Gateway

使用 NetScaler Gateway 配置无客户端 VPN 访问

无客户端访问允许用户获得所需的访问权限,无需他们安装用户软件,例如 Citrix Secure Access 客户端或 Receiver。用户可以使用其 Web 浏览器连接到 Web 应用程序,例如 Outlook Web Access。

您可以使用以下步骤配置无客户端访问:

  • 全局或使用绑定到用户、组或虚拟服务器的会话策略启用无客户端访问。
  • 选择 Web 地址编码方法。

要仅对特定虚拟服务器启用无客户端访问,请在全局范围内禁用无客户端访问,然后创建会话策略以启用它。

如果使用 NetScaler Gateway 向导配置设备,则可以选择在向导中配置无客户端访问。向导中的设置将全局应用。在 NetScaler Gateway 向导中,您可以配置以下客户端连接方法:

  • Citrix Secure Access 客户端。用户只能使用 Citrix Secure Access 客户端登录。
  • 使用 Citrix Secure Access 客户端,允许访问场景回退。用户使用 Citrix Secure Access 客户端登录 NetScaler Gateway。如果用户设备未能通过端点分析扫描,则允许用户使用无客户端访问登录。发生这种情况时,用户对网络资源的访问权限有限。
  • 允许用户使用 Web 浏览器和无客户端访问登录。用户只能使用无客户端访问登录,并获得对网络资源的有限访问权限。

无客户端 VPN 访问策略的工作原理

可以通过创建策略配置对 Web 应用程序的无客户端访问。您可以在配置实用程序中配置无客户端访问策略的设置。无客户端访问策略由规则和配置文件组成。您可以使用 NetScaler Gateway 随附的预配置的无客户端访问策略。您还可以创建自己的自定义无客户端访问策略。

NetScaler Gateway 为以下内容提供了预配置的策略:

  • Outlook Web 访问和 Outlook Web 应用程序
  • SharePoint 2007
  • 所有其他 Web 应用程序

注意:

只有使用高级无客户端访问才能支持 OWA 2016 和 SharePoint 2016。

请记住预配置的无客户端访问策略的以下特征:

  • 它们是自动配置的,无法更改。
  • 每个策略都在全球范围内受到约束。
  • 除非您在全局或通过创建会话策略启用无客户端访问,否则不会强制执行每个策略。
  • 即使未启用无客户端访问,也无法删除或修改全局绑定。

对其他 Web 应用程序的支持取决于您在 NetScaler Gateway 上配置的重写策略。Citrix 建议测试您创建的所有自定义策略,以确保成功重写应用程序的所有组件。

如果您允许来自 Receiver for Android、适用于 iOS 的 Receiver 或 Citrix Secure Hub 的连接,则必须启用无客户端访问。对于在 iOS 设备上运行的 Citrix Secure Hub,还必须在会话配置文件中启用 Secure Browse。Secure Browse 和无客户端访问协同工作,允许来自 iOS 设备的连接。如果用户未连接 iOS 设备,则不必启用 Secure Browse。

快速配置向导可为移动设备配置正确的无客户端访问策略和设置。Citrix 建议运行快速配置向导,为与 StoreFront 和 Citrix Endpoint Management 的连接配置正确的策略。

您可以将自定义无客户端访问策略全局绑定或绑定到虚拟服务器。如果要将无客户端访问策略绑定到虚拟服务器,则需要创建自定义策略,然后将其绑定。要对全局或虚拟服务器实施不同的无客户端访问策略,请更改自定义策略的优先级编号,使其编号低于预配置的策略,从而使自定义策略的优先级更高。如果没有其他无客户端访问策略绑定到虚拟服务器,则优先使用预配置的全局策略。

注意:

您不能更改预配置的无客户端访问策略的优先级编号。

启用无客户端 VPN 访问

在全局级别启用无客户端访问时,所有用户都会收到无客户端访问的设置。您可以使用 NetScaler Gateway 向导、全局策略或会话策略来启用无客户端访问。

在全局设置或会话配置文件中,无客户端访问具有以下设置:

  • 。启用无客户端访问。如果禁用客户端选择但未配置或禁用 StoreFront,则用户将使用无客户端访问进行登录。
  • 。默认情况下不启用无客户端访问。用户使用 Citrix Secure Access 客户端登录后,将启用无客户端访问。如果您禁用客户端选项,但未配置或禁用 StoreFront,则用户将使用 Citrix Secure Access 客户端登录。如果用户登录时端点分析失败,则用户会收到具有无客户端访问权限的选择页面。
  • 已禁用。无客户端访问已禁用。当您选择 用时,用户将无法使用无客户端访问进行登录,并且无客户端访问的图标不会出现在选择页面上。

如果未使用 NetScaler Gateway 向导启用无客户端访问,则可以使用配置实用程序全局或在会话策略中启用无客户端访问。

在全局启用无客户端访问

  1. 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
  2. 在详细信息窗格的设置下,单击更改全局设置
  3. 在“客户端体验”选项卡上的“无客户端访问”旁边,选择“开”, 然后单击“确定”。

使用会话策略启用无客户端访问

如果只希望选定的一组用户、组或虚拟服务器使用无客户端访问,请在全局范围内禁用或清除无客户端访问。然后,使用会话策略启用无客户端访问并将其绑定到用户、组或虚拟服务器。

  1. 在配置实用程序中的配置选项卡的导航窗格中,展开 NetScaler Gateway > 策略 > 会话
  2. 在详细信息窗格的“策略”选项卡上,单击“添加”。
  3. 名称中,键入策略的名称。
  4. 在“请求配置文件”旁边,单击“新建”。
  5. 名称中,键入配置文件的名称。
  6. 在“客户体验”选项卡上,在“无客户端 访问权限”旁边,单击“覆盖全局”,选择“打开”,然后单击“创建”。
  7. 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。
  8. 单击“创建”,然后单击“关闭”。

创建启用无客户端访问的会话策略后,将其绑定到用户、组或虚拟服务器。

对 Web 地址进行编码

启用无客户端访问时,您可以选择对内部 Web 应用程序的地址进行编码或将地址保留为明文。这些设置是:

  • 晦涩难懂。这使用标准的编码机制来掩盖资源的域和协议部分。
  • 清楚。该 Web 地址未经编码,用户可以看到。
  • 加密。使用会话密钥对域和协议进行加密。加密 Web 地址后,同一 Web 资源的每个用户会话的 URL 都不同。如果用户将编码后的 Web 地址添加为书签,请将其保存在 Web 浏览器中然后注销,当用户登录并尝试使用书签再次连接到该 Web 地址时,他们将无法连接到该 Web 地址。 注意:如果用户在会话期间将加密的书签保存在访问界面中,则每次用户登录时书签都会起作用。

您可以全局配置此设置,也可以作为会话策略的一部分进行配置。如果将编码配置为会话策略的一部分,则可以将其绑定到用户、组或虚拟服务器。

全局配置 Web 地址编码

  1. 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“全局设置”。
  2. 在详细信息窗格中的“Settings”(设置)下,单击“Change global settings”(更改全局设置)。
  3. 在“客户端体验”选项卡上的“无客户端访问 URL 编码”旁边,选择编码级别,然后单击“确定”。

通过创建会话策略来配置 Web 地址编码

  1. 在配置实用程序中的“配置”选项卡上的导航窗格中,展开 NetScaler Gateway > 策略,然后单击“会话”。
  2. 在详细信息窗格的“策略”选项卡上,单击“添加”。
  3. 在名称中,键入策略的名称。
  4. 在“请求配置文件”旁边,单击“新建”。
  5. 在“Name”(名称)中,键入配置文件的名称。
  6. 在“客户端体验”选项卡上,在“无客户端访问 URL 编码”旁边,单击“覆盖全局”,选择编码级别,然后单击“确定”。
  7. 在“创建会话策略”对话框中,在“命名表达式”旁边,选择“常规”,选择“True 值”,单击“添加表达式”,单击“创建”,然后单击“关闭”。

创建无客户端访问策略

如果要使用与默认无客户端访问策略相同的设置,但要将策略绑定到虚拟服务器,则可以复制默认策略,为策略提供新名称。您可以使用配置实用程序复制默认策略。

将新策略绑定到虚拟服务器后,可以设置策略的优先级,以便在用户登录时首先运行该策略。

使用默认设置创建无客户端访问策略

  1. 在配置实用程序的导航窗格中,展开 NetScaler Gateway > 策略 ,然后单击无客户端访问。
  2. 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
  3. 在名称中,键入策略的新名称,单击创建,然后单击关闭。

将无客户端访问策略绑定到虚拟服务器

创建策略后,将其绑定到虚拟服务器。

  1. 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“虚拟服务器”。
  2. 在详细信息窗格中,选择虚拟服务器,然后单击“打开”。
  3. 在配置 NetScaler Gateway 虚拟服务器对话框中,单击策略选项卡,然后单击无客户端。
  4. 单击“插入策略”,从列表中选择一个策略,然后单击“确定”。

创建和评估无客户端访问策略表达式

当您为无客户端访问创建策略时,可以为该策略创建自己的表达式。创建完表达式后,可以计算表达式的准确性。

  1. 在配置实用程序的导航窗格中,展开 NetScaler Gateway > 策略 ,然后单击无客户端访问。
  2. 在详细信息窗格的策略选项卡上,单击默认策略,然后单击添加。
  3. 在名称中,键入策略的名称。
  4. 在“配置文件”旁边,单击“新建”。
  5. 在“Name”(名称)中,键入配置文件的名称。
  6. 配置重写设置,然后单击创建。
  7. 在“创建无客户端访问策略”对话框的“表达式”下,单击“添加”。
  8. 在“添加表达式”对话框中,创建表达式,然后单击“确定”。
  9. 在“创建无客户端访问策略”对话框中,单击“评估”,如果表达式测试正确,请单击“创建”。
使用 NetScaler Gateway 配置无客户端 VPN 访问