Gateway

为访问场景备用创建策略

要配置 Citrix Gateway 以进行访问方案回退,您需要通过以下方式创建策略和组:

  • 创建一个隔离组,如果端点分析扫描失败,用户将被放置在该组中。
  • 创建在端点分析扫描失败时使用的全局 Web Interface 或 StoreFront 设置。
  • 创建覆盖全局设置的会话策略,然后将会话策略绑定到组。
  • 创建在端点分析失败时应用的全局客户端安全策略。

配置访问场景后备时,请遵循以下准则:

  • 要使用客户端选择或访问方案回退,所有用户都需要使用 Endpoint Analysis 插件。如果端点分析无法运行,或者用户在扫描期间选择了跳过扫描,则拒绝用户访问。 注意:Citrix Gateway 10.1 版本 120.1316.e 中删除了跳过扫描的选项。
  • 启用客户端选项后,如果用户设备未能通过端点分析扫描,用户将被置于隔离组中。用户可以继续使用 Citrix Gateway 插件或 Citrix Receiver 登录到 Web Interface 或 StoreFront。 注意:如果启用客户端选项,Citrix 建议您不要创建隔离组。端点分析扫描失败并被隔离的用户设备的处理方式与通过端点扫描的用户设备相同。
  • 如果端点分析扫描失败并将用户置于隔离组中,则绑定到隔离组的策略只有在没有直接绑定到该用户且优先级编号与绑定到隔离组的策略相同或低的策略时,绑定到隔离组的策略才有效。
  • 您可以为访问界面和 Web Interface 或 StoreFront 使用不同的 Web 地址。配置主页时,访问界面主页优先于 Citrix Gateway 插件,Web Interface 主页优先于 Web Interface 用户。StoreFront 的 Receiver 主页优先。

创建隔离组

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 用户管理,然后单击 AAA 组。
  2. 在详细信息窗格中,单击“Add”(添加)。
  3. 在“组名”中,键入组的名称,单击“创建”,然后单击“关闭”。 重要:隔离组的名称不得与用户可能所属的任何域组的名称相匹配。如果隔离组与 Active Directory 组名称匹配,则即使用户设备通过了端点分析安全扫描,也会隔离用户。

创建组后,将 Citrix Gateway 配置为在用户设备无法通过端点分析扫描时回退到 Web Interface 。

配置隔离用户连接的设置

  1. 在配置实用程序的“Configuration”(配置)选项卡的导航窗格中,展开“Citrix Gateway”,然后单击“Global Settings”(全局设置)。
  2. 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
  3. 在“全局 Citrix Gateway 设置”对话框中,在“已发布的应用程序”选项卡上的 ICA 代理旁边,选择“关”。
  4. 在 Web Interface 地址旁边,键入 StoreFront 或 Web Interface 的 Web 地址。
  5. 在“单点登录域”旁边,键入您的 Active Directory 域的名称,然后单击“确定”。

配置全局设置后,创建覆盖全局 ICA 代理设置的会话策略,然后将会话策略绑定到隔离组。

为访问方案回退创建会话策略

  1. 在配置实用程序的配置选项卡的导航窗格中,展开 Citrix Gateway > 策略 ,然后单击会话。
  2. 在详细信息窗格中,单击“Add”(添加)。
  3. 在名称中,键入策略的名称。
  4. 在“请求配置文件”旁边,单击“新建”。
  5. 在“已发布的应用程序”选项卡上,在 ICA 代理旁边,单击“覆盖全局”,选择“打开”,然后单击“创建”。
  6. 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。

创建会话策略后,将策略绑定到隔离组。

将会话策略绑定到隔离组

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 Citrix Gateway > 用户管理,然后单击 AAA 组。
  2. 在详细信息窗格中,选择一个组,然后单击“打开”。
  3. 单击会话。
  4. 在“策略”选项卡上,选择“会话”,然后单击“插入策略”。
  5. 在策略名称下,选择策略,然后单击确定。

在 Citrix Gateway 上创建启用 Web Interface 或 StoreFront 的会话策略和配置文件后,创建全局客户端安全策略。

创建全局客户端安全策略

  1. 在配置实用程序的“Configuration”(配置)选项卡的导航窗格中,展开“Citrix Gateway”,然后单击“Global Settings”(全局设置)。
  2. 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
  3. 在“安全”选项卡上,单击“高级设置”。
  4. 在 客户端安全中,输入表达式。有关配置系统表达式的详细信息,请参阅 配置系统表达式配置复合客户端安全
  5. 在隔离组中,选择您在分组过程中配置的组,然后单击两次确定。
为访问场景备用创建策略