Gateway

常時オン

NetScaler Gateway の常時接続機能により、ユーザーは常にエンタープライズネットワークに接続できます。この永続的な VPN 接続は、VPN トンネルの自動確立によって実現されます。

常時オン機能は、NetScaler 12.0ビルド51.24以降のキャプティブポータルをサポートします。

Always On をいつ使用するのか

ユーザーの位置情報に基づいてシームレスな VPN 接続を提供し、VPN に接続していないユーザーによるネットワークアクセスを防止する必要がある場合は、Always On を使用します。  

次のシナリオは、Always On の使用方法を示しています。  

  • 従業員がエンタープライズネットワークの外部でノートパソコンを起動し、VPN 接続を確立するための支援を必要としています。 解決方法: ラップトップが企業ネットワークの外部で起動されると、Always On はシームレスにトンネルを確立し、VPN 接続を提供します。
  • VPN 接続を使用している従業員は、エンタープライズネットワークに移動します。従業員は企業ネットワークに切り替えられますが、VPN トンネルへの接続は維持されますが、これは望ましい状態ではありません。 解決方法: 従業員が企業ネットワークに移動すると、Always On は VPN トンネルを切断し、従業員をエンタープライズネットワークにシームレスに切り替えます。
  • 従業員が企業ネットワークの外に移動して、ラップトップを閉じる(シャットダウンしない)。従業員は、ノートパソコンでの作業を再開する際に VPN 接続を確立するための支援を必要としています。 解決策:従業員が企業ネットワークの外に移動しても、Always Onはシームレスにトンネルを確立し、VPN接続を提供します。
  • 企業は、VPN トンネルに接続していないときにユーザに提供されるネットワークアクセスを規制したいと考えています。 解決方法: 構成に応じて、Always On はアクセスを制限し、ユーザーはゲートウェイネットワークにのみアクセスできるようにします。

Always On フレームワークを理解する

Always On は、クライアントが以前に確立した VPN トンネルにユーザを自動的に接続します。ユーザーがVPNトンネルを初めて必要とするときは、ユーザーはNetScaler Gateway URLに接続してトンネルを確立する必要があります。Always On 設定がクライアントにダウンロードされた後、この設定によって後続のトンネルの確立が推進されます。

Citrix Secure Accessクライアントの実行ファイルは、常にクライアントマシン上で実行されています。ユーザーがログオンするか、ネットワークが変更されると、Citrix Secure Accessクライアントは、ユーザーのラップトップが企業ネットワーク上にあるかどうかを判断します。場所と構成に応じて、Citrix Secure Accessクライアントはトンネルを確立するか、既存のトンネルを解除します。

トンネルの確立は、ユーザーがコンピュータにログオンした後にのみ開始されます。Citrix Secure Accessクライアントは、クライアントマシンの資格情報を使用してゲートウェイサーバーを認証し、トンネルの確立を試みます。

トンネルの自動再確立

トンネルの自動再確立は、NetScaler Gateway によってVPNトンネルが切断されたときにトリガーされます。

エンドポイント分析が失敗すると、NetScaler Gateway クライアントはトンネルの確立を再試行しませんが、エラーメッセージを表示します。認証に失敗した場合、NetScaler Gateway クライアントはユーザーに資格情報の入力を求めます。

シームレストンネル確立でサポートされるユーザ認証方式

サポートされているユーザー認証方法は次のとおりです。

  • ユーザー名+ADパスワード:認証にWindowsのユーザー名とパスワードを使用する場合、Citrix Secure Accessクライアントはこれらの資格情報を使用してトンネルをシームレスに確立します。
  • ユーザー証明書:認証にユーザー証明書が使用され、クライアントマシンに証明書が1つしかない場合、Citrix Secure Accessクライアントはこの証明書を使用してトンネルをシームレスに確立します。複数のクライアント証明書がインストールされている場合は、ユーザが優先証明書を選択した後にトンネルが確立されます。Citrix Secure Accessクライアントは、この優先証明書を後のトンネルに使用します。

    スマートカードがユーザー証明書を共有している場合、ストアにある証明書と比較して証明書がストアに動的にインストールされていると、自動ログオンを実行できません。

  • ユーザー証明書とユーザー名+AD パスワード:この認証方法は、前述の認証方法を組み合わせたものです。

他のすべての認証メカニズムはサポートされますが、トンネルの確立は他の認証方式に対してシームレスではありません。

常時オンの構成要件

エンタープライズ管理者は、管理対象デバイスに対して次のことを強制する必要があります。

  • ユーザーは、特定の構成のプロセス/サービスを終了できないようにする必要があります。
  • 特定の構成では、ユーザーがパッケージをアンインストールできないようにする必要があります。
  • ユーザーは特定のレジストリエントリを変更できないようにする

管理対象外のデバイスの場合のように、ユーザに管理特権がある場合、この機能が期待どおりに動作しない可能性があります。

常時オン機能を有効にする際の考慮事項

Always On 機能を有効にする前に、次のセクションを確認してください。

プライマリネットワークアクセス:トンネルが確立されると、企業ネットワークへのトラフィックは分割トンネル設定に基づいて決定されます。この動作を上書きするための他の設定は提供されていません。

クライアントマシンのプロキシ設定:クライアントマシンのプロキシ設定は、ゲートウェイサーバーへの接続時に無視されます。

注:

NetScaler ADCアプライアンスのプロキシ構成は無視されません。クライアントマシンのプロキシ設定のみが無視されます。システムでプロキシが設定されているユーザには、VPN プラグインがプロキシ設定を無視したことが通知されます。

常時オンの設定

常時接続を構成するには、NetScaler Gateway アプライアンスで常時接続プロファイルを作成し、プロファイルを適用します。

Always On プロファイルを作成するには:

  1. NetScaler GUIで、[ 構成]>[NetScaler Gateway >[ポリシー]>[AlwaysOn]に移動します
  2. [AlwaysOn プロファイル] ページで、[ 追加] をクリックします。
  3. AlwaysOn プロファイルの作成」ページで、次の詳細を入力します:
    • 名前 — プロフィールの名前。
    • **ロケーションベースの VPN (クライアント側のレジストリ名:LocationDetection) — 次のいずれかの設定を選択します。
      • Remote :クライアントがエンタープライズネットワークにあるかどうかを検出し、エンタープライズネットワーク内にない場合はトンネルを確立できるようにします。リモートはデフォルト設定です。
      • クライアントの場所に関係なく、クライアントが位置検出をスキップしてトンネルを確立できるようにするあらゆる場所
    • クライアント制御 」— 次の設定のいずれかを選択します:
      • [拒否] は、ユーザーがログオフして別のゲートウェイに接続できないようにします。[拒否] は既定の設定です。
      • [許可]:ユーザーがログオフして別のゲートウェイに接続できるようにします。
    • VPN 障害時のネットワークアクセス (クライアント側のレジストリ名:alwaysOn) — 次のいずれかの設定を選択します。
      • [Full Access] は、トンネルが確立されていないときに、クライアントとの間でネットワークトラフィックが流れるようにします。[フルアクセス] が既定の設定です。
      • [ゲートウェイのみ(Only Tto Gateway )] は、トンネルが確立されていないときにネットワークトラフィックがクライアントとの間で流れるのを防ぎます。ただし、ゲートウェイ IP アドレスとの間のトラフィックは許可されます。

        注: [ ゲートウェイへのみ ] モードでは、仮想サーバ、DNS、および DHCP トラフィックのみがブロック解除されます。他の Web サイト、IP アドレス範囲、または IP アドレスのブロックを解除するには、 AlwaysOnAllowList レジストリに、FQDN、IP アドレス範囲、または IP アドレスのセミコロン区切りのリストを設定する必要があります。 例えば、mycompany.com、mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67

  4. [ 作成 ] をクリックして、プロファイルの作成を終了します。

Always On プロファイルを適用するには:

  1. NetScaler ADCインターフェイスで、[ 構成]>[NetScaler Gateway]>[グローバル設定]を選択します。
  2. [グローバル設定] ページで、[ グローバル設定の変更 ] リンクをクリックし、[ クライアントエクスペリエンス ] タブを選択します。
  3. AlwaysOn プロファイル名ドロップダウンメニューから 、新しく作成したプロファイルを選択し、 OKをクリックします。

注: セッションプロファイルでも同様の設定を行い、グループレベル、サーバレバー、またはユーザレベルでポリシーを適用できます。

IIP に関する注意事項

マシンレベルトンネルでは証明書ベースの認証が使用され、作成されるセッションには証明書の共通名がユーザー名として使用されます。そのため、デバイス証明書に一意の共通名がある場合、マシンのセッションごとにユーザー名が異なり、IIP も異なります。一意の名前を持つデバイス証明書を生成するようにしてください。デバイス証明書の共通名としてマシン名を使用するのが理想的です。

管理者ユーザーと管理者以外のユーザーの異なる設定の動作の概要

次の表は、さまざまな設定の動作をまとめたものです。また、Always On機能に影響する可能性のある特定のユーザーアクションの可能性についても詳しく説明します。

VPN でのネットワークアクセスの失敗 クライアントコントロール 管理者以外のユーザー 管理者ユーザー
fullaccess 許可 トンネルは自動的に確立されます。ユーザーはログオフし、ネットワークからオフにできます。ユーザーは別のNetScaler Gateway をポイントすることもできます。 トンネルは自動的に確立されます。ユーザはログオフし、エンタープライズネットワークから離れることができます。ユーザーは別のNetScaler Gateway をポイントすることもできます。
fullaccess 拒否 トンネルは自動的に確立されます。ユーザーがログオフしたり、別のNetScaler Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーはCitrix Secure Accessクライアントをアンインストールするか、別のNetScaler Gatewayに移動できます。
onlyToGateway 許可 トンネルは自動的に確立されます。ユーザーはログオフできます (ネットワークアクセスなし)。ユーザーは別のNetScaler Gateway をポイントすることもできます。この場合、アクセスは新しくポイントされたNetScaler Gateway にのみ与えられます。 トンネルは自動的に確立されます。ユーザーはCitrix Secure Accessクライアントをアンインストールするか、別のNetScaler Gatewayに移動できます。
onlyToGateway 拒否 トンネルは自動的に確立されます。ユーザーがログオフしたり、別のNetScaler Gateway をポイントしたりすることはできません。 トンネルは自動的に確立されます。ユーザーはCitrix Secure Accessクライアントをアンインストールするか、別のNetScaler Gatewayに移動できます。

「常時オン」がダウンしているときに選択した URL を許可する

Always On がダウンしていてネットワークがロックされている場合でも、ユーザはいくつかの Web サイトにアクセスできます。管理者は AlwaysOnAllowList レジストリを使用して、AlwaysOn がダウンしているときにアクセスを有効にする Web サイトを追加できます。

注:

  • AlwaysOnAllowList レジストリは、リリース 13.0 ビルド 47.x 以降でサポートされています。
  • AlwaysOnAllowListレジストリの場所は、Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Clientです。
  • ワイルドカード URL/FQDN は、 AlwaysOnAllowList レジストリではサポートされていません。

AlwaysOnAllowList レジストリを設定するには

AlwaysOnAllowList レジストリに、アクセスを許可する FQDN、IP アドレス範囲、または IP アドレスのセミコロン区切りのリストを設定します。

例: example.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100

次の図に、 AlwaysOnAllowList レジストリの例を示します。

`Alwaysonwhitelist-registry`

常時オン