Gateway

Autoriser l’accès à partir d’appareils mobiles avec Citrix Mobile Productivity Apps

L’assistant NetScaler for XenMobile configure les paramètres requis pour permettre aux utilisateurs de se connecter à partir d’appareils pris en charge via NetScaler Gateway à des applications mobiles et à des ressources du réseau interne. Les utilisateurs se connectent à l’aide de Secure Hub (anciennement Citrix Secure Hub), qui établit un tunnel Micro VPN. Lorsque les utilisateurs se connectent, un tunnel VPN s’ouvre vers NetScaler Gateway, puis est transmis à XenMobile sur le réseau interne. Les utilisateurs peuvent ensuite accéder à leurs applications Web, mobiles et SaaS à partir de XenMobile.

Pour garantir que les utilisateurs utilisent une seule licence universelle lorsqu’ils se connectent à NetScaler Gateway avec plusieurs appareils simultanément, vous pouvez activer le transfert de session sur le serveur virtuel. Pour plus de détails, consultez la section Configuration des types de connexion sur le serveur virtuel.

Si vous devez modifier votre configuration après avoir utilisé l’assistant NetScaler pour XenMobile, consultez les sections de cet article pour obtenir des conseils. Avant de modifier les paramètres, assurez-vous de bien comprendre les implications de vos modifications. Pour plus d’informations, reportez-vous aux articles XenMobile Deployment.

Configurer Secure Browse dans NetScaler Gateway

Vous pouvez modifier la Secure Browse dans le cadre des paramètres globaux ou dans le cadre d’un profil de session. Vous pouvez lier la stratégie de session aux utilisateurs, groupes ou serveurs virtuels. Lorsque vous configurez Secure Browse, vous devez également activer l’accès sans client. Toutefois, l’accès sans client ne nécessite pas l’activation de la Secure Browse. Lorsque vous configurez l’accès sans client, définissez l’encodage d’URL d’accès sans client sur Effacer.

Pour configurer Secure Browse globalement :

  1. Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
  3. Dans la boîte de dialogue Paramètres globaux de NetScaler Gateway, sous l’onglet Sécurité, cliquez sur Secure Browse, puis sur OK.

Pour configurer Secure Browse dans une stratégie et un profil de session :

  1. Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway > Policies, puis cliquez sur Session.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    • Si vous créez une nouvelle stratégie de session, cliquez sur Ajouter.
    • Si vous modifiez une politique existante, sélectionnez-en une, puis cliquez sur Ouvrir.
  3. Dans la stratégie, créez un profil ou modifiez un profil existant. Pour ce faire, effectuez l’une des opérations suivantes :
    • À côté de Demander un profil, cliquez sur Nouveau.
    • À côté de Demander un profil, cliquez sur Modifier.
  4. Dans l’onglet Sécurité, en regard de Secure Browse, cliquez sur Override Global, puis sélectionnez Secure Browse.
  5. Procédez comme suit :
    • Si vous créez un nouveau profil, cliquez sur Créer, définissez l’expression dans la boîte de dialogue de stratégie, cliquez sur Créer, puis cliquez sur Fermer.
    • Si vous modifiez un profil existant, après avoir effectué la sélection, cliquez deux fois sur OK .

Pour configurer les stratégies de trafic pour Secure Web en mode Secure Browse :

Suivez les étapes suivantes pour configurer des stratégies de trafic afin d’acheminer le trafic Secure Web via un serveur proxy en mode Secure Browse.

  1. Dans l’utilitaire de configuration, sous l’onglet Configuration, développez NetScaler Gateway > Stratégies, puis cliquez sur Traffic.
  2. Dans le volet droit, cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter.
  3. Dans Nom, saisissez un nom pour le profil, sélectionnez TCP comme protocoleet laissez les autres paramètres tels quels.
  4. Cliquez sur Créer.
  5. Cliquez sur l’onglet Profils de trafic, puis cliquez sur Ajouter.
  6. Dans Nom, saisissez un nom pour le profil, puis sélectionnez HTTP comme protocole. Ce profil de trafic est destiné aux protocoles HTTP et SSL. Le trafic VPN sans client est un trafic HTTP par conception, quel que soit le port de destination ou le type de service. Par conséquent, vous spécifiez à la fois le trafic SSL et le trafic HTTP en tant que HTTP dans le profil de trafic.
  7. Dans Proxy, saisissez l’adresse IP du serveur proxy. Dans Port, saisissez le numéro de port du serveur proxy.
  8. Cliquez sur Créer.
  9. Cliquez sur l’onglet Stratégies de trafic, puis sur Ajouter.
  10. Entrez le nom de la stratégie de trafic et, pour Demander un profil, sélectionnez le profil de trafic que vous avez créé à l’étape 3. Entrez l’expression suivante, puis cliquez sur Créer :

    REQ.HTTP.HEADER HOST contains ActiveSyncServer || REQ.HTTP.HEADER User-Agent CONTAINS WorxMail || REQ.HTTP.HEADER User-Agent CONTAINS com.zenprise || REQ.HTTP.HEADER User-Agent CONTAINS Citrix Secure Hub || REQ.HTTP.URL CONTAINS AGServices || REQ.HTTP.URL CONTAINS StoreWeb
    <!--NeedCopy-->
    

    Cette règle effectue une vérification en fonction de l’en-tête de l’hôte. Pour contourner le trafic de synchronisation actif du proxy, remplacez-le ActiveSyncServer par le nom du serveur de synchronisation actif approprié.

  11. Cliquez sur l’onglet Stratégies de trafic, puis sur Ajouter. Entrez le nom de la stratégie de trafic et, pour Demander un profil, sélectionnez le profil de trafic créé à l’étape 6. Entrez l’expression suivante, puis cliquez sur Créer :

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  12. Cliquez sur l’onglet Stratégies de trafic, puis sur Ajouter. Entrez le nom de la stratégie de trafic et, pour Profil de demande, sélectionnez le profil de trafic créé à l’étape 6. Entrez l’expression suivante, puis cliquez sur Créer :

    (REQ.HTTP.HEADER User-Agent CONTAINS Mozilla REQ.HTTP.HEADER User-Agent CONTAINS com.citrix.browser
  13. Accédez à NetScaler Gateway > Serveurs virtuels, sélectionnez le serveur virtuel dans le volet droit, puis cliquez sur Modifier.
  14. Sur la ligne Stratégies, cliquez sur +.
  15. Dans le menu Choisir une stratégie, sélectionnez Trafic.
  16. Cliquez sur Continuer.
  17. Sous Liaison de stratégie, en face de Sélectionner une stratégie, cliquez sur **.
  18. Sélectionnez la stratégie que vous avez créée à l’étape 10, puis cliquez sur OK.
  19. Cliquez sur Bind.
  20. Sous Stratégies, cliquez sur Stratégie de trafic.
  21. Sous Liaison de stratégie de trafic du serveur virtuel VPN, cliquez sur Ajouter une liaison.
  22. Sous Liaison de stratégie, en regard du menu Sélectionner une stratégie, cliquez sur ** pour afficher la liste des stratégies.
  23. Sélectionnez la stratégie que vous avez créée à l’étape 11, puis cliquez sur OK.
  24. Cliquez sur Bind.
  25. Sous Stratégies, cliquez sur Stratégies de trafic.
  26. Sous Liaison de stratégie de trafic du serveur virtuel VPN, cliquez sur Ajouter une liaison.
  27. Sous Liaison de stratégie, en regard du menu Sélectionner une stratégie, cliquez sur ** pour afficher la liste des stratégies.
  28. Sélectionnez la stratégie que vous avez créée à l’étape 12, puis cliquez sur OK.
  29. Cliquez sur Bind.
  30. Cliquez sur Fermer.
  31. Cliquez sur Terminé.

Assurez-vous de configurer l’application Secure Web (WorxWeb) dans la console XenMobile. Accédez à Configurer > Applications, sélectionnez l’application Secure Web, cliquez sur Modifier, puis effectuez les modifications suivantes :

  • Sur la page d’informations de l’application, modifiez le mode VPN initial sur Secure Browse.
  • Sur la page iOS, modifiez le mode VPN initial sur Secure Browse.
  • Sur la page Android, modifiez le mode VPN préféré sur Secure Browse.

Configuration des délais d’expiration des applications et des jetons MDX

Lorsque les utilisateurs ouvrent une session à partir d’un appareil iOS ou Android, un jeton d’application ou un jeton MDX est émis. Le jeton est similaire à la Secure Ticket Authority (STA).

Vous pouvez définir le nombre de secondes ou de minutes pendant lesquels les jetons sont actifs. Si le jeton expire, les utilisateurs ne peuvent pas accéder à la ressource demandée, telle qu’une application ou une page Web.

Les délais d’expiration des jetons sont des paramètres globaux. Lorsque vous configurez le paramètre, il s’applique à tous les utilisateurs qui se connectent à NetScaler Gateway.

  1. Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
  3. Dans la boîte de dialogue Paramètres globaux de NetScaler Gateway, sous l’onglet Expérience client, cliquez sur Paramètres avancés.
  4. Dans l’onglet Général, dans Délai d’expiration du jeton d’application (s), entrez le nombre de secondes avant l’expiration du jeton. La valeur par défaut est de 100 secondes.
  5. Dans Délai d’expiration du jeton MDX (minutes), entrez le nombre de minutes avant l’expiration du jeton, puis cliquez sur OK. La valeur par défaut est de 10 minutes.

Désactiver Endpoint Analysis pour les appareils mobiles

Si vous configurez l’analyse des points de terminaison, vous devez configurer les expressions de stratégie afin que les analyses d’analyse des points de terminaison ne soient pas exécutées sur les appareils mobiles Android ou iOS. Les analyses d’analyse des points de terminaison ne sont pas prises en charge sur les appareils mobiles.

Si vous liez une stratégie d’analyse des points de terminaison à un serveur virtuel, vous devez créer un serveur virtuel secondaire pour les appareils mobiles. Ne liez pas les stratégies de pré-authentification ou de post-authentification au serveur virtuel de l’appareil mobile.

Lorsque vous configurez l’expression de stratégie dans une stratégie de pré-authentification, vous ajoutez la chaîne User-Agent pour exclure Android ou iOS. Lorsque les utilisateurs ouvrent une session à partir de l’un de ces appareils et que vous excluez le type d’appareil, l’analyse des points de terminaison ne s’exécute pas.

Par exemple, vous créez l’expression de stratégie suivante pour vérifier si l’agent utilisateur contient Android, si l’application virus.exe n’existe pas, et pour mettre fin au processus keylogger.exe s’il est exécuté à l’aide du profil de pré-authentification. L’expression de stratégie peut ressembler à ceci :

REQ.HTTP.HEADER User-Agent NOTCONTAINS Android && CLIENT.APPLICATION.PROCESS(keylogger.exe) contains

Après avoir créé la stratégie et le profil de pré-authentification, liez la stratégie au serveur virtuel. Lorsque les utilisateurs ouvrent une session à partir d’un appareil Android ou iOS, l’analyse ne s’exécute pas. Si les utilisateurs ouvrent une session à partir d’un appareil Windows, l’analyse est exécutée.

Pour plus d’informations sur la configuration des stratégies de pré-authentification, consultez Configuration des stratégies de point de terminaison.

Prise en charge des requêtes DNS en utilisant des suffixes DNS pour les appareils Android

Lorsque les utilisateurs établissent une connexion Micro VPN à partir d’un appareil Android, NetScaler Gateway envoie des paramètres DNS fractionnés à la machine utilisateur. NetScaler Gateway prend en charge les requêtes DNS fractionnées en fonction des paramètres DNS fractionnés que vous configurez. NetScaler Gateway peut également prendre en charge les requêtes DNS fractionnées en fonction des suffixes DNS que vous configurez sur l’appliance. Si les utilisateurs se connectent depuis un appareil Android, vous devez configurer les paramètres DNS sur NetScaler Gateway.

Le Split DNS fonctionne de la manière suivante :

  • Si vous définissez le DNS fractionné sur Local, l’appareil Android envoie toutes les demandes DNS au serveur DNS local.
  • Si vous définissez le DNS fractionné sur Remote, toutes les demandes DNS sont envoyées aux serveurs DNS configurés sur NetScaler Gateway (serveur DNS distant) pour résolution.
  • Si vous définissez le DNS fractionné sur Les deux, l’appareil Android recherche le type de demande DNS.
    • Si le type de demande DNS n’est pas « A », il envoie le paquet de demande DNS aux serveurs DNS locaux et distants.
    • Si le type de requête DNS est « A », le plug-in Android extrait le nom de domaine complet de la requête et compare ce nom de domaine complet à la liste de suffixes DNS configurée sur l’appliance NetScaler. Si le nom de domaine complet de la demande DNS correspond, la demande DNS est envoyée au serveur DNS distant. Si le nom de domaine complet ne correspond pas, la demande DNS est envoyée aux serveurs DNS locaux.

Le tableau suivant récapitule le fonctionnement du DNS fractionné en fonction de l’enregistrement de type A et de la liste de suffixes.

Paramètre Split DNS S’agit-il d’un enregistrement de type A ? Est-ce que c’est dans la liste des suffixes ? Où la demande DNS est envoyée
Stockage local Oui ou Non Oui ou Non Stockage local
Distant Oui ou Non Oui ou Non Distant
Les deux Non SO Les deux
Les deux Oui Oui Distant
Les deux Oui Non Stockage local

Pour configurer un suffixe DNS, procédez comme suit :

  1. Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway > Policies, puis cliquez sur Session.
  2. Dans le volet d’informations, sous l’onglet Stratégies, sélectionnez une stratégie de session, puis cliquez sur Ouvrir.
  3. À côté de Demander un profil, cliquez sur Modifier.
  4. Dans l’onglet Configuration réseau, cliquez sur Avancé.
  5. À côté de Suffixe DNS IP de l’intranet, cliquez sur Override Global, saisissez le suffixe DNS, puis cliquez trois fois sur OK.

Pour configurer le DNS fractionné globalement sur NetScaler Gateway :

  1. Dans l’utilitaire de configuration, dans l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway, puis cliquez sur Paramètres globaux.
  2. Dans le volet d’informations, sous Paramètres, cliquez sur Modifier les paramètres généraux.
  3. Dans l’onglet Expérience client, cliquez sur Paramètres avancés.
  4. Sous l’onglet Général, dans Split DNS, sélectionnez Les deux, Remoteou Local, puis cliquez sur OK.

Pour configurer le DNS partagé dans une stratégie de session sur NetScaler Gateway :

  1. Dans l’utilitaire de configuration, sous l’ongletConfiguration, dans le volet de navigation, développezNetScaler Gateway > Policies, puis cliquez sur Session.
  2. Dans le volet d’informations, dans l’onglet Stratégies, cliquez sur Ajouter.
  3. Dans Nom, tapez le nom de la politique.
  4. À côté de Demander un profil, cliquez sur Nouveau.
  5. Dans Nom, saisissez le nom du profil.
  6. Dans l’onglet Expérience client, cliquez sur Paramètres avancés.
  7. Dans l’onglet Général, en regard de Split DNS, cliquez sur Remplacer Global, sélectionnez Les deux, Remoteou Local, puis cliquez sur OK.
  8. Dans la boîte de dialogue Créer une stratégie de session, en regard de Expressions nommées, sélectionnez Général, sélectionnez Vrai, cliquez sur Ajouter une expression, cliquez sur Créer, puis cliquez sur Fermer.
Autoriser l’accès à partir d’appareils mobiles avec Citrix Mobile Productivity Apps