Gateway

インストール前のチェックリスト

チェックリストは、Citrix Gateway をインストールする前に完了する必要があるタスクと計画情報の一覧で構成されています。

タスクを完了してメモを作成するときに、各タスクをチェックオフできるようにスペースが用意されています。インストールプロセス中およびCitrix Gatewayの構成中に入力する必要がある構成値をメモしておくことをお勧めします。

Citrix Gatewayのインストールと構成の手順については、Citrix Gateway のインストールを参照してください。

ユーザーデバイス

  • ユーザーデバイスが、Citrix Gateway プラグインのシステム要件で説明されているインストールの前提条件を満たしていることを確認します。
  • ユーザーが接続するモバイルデバイスを識別します。注意: ユーザーが iOS デバイスに接続する場合は、セッションプロファイルで「Secure Browse」を有効にする必要があります。

Citrix Gateway の基本的なネットワーク接続

アプライアンスの構成を開始する前に、ライセンスと署名付きサーバー証明書を取得することをお勧めします。

  • Citrix Gateway のホスト名を特定して書き留めます。: これは完全修飾ドメイン名 (FQDN) ではありません。FQDN は、仮想サーバーにバインドされている署名付きサーバー証明書に含まれています。
  • ユニバーサルライセンスをCitrixから取得します
  • 証明書署名要求(CSR)を生成し、認証局(CA)に送信します。CSR を CA に送信する日付を入力します。
  • システム IP アドレスとサブネットマスクを書き留めます。
  • サブネット IP アドレスとサブネットマスクを書き留めます。
  • 管理者パスワードを書き留めます。Citrix Gateway に付属するデフォルトのパスワードはnsrootです。
  • ポート番号を書き留めます。これは、Citrix Gateway がセキュアなユーザー接続をリッスンするポートです。デフォルトは TCP ポート 443 です。このポートは、セキュリティで保護されていないネットワーク(インターネット)と DMZ の間のファイアウォール上で開かれている必要があります。
  • デフォルト Gateway の IP アドレスを書き留めます。
  • DNS サーバの IP アドレスとポート番号を書き留めます。デフォルトのポート番号は 53 です。さらに、DNS サーバーを直接追加する場合は、アプライアンスで ICMP (ping) も構成する必要があります。
  • 最初の仮想サーバの IP アドレスとホスト名を書き留めます。
  • 2 番目の仮想サーバの IP アドレスとホスト名 (該当する場合) を書き留めます。
  • WINS サーバの IP アドレスを書き留めます (該当する場合)。

Citrix Gateway を介してアクセス可能な内部ネットワーク

  • ユーザーがCitrix Gateway 経由でアクセスできる内部ネットワークを書き留めます。例:10.10.0.0/24
  • ユーザーがCitrix Gatewayプラグインを使用してCitrix Gateway 経由で接続するときにアクセスする必要があるすべての内部ネットワークとネットワークセグメントを入力します。

高可用性

Citrix Gateway アプライアンスが2つある場合は、1つのCitrix Gatewayが接続を受け入れて管理する高可用性構成でそれらを展開し、2つ目のCitrix Gatewayが最初のアプライアンスを監視します。最初のCitrix Gateway が何らかの理由で接続の受け入れを停止すると、2番目のCitrix Gatewayが引き継ぎ、アクティブな接続の受け入れを開始します。

  • Citrix Gateway ソフトウェアのバージョン番号をメモします。
  • バージョン番号は、両方のCitrix Gateway アプライアンスで同じである必要があります。
  • 管理者パスワード(nsroot)を書き留めます。パスワードは、両方のアプライアンスで同じである必要があります。
  • プライマリCitrix Gateway のIPアドレスとIDを書き留めます。最大 ID 番号は 64 です。
  • セカンダリCitrix Gateway のIPアドレスとIDを書き留めます。
  • ユニバーサルライセンスを取得し、両方のアプライアンスにインストールします。
  • 両方のアプライアンスに同じユニバーサルライセンスをインストールする必要があります。
  • RPC ノードのパスワードを書き留めます。

認証と承認

Citrix Gateway では、さまざまな種類の認証と承認がサポートされており、さまざまな組み合わせで使用できます。認証と認可の詳細については、認証と承認を参照してください。

LDAP 認証

環境に LDAP サーバーが含まれている場合は、LDAP を使用して認証できます。

  • LDAP サーバの IP アドレスとポートを書き留めます。

    LDAP サーバへのセキュアでない接続を許可する場合、デフォルトはポート 389 です。SSL を使用して LDAP サーバーへの接続を暗号化する場合、デフォルトはポート 636 です。

  • セキュリティの種類を書き留めます。

    セキュリティは、暗号化の有無にかかわらず設定できます。

  • 管理者のバインド DN を書き留めます。

    LDAPサーバーで認証が必要な場合は、LDAPディレクトリへのクエリを実行するときにCitrix Gateway が認証に使用する管理者DNを入力します。たとえば、cn = 管理者、cn = ユーザー、dc = エース、dc = com などです。

  • 管理者パスワードを書き留めます。

    これは、管理者のバインド DN に関連付けられたパスワードです。

  • ベース DN を書き留めます。

    ユーザーを検索するDN(またはディレクトリレベル)です。たとえば、ou=users,dc=ace,dc=comです。

  • サーバーのログオン名属性を書き留めます。

    ユーザーのログオン名を指定する LDAP ディレクトリの人物オブジェクト属性を入力します。既定値は sAMAccountName です。Active Directory を使用していない場合、この設定に共通する値は cn または uid です。 LDAP ディレクトリ設定の詳細については、「LDAP認証の構成」を参照してください。

  • グループ属性を書き留めます。 ユーザーが属するグループを指定する LDAP ディレクトリ個人オブジェクト属性を入力します。デフォルトは memberOf です。この属性により、Citrix Gateway は、ユーザーが属するディレクトリグループを識別できます。
  • サブアトリビュート名を書き留めます。

RADIUS 認証および認可

環境に RADIUS サーバが含まれている場合は、認証に RADIUS を使用できます。 RADIUS認証には、RSA SecurID、セーフワード、およびゲマルトプロティバ製品が含まれます。

  • プライマリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • プライマリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • セカンダリ RADIUS サーバの IP アドレスとポートを書き留めます。デフォルトのポートは 1812 です。
  • セカンダリ RADIUS サーバシークレット(共有シークレット)を書き留めます。
  • パスワードエンコードのタイプ(PAP、CHAP、MS-CHAP v1、MSCHAP v2)を書き留めます。

SAML 認証

セキュリティーアサーションマークアップ言語 (SAML) は、ID プロバイダー (IdP) とサービスプロバイダーの間で認証と承認を交換するための XML ベースの標準です。

  • セキュアなIdP証明書を取得してCitrix Gateway にインストールします。
  • リダイレクト URL を書き留めます。
  • ユーザフィールドを書き留めます。
  • 署名証明書の名前を書き留めます。
  • SAML 発行者名を書き留めます。
  • デフォルトの認証グループを書き留めます。

ファイアウォールを介したポートのオープン(シングルホップ DMZ)

組織が単一のDMZで内部ネットワークを保護し、DMZにCitrix Gateway を展開する場合は、ファイアウォールを介して次のポートを開きます。ダブルホップDMZ展開に2つのCitrix Gatewayアプライアンスをインストールする場合は、ファイアウォールで適切なポートを開くを参照してください。

セキュリティで保護されていないネットワークと DMZ 間のファイアウォール

  • インターネットとCitrix Gateway の間のファイアウォールでTCP/SSLポート(デフォルト443)を開きます。ユーザーデバイスはこのポートでCitrix Gateway に接続します。

セキュリティで保護されたネットワーク間のファイアウォール

  • DMZ とセキュリティで保護されたネットワーク間のファイアウォールで 1 つ以上の適切なポートを開きます。Citrix Gateway は、1つ以上の認証サーバー、またはこれらのポート上の保護されたネットワーク内のCitrix Virtual Apps and Desktops を実行しているコンピューターに接続します。
  • 認証ポートを書き留めます。

    Citrix Gateway 構成に適したポートのみを開きます。

    • LDAP 接続の場合、デフォルトは TCP ポート 389 です。
    • RADIUS 接続の場合、デフォルトは UDP ポート 1812 です。Citrix Virtual Apps and Desktops のポートをメモします。
  • Citrix Virtual Apps and Desktops でCitrix Gatewayを使用している場合は、TCPポート1494を開きます。セッション画面の保持を有効にする場合は、1494 ではなく TCP ポート 2598 を開きます。これらのポートは両方とも開いたままにしておくことをお勧めします。

Citrix Virtual Desktops、Citrix Virtual Apps、Web Interface、またはStoreFront

Citrix Gateway を展開して、Web InterfaceまたはStoreFront 経由でCitrix Virtual Apps and Desktops にアクセスできるようにする場合は、以下のタスクを実行します。この展開では、Citrix Gateway プラグインは必要ありません。ユーザーは、WebブラウザーとCitrix Receiverのみを使用して、Citrix Gateway 経由で公開アプリケーションおよびデスクトップにアクセスします。

  • Web InterfaceまたはStoreFront を実行しているサーバーのFQDNまたはIPアドレスを書き留めます。
  • Secure Ticket Authority(STA)を実行しているサーバのFQDNまたはIPアドレスを書き留めます(Web Interfaceの場合のみ)。

Citrix Endpoint Management

内部ネットワークにCitrix Endpoint Management を展開する場合は、以下のタスクを実行します。ユーザーがインターネットなどの外部ネットワークからEndpoint Management に接続する場合、ユーザーはモバイル、Web、SaaSアプリケーションにアクセスする前にCitrix Gateway に接続する必要があります。

  • Endpoint Management の FQDN または IP アドレスを書き留めます。
  • ユーザーがアクセスできるウェブ、SaaS、モバイル iOS または Android アプリケーションを特定します。

Citrix Virtual Apps を使用したダブルホップDMZ展開

ダブルホップDMZ構成で2つのCitrix Gateway アプライアンスを展開して、Citrix Virtual Apps を実行しているサーバーへのアクセスをサポートする場合は、以下のタスクを実行します。

最初のDMZでのCitrix Gateway

最初の DMZ は、内部ネットワークの最も外側のエッジ (インターネットまたは安全でないネットワークに最も近い) にある DMZ です。クライアントは、DMZとインターネットを分離するファイアウォールを介して最初のDMZのCitrix Gateway に接続します。最初のDMZにCitrix Gateway をインストールする前に、この情報を収集してください。

  • このCitrix Gatewayのチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションの項目に入力します。

    これらの項目を完了すると、インターフェイス0はこのCitrix Gateway をインターネットに接続し、インターフェイス1はこのCitrix Gatewayを2番目のDMZのCitrix Gatewayに接続します。

  • プライマリアプライアンスで 2 番目の DMZ アプライアンス情報を設定します。

    ダブルホップDMZの最初のホップとしてCitrix Gateway を構成するには、最初のDMZのアプライアンス上の2番目のDMZでCitrix Gatewayのホスト名またはIPアドレスを指定する必要があります。最初のホップでアプライアンス上でCitrix Gateway プロキシーをいつ構成するかを指定したら、Citrix Gatewayにグローバルにバインドするか、仮想サーバーにバインドします。

  • アプライアンス間の接続プロトコルとポートをメモします。

    二重DMZの最初のホップとしてCitrix Gateway を構成するには、接続プロトコルと2番目のDMZのCitrix Gatewayが接続をリッスンするポートを指定する必要があります。接続プロトコルとポートは SSL を使用する SOCKS (デフォルトのポート 443) です。プロトコルとポートは、最初の DMZ と 2 番目の DMZ を分離するファイアウォールを介して開かれている必要があります。

2番目のDMZのCitrix Gateway

2 番目の DMZ は、内部のセキュアなネットワークに最も近い DMZ です。2番目のDMZに展開されたCitrix Gateway は、ICAトラフィックのプロキシとして機能し、外部ユーザーデバイスと内部ネットワーク上のサーバー間で2番目のDMZを通過します。

  • このCitrix Gateway のチェックリストの「Citrix Gatewayの基本的なネットワーク接続」セクションのタスクを完了します。

    これらの項目を完了すると、インターフェイス0がこのCitrix Gateway を最初のDMZのCitrix Gatewayに接続することに注意してください。インターフェイス1は、このCitrix Gateway をセキュリティ保護されたネットワークに接続します。