使用 NetScaler Gateway 配置无客户端 VPN 访问
无客户端访问允许用户获得所需的访问权限,无需他们安装用户软件,例如 Citrix Secure Access 客户端或 Receiver。用户可以使用其 Web 浏览器连接到 Web 应用程序,例如 Outlook Web Access。
您可以使用以下步骤配置无客户端访问:
- 全局或使用绑定到用户、组或虚拟服务器的会话策略启用无客户端访问。
- 选择 Web 地址编码方法。
要仅对特定虚拟服务器启用无客户端访问,请在全局范围内禁用无客户端访问,然后创建会话策略以启用它。
如果使用 NetScaler Gateway 向导配置设备,则可以选择在向导中配置无客户端访问。向导中的设置将全局应用。在 NetScaler Gateway 向导中,您可以配置以下客户端连接方法:
- Citrix Secure Access 客户端。用户只能使用 Citrix Secure Access 客户端登录。
- 使用 Citrix Secure Access 客户端,允许访问场景回退。用户使用 Citrix Secure Access 客户端登录 NetScaler Gateway。如果用户设备未能通过端点分析扫描,则允许用户使用无客户端访问登录。发生这种情况时,用户对网络资源的访问权限有限。
- 允许用户使用 Web 浏览器和无客户端访问登录。用户只能使用无客户端访问登录,并获得对网络资源的有限访问权限。
无客户端 VPN 访问策略的工作原理
可以通过创建策略配置对 Web 应用程序的无客户端访问。您可以在配置实用程序中配置无客户端访问策略的设置。无客户端访问策略由规则和配置文件组成。您可以使用 NetScaler Gateway 随附的预配置的无客户端访问策略。您还可以创建自己的自定义无客户端访问策略。
NetScaler Gateway 为以下内容提供了预配置的策略:
- Outlook Web 访问和 Outlook Web 应用程序
- SharePoint 2007
- 所有其他 Web 应用程序
注意:
只有使用高级无客户端访问才能支持 OWA 2016 和 SharePoint 2016。
请记住预配置的无客户端访问策略的以下特征:
- 它们是自动配置的,无法更改。
- 每个策略都在全球范围内受到约束。
- 除非您在全局或通过创建会话策略启用无客户端访问,否则不会强制执行每个策略。
- 即使未启用无客户端访问,也无法删除或修改全局绑定。
对其他 Web 应用程序的支持取决于您在 NetScaler Gateway 上配置的重写策略。Citrix 建议测试您创建的所有自定义策略,以确保成功重写应用程序的所有组件。
如果您允许来自 Receiver for Android、适用于 iOS 的 Receiver 或 Citrix Secure Hub 的连接,则必须启用无客户端访问。对于在 iOS 设备上运行的 Citrix Secure Hub,还必须在会话配置文件中启用 Secure Browse。Secure Browse 和无客户端访问协同工作,允许来自 iOS 设备的连接。如果用户未连接 iOS 设备,则不必启用 Secure Browse。
快速配置向导可为移动设备配置正确的无客户端访问策略和设置。Citrix 建议运行快速配置向导,为与 StoreFront 和 Citrix Endpoint Management 的连接配置正确的策略。
您可以将自定义无客户端访问策略全局绑定或绑定到虚拟服务器。如果要将无客户端访问策略绑定到虚拟服务器,则需要创建自定义策略,然后将其绑定。要对全局或虚拟服务器实施不同的无客户端访问策略,请更改自定义策略的优先级编号,使其编号低于预配置的策略,从而使自定义策略的优先级更高。如果没有其他无客户端访问策略绑定到虚拟服务器,则优先使用预配置的全局策略。
注意:
您不能更改预配置的无客户端访问策略的优先级编号。
启用无客户端 VPN 访问
在全局级别启用无客户端访问时,所有用户都会收到无客户端访问的设置。您可以使用 NetScaler Gateway 向导、全局策略或会话策略来启用无客户端访问。
在全局设置或会话配置文件中,无客户端访问具有以下设置:
- 开。启用无客户端访问。如果禁用客户端选择但未配置或禁用 StoreFront,则用户将使用无客户端访问进行登录。
- 关。默认情况下不启用无客户端访问。用户使用 Citrix Secure Access 客户端登录后,将启用无客户端访问。如果您禁用客户端选项,但未配置或禁用 StoreFront,则用户将使用 Citrix Secure Access 客户端登录。如果用户登录时端点分析失败,则用户会收到具有无客户端访问权限的选择页面。
- 已禁用。无客户端访问已禁用。当您选择 禁用时,用户将无法使用无客户端访问进行登录,并且无客户端访问的图标不会出现在选择页面上。
如果未使用 NetScaler Gateway 向导启用无客户端访问,则可以使用配置实用程序全局或在会话策略中启用无客户端访问。
在全局启用无客户端访问
- 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
- 在详细信息窗格的设置下,单击更改全局设置。
- 在“客户端体验”选项卡上的“无客户端访问”旁边,选择“开”, 然后单击“确定”。
使用会话策略启用无客户端访问
如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问,请在全局范围内禁用或清除无客户端访问。然后,使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。
- 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 策略 > 会话。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在名称中,键入配置文件的名称。
- 在“客户体验”选项卡上,在“无客户端 访问权限”旁边,单击“覆盖全局”,选择“打开”,然后单击“创建”。
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
- 单击“创建”,然后单击“关闭”。
创建启用无客户端访问的会话策略后,将其绑定到用户、组或虚拟服务器。
对 Web 地址进行编码
启用无客户端访问时,您可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。这些设置是:
- 晦涩难懂。这使用标准的编码机制来掩盖资源的域和协议部分。
- 清楚。该 Web 地址未经编码,用户可以看到。
- 加密。使用会话密钥对域和协议进行加密。加密 Web 地址后,同一 Web 资源的每个用户会话的 URL 都不同。如果用户将编码后的 Web 地址添加为书签,请将其保存在 Web 浏览器中然后注销,当用户登录并尝试使用书签再次连接到该 Web 地址时,他们将无法连接到该 Web 地址。 注意:如果用户在会话期间将加密的书签保存在访问界面中,则每次用户登录时书签都会起作用。
您可以全局配置此设置,也可以作为会话策略的一部分进行配置。如果将编码配置为会话策略的一部分,则可以将其绑定到用户、组或虚拟服务器。
全局配置 Web 地址编码
- 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
- 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
- 在“客户端体验”选项卡上的“无客户端访问 URL 编码”旁边,选择编码级别,然后单击“确定”。
通过创建会话策略来配置 Web 地址编码
- 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击“会话”。
- 在详细信息窗格的“策略”选项卡上,单击“添加”。
- 在名称中,键入策略的名称。
- 在“请求配置文件”旁边,单击“新建”。
- 在“Name”(名称)中,键入配置文件的名称。
- 在“客户端体验”选项卡上,在“无客户端访问 URL 编码”旁边,单击“覆盖全局”,选择编码级别,然后单击“确定”。
- 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
创建无客户端访问策略
如果要使用与默认无客户端访问策略相同的设置,但要将策略绑定到虚拟服务器,则可以复制默认策略,为策略提供新名称。您可以使用配置实用程序复制默认策略。
将新策略绑定到虚拟服务器后,可以设置策略的优先级,以便在用户登录时首先运行该策略。
使用默认设置创建无客户端访问策略
- 在配置实用程序的导航窗格中,展开 NetScaler Gateway > 策略 ,然后单击无客户端访问。
- 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
- 在名称中,键入策略的新名称,单击创建,然后单击关闭。
将无客户端访问策略绑定到虚拟服务器
创建策略后,将其绑定到虚拟服务器。
- 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“虚拟服务器”。
- 在详细信息窗格中,选择虚拟服务器,然后单击“打开”。
- 在配置 NetScaler Gateway 虚拟服务器对话框中,单击策略选项卡,然后单击无客户端。
- 单击“插入策略”,从列表中选择一个策略,然后单击“确定”。
创建和评估无客户端访问策略表达式
当您为无客户端访问创建策略时,可以为该策略创建自己的表达式。创建完表达式后,可以计算表达式的准确性。
- 在配置实用程序的导航窗格中,展开 NetScaler Gateway > 策略 ,然后单击无客户端访问。
- 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
- 在名称中,键入策略的名称。
- 在“配置文件”旁边,单击“新建”。
- 在“Name”(名称)中,键入配置文件的名称。
- 配置重写设置,然后单击创建。
- 在“创建无客户端访问策略”对话框的“表达式”下,单击“添加”。
- 在“添加表达式”对话框中,创建表达式,然后单击“确定”。
- 在“创建无客户端访问策略”对话框中,单击“评估”,如果表达式测试正确,请单击“创建”。