始终启用
Citrix Gateway 的“始终开启”功能可确保用户始终连接到企业网络。这种持久的 VPN 连接是通过自动建立 VPN 通道来实现的。
注意
始终开启功能支持 Citrix ADC 12.0 Build 51.24 及更高版本的强制门户。
何时使用“始终开启”
当您需要根据用户位置提供无缝 VPN 连接并且必须阻止未连接到 VPN 的用户访问网络时,请使用“始终开启”。
以下场景说明了始终开机的用法。
- 员工在企业网络之外启动笔记本电脑,需要帮助才能建立 VPN 连接。 解决方案: 当笔记本电脑在企业网络外部启动时,Always Oon 无缝建立通道并提供 VPN 连接。
- 使用 VPN 连接的员工进入企业网络。员工已切换到企业网络,但仍保持连接到 VPN 通道,这不是理想的状态。 解决方案: 当员工进入企业网络时,Always Oon 会拆除 VPN 通道并将员工无缝切换到企业网络。
- 员工移出企业网络并关闭笔记本电脑(而不是关闭)。员工在笔记本电脑上恢复工作时需要帮助来建立 VPN 连接。 解决方案: 当员工移出企业网络时,Always On 会无缝建立通道并提供 VPN 连接。
- 企业希望在用户未连接到 VPN 通道时规范向其提供的网络访问权限。 解决方案: 根据配置,始终开启会限制访问,允许用户仅访问网关网络。
了解永远在用的框架
Always Oon 会自动将用户连接到客户端之前建立的 VPN 通道。当用户首次需要 VPN 通道时,用户必须连接到 Citrix Gateway URL 并建立通道。将 Always Oon 配置下载到客户端后,此配置将推动随后建立通道。
Citrix Gateway 客户端可执行文件始终在客户端计算机上运行。当用户登录或网络发生更改时,Citrix Gateway 客户端将确定用户笔记本电脑是否在企业网络上。根据位置和配置,Citrix Gateway 客户端要么建立通道,要么拆除现有通道。
只有在用户登录到计算机后,才会启动通道建立。Citrix Gateway 客户端使用客户端的凭据向网关服务器进行身份验证,并尝试建立通道。
自动重建通道
当 Citrix Gateway 关闭 VPN 通道时,会触发通道的自动重建。
注意
在端点分析失败时,Citrix Gateway 客户端不会重新尝试建立通道,但会显示错误消息。如果身份验证失败,Citrix Gateway 客户端会提示用户输入凭据。
支持无缝建立通道的用户验证方法
支持的用户身份验证方法如下:
- 用户名 + AD 密码:如果 Windows 用户名和密码用于身份验证,Citrix Gateway 客户端将使用这些凭据无缝地建立通道。
- 用户证书:如果用户证书用于身份验证,并且计算机上只有一个证书,Citrix Gateway 客户端将使用此证书无缝建立通道。如果安装了多个客户端证书,则在用户选择首选证书后建立通道。Citrix Gateway 客户端将此首选项用于下一次建立的通道。
- 用户证书和用户名 + AD 密码:此身份验证方法是前面描述的身份验证方法的组合。
注意
支持所有其他身份验证机制,但通道建立对于任何其他身份验证方法都不是无缝的。所有其他身份验证方法都需要用户干预。
始终开启的配置要求
企业管理员必须对受管设备强制执行以下操作:
- 用户不能结束特定配置的进程/服务
- 用户必须无法卸载软件包以进行特定配置
- 用户必须无法更改特定的注册表项
注意
如果用户具有管理权限,则该功能可能无法按预期运行,例如非托管设备。
启用始终开启功能时的注意事项
在启用始终开启功能之前,请查看以下部分。
主要网络访问:建立通道后,将根据拆分通道配置确定到企业网络的流量。未提供其他配置来覆盖此行为。
客户端计算机的代理设置:连接到网关服务器时会忽略客户端计算机的代理设置。
注意
Citrix ADC 设备的代理配置不会被忽略。只有客户端计算机的代理设置会被忽略。系统上配置了代理的用户会收到通知,说明 VPN 插件已忽略其代理设置。
当配置值设置为“拒绝”时,以下更改适用:
- 客户端 UI-插件上下文菜单和插件 UI 中的注销和退出选项已禁用。不允许用户更改网关 URL。
- 浏览器登录-不允许浏览器登录到其他网关。客户端控件已禁用。
配置始终开启
要配置始终开启,请在 Citrix Gateway 设备上创建始终在线配置文件并应用该配置文件。
要创建“始终在线”配置文件:
- 在 Citrix ADC GUI 中,导航到 配置 > Citrix Gateway > 策略 > AlwaysOn。
- 在 AlwaysOn 配置文件页面上,单击“添加”。
- 在“创建 AlwaysOn 配置文件”页上,输入以下详细信息:
- 名称 — 配置文件的名称。
-
基于位置的 VPN— 选择以下设置之一:
- 远程 使客户端能够检测其是否在企业网络中,如果不在企业网络中,则建立通道。此为默认设置。
- 无处不在 ,无论客户身在何处,都可以让客户跳过位置检测并建立通道
-
客户端控制 — 选择以下设置之一:
- 拒绝以防止用户注销并连接到另一个网关。此为默认设置。
- 允许 用户注销并连接到另一个网关。
-
VPN 失败时访问网络 -选择以下设置之一:
- 完全访问权限 :在通道未建立时允许网络流量进出客户端。此为默认设置。
- 仅限于 Tor Gateway ,用于在通道未建立时防止网络流量流入或流出客户端。但是,允许进出网关 IP 地址的流量。
- 单击创建完成配置文件的创建。
要应用“始终在线”配置文件:
- 在 Citrix ADC 界面中,选择 配置 > Citrix Gateway > 全局设置。
- 在“全局设置”页面上,单击“更改全局设置”链接,然后选择“客户端体验”选项卡。
- 从 AlwaysOn 配置文件名称 下拉菜单中,选择新创建的配置文件,然后单击 确定。
注意
可以在会话配置文件中进行类似的配置,以便在组级别、服务器级别或用户级别应用策略。
关于 IIP 的说明
计算机级通道使用基于证书的身份验证,并且创建的会话将证书的公用名称作为用户名。因此,如果设备证书具有唯一的通用名称,则不同计算机的会话具有不同的用户名,因此 IIP 也不同。确保生成具有唯一名称的设备证书。理想情况下,必须使用计算机名作为设备证书的通用名称。
管理员用户和非管理员用户不同配置的行为摘要
下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响Always On 功能。
| networkAccessONVPNFailure | 客户端控制 | 非管理员用户 | 管理员用户 |
|---|---|---|---|
fullaccess |
允许 | 通道会自动建立。用户可以注销并远离网络。用户还可以指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以注销并远离企业网络。用户还可以指向另一个 Citrix Gateway。 |
fullaccess |
拒绝 | 通道会自动建立。用户无法注销或指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |
| onlyToGateway | 允许 | 通道会自动建立。用户可以注销(没有网络访问权限)。用户还可以指向另一个 Citrix Gateway,在这种情况下,该访问权限仅授予新指向的 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |
| onlyToGateway | 拒绝 | 通道会自动建立。用户无法注销或指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |