Gateway

ステートレス RDP プロキシ

ステートレス RDP プロキシは RDP ホストにアクセスします。ユーザーが別のNetScaler Gateway認証システムで認証されると、NetScaler Gateway上のRDPListener を介してアクセスが許可されます。NetScaler Gateway 用RDPListener が必要とする情報は、STA サーバーに安全に保存されます。

ここでは、この機能用に作成されたフローと新しいノブについて説明します。

前提条件

  • ユーザーはNetScaler Gatewayオーセンティケーターで認証されます。

  • 最初の /rdpproxy URL と RDP クライアントは、別のRDPListener NetScaler Gateway に接続されています。

  • RDPListenerゲートウェイ情報は、STA サーバーを使用してオーセンティケーターゲートウェイによって安全に渡されます。

構成

  • 新しい rdpServerプロファイルを追加します 。サーバープロファイルはRDPListener ゲートウェイで設定されます。

     add rdpServer Profile [profilename] -rdpIP [IPV4 address of the RDP listener] -rdpPort [port for terminating RDP client connections] -psk [key to decrypt RDPTarget/RDPUser information, needed while using STA].
     <!--NeedCopy-->
    

    ステートレスRDPプロキシの場合、STAサーバーはRDPクライアントから送信されたSTAチケットを検証して、RDPターゲット/RDPユーザー情報を取得します。

    rdpServerプロファイルは、次のコマンドを使用して VPN 仮想サーバー上で構成されます:

     add vpn vserver v1 SSL [publicIP] [portforterminatingvpnconnections] -rdpServerProfile [rdpServer Profile]
     <!--NeedCopy-->
    

    警告 VPN 仮想サーバでrdpServerProfileをいったん設定すると、それを変更することはできません。また、同じserverProfileを別の VPN 仮想サーバーで再使用することはできません。

rdp profile コマンドは rdpClient プロファイルに名前が変更され、新しいパラメーターが追加されました 。multiMonitorSupport コマンドが追加されました。また、RDP クライアントプロファイルの一部としてサポートされていないカスタムパラメータを設定するオプションが追加されました。接続は常にセキュリティで保護されているため、clientSSL パラメータは削除されました。クライアントプロファイルは、Authenticator Gatewayで設定されます。

add rdpClient profile <name> -rdpHost <optional FQDN that will be put in the RDP file as ‘fulladdress’> \[-rdpUrlOverride \( ENABLE | DISABLE )] \[-redirectClipboard \( ENABLE | DISABLE )] \[-redirectDrives \( ENABLE | DISABLE )]

        \[-redirectPrinters \( ENABLE | DISABLE )] \[-keyboardHook <keyboardHook>] \[-audioCaptureMode \( ENABLE | DISABLE )] \[-videoPlaybackMode \( ENABLE | DISABLE )]

        \[-rdpCookieValidity <positive\_integer>]\[-multiMonitorSupport \( ENABLE | DISABLE )] \[-rdpCustomParams <string>] —rdpHost設定は、単一のゲートウェイ展開で使用されます。
  • RDP プロファイルを VPN 仮想サーバーに関連付けます。

これは、sessionAction+sessionPolicy を設定するか、グローバル vpn パラメーターを設定することで実行できます。

add vpn sessionaction <actname> -rdpClientprofile <rdpprofilename>

add vpn sessionpolicy <polname> NS_TRUE <actname>

bind vpn vserver <vservername> -policy <polname> -priority <prioritynumber>

OR

set vpn parameter –rdpClientprofile <name>

接続カウンター

使用中のアクティブな接続数の記録を保持する新しい接続カウンター ns_rdp_tot_curr_active_conn が追加されました。これは、NetScalerシェルのnsconmsgコマンドの一部として表示できます。後で、このカウンタを表示する新しい CLI コマンドを提供します。

接続フロー

RDP プロキシフローには 2 つの接続が含まれます。最初の接続は、NetScaler Gateway VIPへのユーザーのSSL VPN接続と、RDPリソースの列挙です。

2つ目の接続は、NetScaler Gateway上のRDPリスナー(rdpIPとrdpPortを使用して構成)へのネイティブRDPクライアント接続と、それに続くRDPクライアントのサーバーパケットへの安全なプロキシです。

ローカライズされた画像

  1. ユーザーはオーセンティケータゲートウェイ VIP に接続し、認証情報を入力します。

  2. Gateway へのログインに成功すると、ユーザーはアクセスできるリモートデスクトップリソースを列挙するホームページ/外部ポータルにリダイレクトされます。

  3. ユーザーが RDP リソースを選択すると、ユーザーがクリックした公開リソースを示す形式https://AGVIP/rdpproxy/ip:port/rdptargetproxyのリクエストが Authenticator Gateway VIP によって受信されます。この要求には、ユーザーが選択した RDP サーバーの IP およびポートに関する情報が含まれます。

  4. /rdpproxy/ リクエストは認証ゲートウェイによって処理されます。ユーザーは既に認証されているため、このリクエストには有効な Gateway Cookie が付属しています。

  5. RDPTarget とRDPUser の情報は STA サーバーに保存され、STA チケットが生成されます。情報は XML BLOB として格納され、設定済みの事前共有キーを使用してオプションで暗号化されます。暗号化されている場合、BLOB は base64 でエンコードされて格納されます。オーセンティケータゲートウェイは、ゲートウェイ Vserver に設定されている STA サーバの 1 つを使用します。

  6. XML BLOB は次の形式になります

    <Value name=”IPAddress”>ipaddr</Value>\n<Value name=”Port”>port</Value>\n

    <Value name=”Username”>username</Value>\n<Value name=”Password”>pwd</Value>

  7. /rdpproxy/ リクエストで取得された「rdptargetproxy」は「フルアドレス」として入力され、STA チケット (先頭に STA 認証IDが付属) が.rdp ファイルの「loadbalanceinfo」として入力されます。

  8. .rdp ファイルがクライアントエンドポイントに送り返されます。

  9. ネイティブ RDP クライアントが起動し、RDPListenerゲートウェイに接続します。STA チケットは最初の x.224 パケットで送信されます。

  10. RDPListener ゲートウェイは STA チケットを検証し、RDPTarget とRDPUser 情報を取得します。使用する STA サーバーは、ロードバランシング情報にある「AuthID」を使用して取得されます。

  11. Gateway セッションは、承認/監査ポリシーを格納するために作成されます。ユーザーのセッションがすでに存在する場合、そのセッションは再利用されます。

  12. RDPListener ゲートウェイは RDPTarget に接続し、CREDSSP を使用してシングルサインオンします。

シングル・ゲートウェイの互換性

RDP ファイルが /rdpproxy/rdptarget/rdptargetproxy URL を使用して生成されている場合は STA チケットが生成されます。それ以外の場合は、セッションを直接参照する「loadbalanceinfo」の現在の方法が使用されます。

ローカライズされた画像

単一ゲートウェイ環境の場合、/rdpproxy URL はオーセンティケータゲートウェイ自体に送られます。STA サーバーは不要です。オーセンティケータゲートウェイは、RDPTarget と AAA セッションCookie を安全にエンコードし、これを.rdp ファイルの「loadbalanceinfo」として送信します。RDP クライアントが x.224 パケットでこのトークンを送信すると、認証ゲートウェイは RDPTarget 情報をデコードし、セッションを検索して RDPTarget に接続します。

アップグレードノート

以前の設定はこの新しいリリースでは動作しません。これは、以前 vpn vserver 上で設定されていた rdPip およびrdpPortパラメータがrdpServerProfile の一部になるように更新され、「rdp Profile」の名前が「rdp ClientProfile」に変更され、古いパラメータ ClientSSL が削除されたためです。

RDP サーバープロファイルの作成

  1. [NetScaler Gateway]>[ポリシー]>[RDP]に移動します。

    ローカライズされた画像

  2. [サーバープロファイル] タブに移動し、[ 追加] をクリックします。

    ローカライズされた画像

  3. 次の情報を入力して RDP サーバープロファイルを作成します。

    ローカライズされた画像

RDP クライアントプロファイルの設定

  1. [NetScaler Gateway]>[ポリシー]>[RDP]に移動します

    ローカライズされた画像

  2. [クライアントプロファイル] タブに移動し、[ 追加] をクリックします。

    ローカライズされた画像

  3. RDP サーバープロファイルを設定するには、次の情報を入力します。

    ローカライズされた画像

仮想サーバーのセットアップ

  1. 「NetScaler Gateway」>「仮想サーバー」に移動します。

    ローカライズされた画像

  2. [ 追加 ] をクリックして新しい RDP サーバーを作成します。

    ローカライズされた画像

  3. この「基本設定」ページのデータを入力し、「 OK」をクリックします。

    ローカライズされた画像

  4. 鉛筆をクリックしてページを編集します 。

    ローカライズされた画像

ステートレス RDP プロキシ