il est également possible pour deux utilisateurs de NetScaler Gateway possédant une adresse IP réseau interne et connectés à distance de communiquer entre eux via NetScaler Gateway. Le fait d’autoriser la découverte des adresses IP réseau internes des utilisateurs connectés sur l’appliance facilite cette communication.
Un utilisateur distant peut utiliser la commande ping suivante pour découvrir l’adresse IP réseau interne d’un utilisateur qui peut alors se connecter à NetScaler Gateway :
ping \<username.domainname\>
Un serveur peut établir une connexion à une machine utilisateur de différentes manières :
-
Connexions TCP ou UDP. Les connexions peuvent provenir d’un système externe du réseau interne ou d’un autre ordinateur connecté à NetScaler Gateway. L’adresse IP du réseau interne attribuée à chaque machine utilisateur connectée à NetScaler Gateway est utilisée pour ces connexions. Les différents types de connexions initiées par le serveur pris en charge par NetScaler Gateway sont décrits. Pour les connexions initiées par le serveur TCP ou UDP, le serveur dispose de connaissances préalables sur l’adresse IP et le port de la machine utilisateur et établit une connexion avec celle-ci. NetScaler Gateway intercepte cette connexion.
Ensuite, le dispositif utilisateur établit une connexion initiale avec le serveur et le serveur se connecte au dispositif utilisateur sur un port connu ou dérivé du premier port configuré.
Dans ce scénario, la machine utilisateur établit une connexion initiale au serveur, puis échange des ports et des adresses IP avec le serveur à l’aide d’un protocole spécifique à l’application dans lequel ces informations sont intégrées. Cela permet à NetScaler Gateway de prendre en charge des applications, telles que les connexions FTP actives.
-
Commande de port. Il est utilisé dans un FTP actif et dans certains protocoles Voice over IP.
-
Connexions entre les plug-ins. NetScaler Gateway prend en charge les connexions entre les plug-ins à l’aide des adresses IP du réseau interne.
Avec ce type de connexion, deux machines utilisateur NetScaler Gateway qui utilisent le même NetScaler Gateway peuvent établir des connexions entre elles. Un exemple de ce type est l’utilisation d’applications de messagerie instantanée, telles que Office Communicator ou Yahoo ! Messenger.
Si un utilisateur se déconnecte de NetScaler Gateway et que la demande de fermeture de session n’est pas parvenue à l’appliance, il peut se reconnecter en utilisant n’importe quel appareil et remplacer la session précédente par une nouvelle session. Cette fonctionnalité peut s’avérer utile dans les déploiements où une adresse IP est attribuée par utilisateur.
Lorsqu’un utilisateur se connecte à NetScaler Gateway pour la première fois, une session est créée et une adresse IP est attribuée à l’utilisateur. Si l’utilisateur ferme sa session mais que la demande de fermeture de session est perdue ou que la machine utilisateur ne parvient pas à effectuer une fermeture de session propre, la session est maintenue sur le système. Si l’utilisateur tente de se connecter à nouveau à partir du même appareil ou d’un autre appareil, une fois l’authentification réussie, une boîte de dialogue d’ouverture de session de transfert apparaît. Si l’utilisateur choisit de transférer l’ouverture de session, la session précédente sur NetScaler Gateway est fermée et une nouvelle session est créée. Le transfert d’ouverture de session n’est actif que deux minutes après la fermeture de session, et si la connexion est tentée à partir de plusieurs appareils simultanément, la dernière tentative de connexion remplace la session d’origine.
Configurer la plage de ports privés pour les connexions initiées par le serveur
À partir de la version 23.10.1.7 du client Citrix Secure Access, vous pouvez configurer un port privé compris entre 49152 et 64535 pour les connexions initiées par le serveur (SIC). La configuration des ports privés permet d’éviter les conflits qui peuvent survenir lorsque vous utilisez des ports pour créer des sockets entre le client Citrix Secure Access et des applications tierces sur les machines clientes. Cela ne s’applique que si le pilote WFP est en cours d’utilisation.
Vous pouvez configurer les ports privés à l’aide du SicBeginPort
registre VPN Windows. Vous pouvez également configurer la plage de ports privés à l’aide d’un fichier JSON de personnalisation du plug-in VPN sur NetScaler.
Si un serveur établit une connexion, le client Citrix Secure Access utilise les 1 000 premiers ports à partir du SicBeginPort
registre VPN Windows pour créer les sockets. Si le registre est configuré sur un ordinateur client, le paramètre de registre a priorité sur le paramètre NetScaler JSON.
Voici un exemple de configuration JSON du plug-in VPN sur NetScaler :
root@ADC# cat /var/netscaler/gui/vpn/pluginCustomization.json
{"SicBeginPort" : 51000}
<!--NeedCopy-->
Pour plus d’informations sur les paramètres du registre, consultez la section Clés de registre du client VPN Windows NetScaler Gateway.
Remarque :
La plage de ports par défaut utilisée pour créer des sockets est comprise entre 62 500 et 63 500.