Documentation Produit
Gateway
Current Release 13.1 13.0 12.1
Voir PDF

FAQ sur Unified Gateway

March 27, 2024
Contributeur: 
C

Qu’est-ce qu’Unified Gateway ?

Unified Gateway est une nouvelle fonctionnalité de la version 11.0 de NetScaler qui permet de recevoir du trafic sur un seul serveur virtuel (appelé serveur virtuel Unified Gateway), puis de diriger ce trafic en interne, le cas échéant, vers des serveurs virtuels liés au serveur virtuel Unified Gateway.

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Les administrateurs peuvent libérer des adresses IP et simplifier la configuration du déploiement de NetScaler Gateway.

Chaque serveur virtuel Unified Gateway peut frontaliser un serveur virtuel NetScaler Gateway ainsi qu’un ou plusieurs serveurs virtuels d’équilibrage de charge dans le cadre d’une formation. Unified Gateway fonctionne à l’aide de la fonction de commutation de contenu de l’appliance NetScaler.

Voici quelques exemples de déploiements d’Unified Gateway :

  • Serveur virtuel Unified Gateway -> [un serveur virtuel NetScaler Gateway]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel NetScaler Gateway, un serveur virtuel d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel NetScaler Gateway, deux serveurs virtuels d’équilibrage de charge]
  • Serveur virtuel Unified Gateway -> [un serveur virtuel NetScaler Gateway, trois serveurs virtuels d’équilibrage de charge]

Chacun des serveurs virtuels d’équilibrage de charge peut être n’importe quel serveur d’équilibrage de charge standard hébergeant un service principal, tel que Microsoft Exchange ou Citrix ShareFile.

Pourquoi utiliser Unified Gateway ?

La fonctionnalité Unified Gateway permet aux utilisateurs finaux d’accéder à plusieurs services à l’aide d’une adresse IP ou d’une URL unique (associée au serveur virtuel Unified Gateway). Pour les administrateurs, l’avantage est de libérer des adresses IP et de simplifier la configuration du déploiement de NetScaler Gateway.

Est-ce qu’il y a plus d’un serveur virtuel Unified Gateway ?

Oui. Il peut y avoir autant de serveurs virtuels Unified Gateway que nécessaire.

Pourquoi la commutation de contenu est-elle nécessaire pour Unified Gateway ?

La fonctionnalité de commutation de contenu est nécessaire car le serveur virtuel de commutation de contenu est celui qui reçoit le trafic et le dirige en interne vers le serveur virtuel approprié. Le serveur virtuel de commutation de contenu est le principal composant de la fonctionnalité Unified Gateway.

Dans les versions antérieures à la version 11.0, la commutation de contenu peut être utilisée pour recevoir du trafic pour plusieurs serveurs virtuels. Cette utilisation est-elle également appelée Unified Gateway ?

L’utilisation d’un serveur virtuel de commutation de contenu pour recevoir du trafic pour plusieurs serveurs virtuels est prise en charge dans les versions antérieures à la version 11.0. Toutefois, la commutation de contenu ne peut pas diriger le trafic vers un serveur virtuel NetScaler Gateway.

Les améliorations apportées à la version 11.0 permettent à un serveur virtuel de commutation de contenu de diriger le trafic vers n’importe quel serveur virtuel, y compris un serveur virtuel NetScaler Gateway.

Qu’est-ce qui a changé avec les stratégies de commutation de contenu dans Unified Gateway ?

  1. Un nouveau paramètre de ligne de commande « -TargetvServer » est ajouté pour l’action de changement de contenu. Le nouveau paramètre est utilisé pour spécifier le serveur virtuel NetScaler Gateway cible. Exemple:

    add cs action UG_CSACT_MyUG -targetVserver UG_VPN_MyUG

    Dans l’utilitaire de configuration de NetScaler Gateway, l’action de commutation de contenu comporte une nouvelle option, Target Virtual Server, qui peut référencer un serveur virtuel NetScaler Gateway.

  2. Une nouvelle expression de stratégie avancée, is_vpn_url, peut être utilisée pour faire correspondre NetScaler Gateway et les demandes spécifiques à l’authentification.

Quelles fonctionnalités de NetScaler Gateway ne sont actuellement pas prises en charge dans Unified Gateway ?

Toutes les fonctionnalités sont prises en charge dans Unified Gateway. Toutefois, un problème mineur (ID de problème 544325) a été signalé lors de l’ouverture de session native via le plug-in VPN. Dans ce cas, l’authentification unique (SSO) transparente ne fonctionne pas.

Avec Unified Gateway, quel est le comportement des analyses EPA ?

Avec Unified Gateway, l’analyse des points de terminaison est déclenchée uniquement pour les méthodes d’accès à NetScaler Gateway, et non pour l’accès à NetScaler AAA TM. Si un utilisateur essaie d’accéder à un serveur virtuel NetScaler AAA TM alors que l’authentification est effectuée sur le serveur virtuel NetScaler Gateway, le scan EPA n’est pas déclenché. Toutefois, si l’utilisateur tente d’obtenir un accès VPN sans client/VPN complet, l’analyse EPA configurée est déclenchée. Dans ce cas, l’authentification ou l’authentification unique transparente sont effectuées.

Quelles sont les conditions de licence requises pour Unified Gateway ?

Unified Gateway n’est pris en charge que pour les licences Advanced et Premium. Il n’est pas disponible uniquement pour NetScaler Gateway ou les éditions de licence Standard.

Le serveur virtuel NetScaler Gateway utilisé avec Unified Gateway nécessite-t-il une configuration IP/port/SSL ?

Pour un serveur virtuel NetScaler Gateway utilisé avec le serveur virtuel Unified Gateway, aucune configuration IP/port/SSL n’est requise sur le serveur virtuel NetScaler Gateway. Toutefois, pour la fonctionnalité de proxy RDP, vous pouvez lier le même certificat de serveur SSL/TLS au serveur virtuel NetScaler Gateway.

Dois-je reprovisionner les certificats SSL/TLS qui se trouvent sur le serveur virtuel NetScaler Gateway pour les utiliser avec un serveur virtuel Unified Gateway ?

Il n’est pas nécessaire de reprovisionner les certificats qui sont actuellement liés à votre serveur virtuel NetScaler Gateway. Vous êtes libre de réutiliser tous les certificats SSL existants et de les lier au serveur virtuel Unified Gateway.

Quelle est la différence entre une URL unique et un déploiement multi-hôtes ? De laquelle ai-je besoin ?

Une URL unique fait référence à la capacité du serveur virtuel Unified Gateway à gérer le trafic pour un nom de domaine complet (FQDN). Cette restriction existe lorsque Unified Gateway utilise un certificat de serveur SSL/TLS dont l’objet du certificat est renseigné avec le nom de domaine complet. Par exemple : ug.citrix.com

Si Unified Gateway utilise un certificat de serveur générique, il peut gérer le trafic pour plusieurs sous-domaines. Par exemple :*.citrix.com

Une autre option est la configuration SSL/TLS avec la fonctionnalité d’indicateur de nom de serveur (SNI) pour permettre la liaison de plusieurs certificats de serveur SSL/TLS. Exemples : auth.citrix.com, auth.citrix.de, auth.citrix.co.uk, auth.citrix.co.jp

Un seul hôte par rapport à plusieurs hôtes est analogue à la façon dont les sites Web sont généralement hébergés sur un serveur Web (par exemple, le serveur HTTP Apache ou Microsoft Internet Information Services (IIS)). S’il existe un seul hôte, vous pouvez utiliser un chemin d’accès au site pour basculer le trafic de la même manière que vous utilisez un alias ou un « répertoire virtuel » dans Apache. S’il y a plusieurs hôtes, vous utilisez un en-tête d’hôte pour basculer le trafic de la même manière que vous utilisez les hôtes virtuels dans Apache.

Quels mécanismes d’authentification peuvent être utilisés avec Unified Gateway ?

Tous les mécanismes d’authentification existants qui sont compatibles avec NetScaler Gateway le sont également avec Unified Gateway.

Il s’agit notamment de LDAP, RADIUS, SAML, Kerberos, l’authentification basée sur des certificats, etc.

Quel que soit le mécanisme d’authentification configuré sur le serveur virtuel NetScaler Gateway avant la mise à niveau, il est automatiquement utilisé lorsque le serveur virtuel NetScaler Gateway est placé derrière le serveur virtuel Unified Gateway. Aucune étape de configuration supplémentaire n’est requise, à part l’attribution d’une adresse IP non adressable (0.0.0.0) au serveur virtuel NetScaler Gateway.

Qu’est-ce que l’authentification « SelfAuth » ?

SelfAuth n’est pas un type d’authentification en soi. SelFauth décrit comment une URL est créée. Un nouveau paramètre de ligne de commande ssotype est disponible pour la configuration de l’URL VPN. Exemple:

> add vpn url RGB RGB "http://blue.citrix.lab/" -vServerName Blue -ssotype selfauth

SelFauth est l’une des valeurs du paramètre ssotype. Ce type d’URL peut être utilisé pour accéder à des ressources qui ne se trouvent pas dans le même domaine que le serveur virtuel Unified Gateway. Le paramètre est visible dans l’utilitaire de configuration lors de la configuration d’un signet.

Qu’est-ce que « StepUp » Authentication ?

Lorsque des niveaux d’authentification supplémentaires et plus sécurisés sont requis pour accéder à une ressource NetScaler AAA TM, vous pouvez utiliser l’authentification StepUp. Sur la ligne de commande, utilisez une commande AuthnProfile pour définir le paramètre AuthnLevel. Exemple:

add authentication authnProfile AuthProfile -authnVsName AAATMVserver -AuthenticationHost auth.citrix.lab -AuthenticationDomain citrix.lab **-**AuthenticationLevel 100
<!--NeedCopy-->

Ce profil d’authentification est lié au serveur virtuel d’équilibrage de charge.

L’authentification StepUp est-elle prise en charge pour les serveurs virtuels NetScaler AAA TM ?

Oui, il est pris en charge.

Qu’est-ce que c’est login once/logout once ?

Login Once: les utilisateurs du VPN se connectent une seule fois à un serveur virtuel NetScaler AAA TM ou NetScaler Gateway. À partir de ce moment, les utilisateurs de VPN ont un accès transparent à toutes les applications d’entreprise/Cloud/Web. Il n’est pas nécessaire de réauthentifier l’utilisateur. Toutefois, la réauthentification est effectuée dans des cas particuliers, tels que NetScaler AAA TM StepUp.

Logout Once: une fois la première session NetScaler AAA TM ou NetScaler Gateway créée, elle est utilisée pour créer les sessions NetScaler AAA TM ou NetScaler Gateway suivantes pour cet utilisateur. Si l’une de ces sessions est déconnectée, l’appliance NetScaler déconnecte également les autres applications ou sessions de l’utilisateur.

Des stratégies d’authentification communes peuvent-elles être spécifiées au niveau de la Unified Gateway avec un serveur virtuel d’équilibrage de charge NetScaler AAA TM spécifique authentifié lié au niveau du serveur virtuel d’équilibrage de charge ? Quelles sont les étapes de configuration pour prendre en charge ce cas d’utilisation ?

Si vous devez spécifier des stratégies d’authentification distinctes pour le serveur virtuel NetScaler AAA TM situé derrière Unified Gateway, vous devez disposer d’un serveur virtuel d’authentification distinct et adressable indépendamment (similaire à une configuration NetScaler AAA TM ordinaire). Le paramètre d’hôte d’authentification sur le serveur virtuel d’équilibrage de charge doit pointer vers ce serveur virtuel d’authentification.

Comment configurer Unified Gateway pour que les serveurs virtuels NetScaler AAA TM liés disposent de leurs propres stratégies d’authentification ?

Dans ce scénario, le serveur d’équilibrage de charge doit avoir l’option FQDN d’authentification définie pour pointer vers le serveur virtuel NetScaler AAA TM. Le serveur virtuel NetScaler AAA TM doit disposer d’une adresse IP indépendante et être accessible depuis NetScaler et ses clients.

Un serveur virtuel d’authentification NetScaler AAA TM est-il requis pour authentifier les utilisateurs via un serveur virtuel Unified Gateway ?

Non. Le serveur virtuel NetScaler Gateway authentifie même les utilisateurs de NetScaler AAA TM.

Où définissez-vous les stratégies d’authentification de NetScaler Gateway : sur le serveur virtuel Unified Gateway ou sur le serveur virtuel NetScaler Gateway ?

Les stratégies d’authentification doivent être liées au serveur virtuel NetScaler Gateway.

Comment activer l’authentification sur les serveurs virtuels NetScaler AAA TM situés derrière un serveur virtuel de commutation de contenu Unified Gateway ?

Activez l’authentification sur NetScaler AAA TM et pointez l’hôte d’authentification vers le FQDN de commutation de contenu Unified Gateway.

Comment ajouter des serveurs TM Virtual à la commutation de contenu (URL unique ou multi-hôtes) ?

Il n’y a aucune différence entre l’ajout des serveurs virtuels NetScaler AAA TM pour une seule URL et l’ajouter pour plusieurs hôtes. Dans les deux cas, le serveur virtuel est ajouté en tant que cible dans une action de changement de contenu. La différence entre une URL unique et plusieurs hôtes est implémentée par des règles de stratégie de commutation de contenu.

Qu’arrive-t-il aux stratégies d’authentification liées à un serveur virtuel d’équilibrage de charge NetScaler AAA TM si ce serveur virtuel est déplacé derrière un serveur virtuel Unified Gateway ?

Les stratégies d’authentification sont liées au serveur virtuel d’authentification, et le serveur virtuel d’authentification est lié au serveur virtuel d’équilibrage de charge. Pour le serveur virtuel Unified Gateway, Citrix recommande d’utiliser le serveur virtuel NetScaler Gateway comme point d’authentification unique, ce qui évite de devoir effectuer une authentification sur un serveur virtuel d’authentification (ni même d’avoir besoin d’un serveur virtuel d’authentification spécifique). Le fait de pointer l’hôte d’authentification vers le nom de domaine complet du serveur virtuel Unified Gateway garantit que l’authentification est effectuée par le serveur virtuel NetScaler Gateway. Si vous pointez l’hôte d’authentification vers la commutation de contenu pour Unified Gateway et que vous disposez toujours d’un serveur virtuel d’authentification lié, les stratégies d’authentification liées au serveur virtuel d’authentification sont ignorées. Toutefois, si vous pointez un hôte d’authentification vers un serveur virtuel d’authentification adressable indépendant, les stratégies d’authentification liées prennent effet.

Comment configurer les stratégies de session pour les sessions NetScaler AAA TM ?

Si, dans Unified Gateway, aucun serveur virtuel d’authentification n’est spécifié pour le serveur virtuel NetScaler AAA TM, les sessions NetScaler AAA TM héritent des stratégies de session NetScaler Gateway. Si le serveur virtuel d’authentification est spécifié, les stratégies de session NetScaler AAA TM liées à ce serveur virtuel sont appliquées.

Quelles sont les modifications apportées au portail NetScaler Gateway dans NetScaler 11.0 ?

Dans les versions de NetScaler antérieures à la version 11.0, une personnalisation de portail unique peut être configurée au niveau mondial. Chaque serveur virtuel de passerelle d’une appliance NetScaler donnée utilise la personnalisation globale du portail.

Dans NetScaler 11.0, grâce à la fonctionnalité des thèmes de portail, vous pouvez configurer plusieurs thèmes de portail. Les thèmes peuvent être liés globalement ou à des serveurs virtuels spécifiques.

NetScaler 11.0 prend-il en charge la personnalisation du portail NetScaler Gateway ?

À l’aide de l’utilitaire de configuration, vous pouvez utiliser la nouvelle fonctionnalité de thèmes de portail pour personnaliser et créer complètement les thèmes de portail. Vous pouvez télécharger différentes images, définir des jeux de couleurs, modifier les étiquettes de texte, etc.

Les pages du portail qui peuvent être personnalisées sont les suivantes :

  • Page de connexion
  • Page Analyse des points de terminaison
  • Page d’erreur Endpoint Analysis
  • Page Post Endpoint Analysis
  • Page de connexion VPN
  • Page d’accueil du portail

Avec cette version, vous pouvez personnaliser les serveurs virtuels NetScaler Gateway avec des conceptions de portail uniques.

Les thèmes de portail sont-ils pris en charge dans les déploiements de haute disponibilité ou de clusters de NetScaler ?

Oui. Les thèmes de portail sont pris en charge dans les déploiements de haute disponibilité et de clusters de NetScaler.

Mes personnalisations doivent-elles être migrées dans le cadre du processus de mise à niveau de NetScaler 11.0 ?

Non. Les personnalisations existantes de la page du portail NetScaler Gateway qui sont invoquées via la modification du fichier rc.conf/rc.netscaler ou à l’aide de fonctionnalités de thème personnalisées dans les versions 10.1/10.5 ne sont pas migrées automatiquement lors de la mise à niveau vers NetScaler 11.0.

Y a-t-il des étapes à suivre avant la mise à niveau pour être prêt à utiliser les thèmes de portail dans NetScaler 11.0 ?

Toutes les personnalisations existantes doivent être supprimées des fichiers rc.conf ou rc.netscaler.

L’autre option est que si des thèmes personnalisés sont utilisés, ils doivent être affectés au paramètre Par défaut :

  1. Accédez à Configuration > NetScaler Gateway > Paramètres généraux

  2. Cliquez sur Modifier les paramètres globaux.

  3. Cliquez sur Expérience client et sélectionnez Par défaut dans la liste Thème de l’interface utilisateur.

J’ai des personnalisations qui sont stockées sur l’instance NetScaler, invoquée par rc.conf ou rc.netscaler. Comment passer aux thèmes du portail ?

L’article CTX126206 du centre de connaissances Citrix détaille une telle configuration pour les versions 9.3 et 10.0 de NetScaler jusqu’à la version 10.0 build 73.5001.e. Depuis la version 10.0 de NetScaler 10.0 73.5002.e (y compris 10.1 et 10.5), le paramètre UITHEME CUSTOM est disponible pour aider les clients à conserver leurs personnalisations après les redémarrages. Si les personnalisations sont stockées sur le disque dur de NetScaler et que vous souhaitez continuer à les utiliser, sauvegardez les fichiers de l’interface graphique 11.0 et insérez-les dans le fichier de thème personnalisé existant. Si vous souhaitez passer aux thèmes du portail, vous devez d’abord désactiver le paramètre UITHEME dans les paramètres généraux ou dans le profil de session, sous Expérience client. Vous pouvez également le définir sur DEFAULT ou GREENBUBBLE. Ensuite, vous pouvez commencer à créer et à lier un thème de portail.

Comment puis-je exporter mes personnalisations actuelles et les enregistrer avant de passer à NetScaler 11.0 ? Puis-je déplacer les fichiers exportés vers une autre appliance NetScaler ?

Les fichiers personnalisés qui ont été téléchargés dans le dossier ns_gui_custom se trouvent sur le disque et sont conservés pendant les mises à niveau. Toutefois, ces fichiers peuvent ne pas être entièrement compatibles avec le nouveau noyau NetScaler 11.0 et les autres fichiers d’interface graphique qui font partie du noyau. Par conséquent, Citrix recommande de sauvegarder les fichiers de l’interface graphique 11.0 et de personnaliser les sauvegardes.

De plus, l’utilitaire de configuration ne contient aucun utilitaire permettant d’exporter le dossier ns_custom_gui vers une autre appliance NetScaler. Utilisez SSH ou un utilitaire de transfert de fichiers tel que WinSCP pour retirer les fichiers de l’instance NetScaler.

Les thèmes de portail sont-ils pris en charge pour les serveurs virtuels NetScaler AAA TM ?

Oui. Les thèmes de portail sont pris en charge pour les serveurs virtuels NetScaler AAA TM.

Qu’est-ce qui a changé dans la fonctionnalité de proxy RDP pour NetScaler Gateway 11.0 ?

De nombreuses améliorations ont été apportées au proxy RDP depuis la version améliorée de NetScaler 10.5.e. Dans NetScaler 11.0, cette fonctionnalité est disponible dès la première version publiée.

Changements de licence

La fonctionnalité RDP Proxy de NetScaler 11.0 ne peut être utilisée qu’avec les éditions Premium et Advanced. Les licences Citrix Concurrent User (CCU) doivent être obtenues pour chaque utilisateur.

Commande Enable

Dans NetScaler 10.5.e, aucune commande ne permettait d’activer le proxy RDP. Dans NetScaler 11.0, la commande enable a été ajoutée :

enable feature rdpproxy
<!--NeedCopy-->

La fonctionnalité doit être sous licence pour exécuter cette commande.

Autres modifications apportées au proxy RDP

Un attribut de clé pré-partagée (PSK) sur le profil de serveur a été rendu obligatoire.

Pour migrer les configurations NetScaler 10.5.e existantes pour le proxy RDP vers NetScaler 11.0, les détails suivants doivent être compris et traités.

Si un administrateur souhaite ajouter une configuration de proxy RDP existante à un déploiement Unified Gateway choisi :

  • L’adresse IP du serveur virtuel NetScaler Gateway doit être modifiée et définie sur une adresse IP non adressable (0.0.0.0).
  • Tous les certificats de serveur SSL/TLS et les stratégies d’authentification doivent être liés au serveur virtuel NetScaler Gateway qui fait partie de la formation Unified Gateway choisie.

Comment migrer une configuration de proxy RDP (Remote Desktop Protocol) basée sur NetScaler 10.5.e vers NetScaler 11.0 ?

Option 1 : conserver le serveur virtuel NetScaler Gateway existant avec la configuration du proxy RDP tel quel, avec une licence Premium ou Advanced.

Option 2 : déplacez le serveur virtuel NetScaler Gateway existant avec la configuration du proxy RDP, en le plaçant derrière un serveur virtuel Unified Gateway.

Option 3 : ajouter un serveur virtuel NetScaler Gateway autonome avec une configuration de proxy RDP à une appliance Standard Edition existante.

Comment configurer NetScaler Gateway pour la configuration du proxy RDP à l’aide de la version 11.0 de NetScaler ?

Il existe deux options pour déployer un proxy RDP à l’aide de la version NS 11.0 :

  1. Utilisation d’un serveur virtuel NetScaler Gateway orienté vers l’extérieur. Cela nécessite une adresse IP/FQDN visible de l’extérieur pour le serveur virtuel NetScaler Gateway. Cette option est disponible dans NetScaler 10.5.e.

  2. Utilisation d’un serveur virtuel Unified Gateway frontal au serveur virtuel NetScaler Gateway.

Avec l’option 2, le serveur virtuel NetScaler Gateway n’a pas besoin de sa propre adresse IP/FQDN, car il utilise une adresse IP non adressable (0.0.0.0).

HDX Insight est-il compatible avec Unified Gateway ?

Lorsque NetScaler Gateway est déployé avec Unified Gateway, les conditions suivantes doivent être remplies :

  • Le serveur virtuel NetScaler Gateway doit être associé à un certificat SSL valide.

  • Le serveur virtuel NetScaler Gateway doit être activé pour générer des enregistrements AppFlow sur NetScaler ADM, pour les rapports HDX Insight.

Comment migrer ma configuration HDX Insight existante ?

Aucune migration n’est nécessaire. Les stratégies AppFlow liées à un serveur virtuel NetScaler Gateway sont reportées si ce serveur virtuel NetScaler Gateway est placé derrière un serveur virtuel Unified Gateway.

Pour les données existantes sur NetScaler ADM pour le serveur virtuel NetScaler Gateway, il existe deux possibilités :

  • Si l’adresse IP du serveur virtuel NetScaler Gateway est attribuée à un serveur virtuel Unified Gateway dans le cadre de la migration vers Unified Gateway, les données restent liées au serveur virtuel NetScaler Gateway
  • Si une adresse IP distincte est attribuée au serveur virtuel Unified Gateway, les données AppFlow du serveur virtuel NetScaler Gateway sont liées à cette nouvelle adresse IP. Par conséquent, les données existantes ne font pas partie des nouvelles données.
FAQ sur Unified Gateway
March 27, 2024
Contributeur: 
C
March 27, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.