Gateway

NetScaler Gateway を使用した高度なクライアントレス VPN アクセス

クライアントレスVPNは、クライアントマシンにVPNクライアントアプリケーションを使用せずに、NetScaler Gateway を介して企業のイントラネットリソースへのリモートアクセスを提供する方法を認識します。クライアントレス VPN は、クライアント側の Web ブラウザを使用して、エンタープライズ Web アプリケーション、ポータル、およびその他のリソースへのリモートアクセスを提供します。 高度なクライアントレス VPN ソリューションにより、クライアントレス VPN に関する次の制限が排除されます。

  • 相対 URL は時々識別できません。

  • 動的に生成された相対 URL は識別できません。

高度なクライアントレス VPN は、絶対 URL とホスト名を識別し、HTTP-Respones/Web ページに存在する相対 URL を書き換えるのではなく、新しいユニークな方法でそれらを書き換えます。SharePoint では、URL の書き換えに既定のフォルダーを使用する必要がなくなり、カスタム SharePoint アクセスがサポートされます。

前提条件

次に、高度なクライアントレス VPN を設定するための前提条件を示します。

  • ワイルドカードサーバー証明書 -高度なクライアントレス VPN は独自の方法で URL を書き換えます。この一意性は、ユーザーごとのすべての URL で維持されます。たとえば、Web アプリケーションがhttps://webapp.customer.comでホストされ 、VPN 仮想サーバがhttps://vpn.customer.comでホストされている場合 、高度なクライアントレス VPN はそれをhttps://cvpneqwerty.vpn.customer.comとして書き換えます。つまり、すべての URL は VPN 仮想サーバーのサブドメインとして書き換えられます。この新しい URL では、cvpneqwertyhttps://webapp.customer.comに復号化できます。文字列cvpneqwertyは動的であるため、SSL の場合は、ワイルドカード証明書を使用して VPN 仮想サーバをバインドする必要があります。

    サーバがでホストされている場合 https://vpn.customer.com、サーバ証明書には、証明書 CN または SAN(CN=共通名、SAN= サブジェクト代替名)の一部として(vpn.customer.com および.vpn.customer.com)のエントリが必要です。この証明書をバインドするプロセスは、NetScaler Gateway でも同じです。 注: ワイルドカード証明書は、1 レベル (つまり、 ..customer.com は許可されていません)。すでにワイルドカード証明書(*.customer.com 用)を使用してhttps://vpn.customer.comをホスティングしている場合、これは高度なクライアントレス VPN では機能しません。*.vpn.customer.comで新しい証明書を取得する必要があります。

  • ワイルドカード DNS エントリ -クライアント(Web ブラウザ)は、高度なクライアントレス VPN アプリケーションの FQDN を解決する必要があります。NetScaler Gateway サーバーをセットアップするときに、vpn.customer.comを解決するためにDNSエントリを構成しておく必要があります。これにより、ブラウザは vpn.customer.com を VPN 仮想サーバーの IP アドレスに解決できます。https://cvpnqwerty.vpn.customer.comのようなURLを同じ IP (VPN) 仮想サーバーの IP アドレスに解決するには、vpn.customer.comのメインの新しいレコードを追加する必要があります。DNS サーバーでドメイン設定を見つけ、以前と同じ IP アドレスを持つ「*」の新しいホストレコードを追加します。ホストレコードを追加したら、https://cpvnanything.vpn.customer.comの正常な ping 応答を確認する必要があります。

高度なクライアントレス VPN アクセスの設定

コマンドラインインターフェイスを使用して高度なクライアントレス VPN アクセスを設定するには、コマンドプロンプトで次のように入力します。

set vpn parameter -clientlessVpnMode ON
set vpn parameter -advancedClientlessVpnMode ENABLED
<!--NeedCopy-->

セッションアクションが仮想サーバにバインドされている場合は、そのセッションアクションに対して高度なクライアントレス VPN モードオプションも有効にする必要があります。

例:

set vpn sessionaction SessionActionName -advancedclientlessvpn ENABLED
<!--NeedCopy-->

NetScaler ADC GUIを使用して高度なクライアントレスVPNアクセスを構成するには:

  1. NetScaler GUIで、[ 構成]>[Citrix NetScaler]>[グローバル設定]の順に移動します。

  2. グローバル設定」ページで、「 グローバル設定の変更」をクリックし、「 クライアントエクスペリエンス 」タブを選択します

  3. [ クライアントエクスペリエンス ] タブの [ クライアントレスアクセス ] リストで、[ オン] をクリックします。

  4. [ クライアントエクスペリエンス ] タブの [ 高度なクライアントレス VPN モード ] リストで、[ 有効] をクリックします。 **高度なクライアントレスVPNモードのリストからSTRICTを選択すると** 、Citrix ADCアプライアンスは従来のクライアントレスVPN形式のStoreFront URLにのみ応答し、他のすべての従来のクライアントレスVPN要求をブロックします。このオプションは、内部 Web リソースを配信するための、アプライアンスのより安全な設定を提供します。

注:

  • セッションアクションが仮想サーバーにバインドされている場合は、[ NetScaler Gateway セッションプロファイルの構成 ]ページの[ **クライアントエクスペリエンス]タブから、そのセッションアクションの[高度なクライアントレスVPNモード** ]オプションを有効にする必要があります。
  • [ グローバルをオーバーライド ] オプションを選択すると、グローバル設定をオーバーライドできます。
  • 高度なクライアントレス VPN 機能は、セッションレベルでも設定できます。

注意事項

高度なクライアントレス VPN は、エンタープライズ Web アプリケーションへのアクセスを提供することを目的としています。このようなアプリには、必要なすべての種類のリソース(JavaScript、CSS、画像など)に対して FQDN が 1 つしかありません。内部アプリケーションの完全な FQDN をシングルオクテット(クライアントレス VPN)にエンコードするため、サブドメインの関係が失われます。その結果、エンタープライズ WebApp を CORS で設定すると、高度なクライアントレス VPN 経由でアクセスする際に問題が発生することがあります。

NetScaler Gateway を使用した高度なクライアントレス VPN アクセス