始终启用
Citrix Gateway 的“始终开启”功能可确保用户始终连接到企业网络。这种持久的 VPN 连接是通过自动建立 VPN 通道来实现的。
注意
始终开启功能支持 Citrix ADC 12.0 Build 51.24 及更高版本的强制门户。
何时使用“始终开启”
当您需要根据用户位置提供无缝 VPN 连接并且必须阻止未连接到 VPN 的用户访问网络时,请使用“始终开启”。
以下场景说明了始终开机的用法。
- 员工在企业网络之外启动笔记本电脑,需要帮助才能建立 VPN 连接。 解决方案: 当笔记本电脑在企业网络外部启动时,Always Oon 无缝建立通道并提供 VPN 连接。
- 使用 VPN 连接的员工进入企业网络。员工已切换到企业网络,但仍保持连接到 VPN 通道,这不是理想的状态。 解决方案: 当员工进入企业网络时,Always Oon 会拆除 VPN 通道并将员工无缝切换到企业网络。
- 员工移出企业网络并关闭笔记本电脑(而不是关闭)。员工在笔记本电脑上恢复工作时需要帮助来建立 VPN 连接。 解决方案: 当员工移出企业网络时,Always On 会无缝建立通道并提供 VPN 连接。
- 企业希望在用户未连接到 VPN 通道时规范向其提供的网络访问权限。 解决方案: 根据配置,始终开启会限制访问,允许用户仅访问网关网络。
了解永远在用的框架
Always Oon 会自动将用户连接到客户端之前建立的 VPN 通道。当用户首次需要 VPN 通道时,用户必须连接到 Citrix Gateway URL 并建立通道。将 Always Oon 配置下载到客户端后,此配置将推动随后建立通道。
Citrix Gateway 客户端可执行文件始终在客户端计算机上运行。当用户登录或网络发生更改时,Citrix Gateway 客户端将确定用户笔记本电脑是否在企业网络上。根据位置和配置,Citrix Gateway 客户端要么建立通道,要么拆除现有通道。
只有在用户登录到计算机后,才会启动通道建立。Citrix Gateway 客户端使用客户端的凭据向网关服务器进行身份验证,并尝试建立通道。
自动重建通道
当 Citrix Gateway 关闭 VPN 通道时,会触发通道的自动重建。
注意
在端点分析失败时,Citrix Gateway 客户端不会重新尝试建立通道,但会显示错误消息。如果身份验证失败,Citrix Gateway 客户端会提示用户输入凭据。
支持无缝建立通道的用户验证方法
支持的用户身份验证方法如下:
- 用户名 + AD 密码:如果 Windows 用户名和密码用于身份验证,Citrix Gateway 客户端将使用这些凭据无缝地建立通道。
-
用户证书:如果使用用户证书进行身份验证并且客户端上只有一个证书,则 Citrix Secure Access 客户端将使用此证书无缝建立通道。如果安装了多个客户端证书,则在用户选择首选证书后建立通道。Citrix Secure Access 客户端将此首选证书用于以后的通道。
如果智能卡共享用户证书,则与存储中存在的证书相比,如果证书是动态安装在存储区中的,则无法实现自动登录。
- 用户证书和用户名 + AD 密码:此身份验证方法是前面描述的身份验证方法的组合。
注意
支持所有其他身份验证机制,但通道建立对于任何其他身份验证方法都不是无缝的。所有其他身份验证方法都需要用户干预。
始终开启的配置要求
企业管理员必须对受管设备强制执行以下操作:
- 用户不能结束特定配置的进程/服务
- 用户必须无法卸载软件包以进行特定配置
- 用户必须无法更改特定的注册表项
注意
如果用户具有管理权限,则该功能可能无法按预期运行,例如非托管设备。
启用始终开启功能时的注意事项
在启用始终开启功能之前,请查看以下部分。
主要网络访问:建立通道后,将根据拆分通道配置确定到企业网络的流量。没有提供其他配置来覆盖此行为。
客户端计算机的代理设置:连接到网关服务器时会忽略客户端计算机的代理设置。
注意
Citrix ADC 设备的代理配置不被忽略。只有客户端计算机的代理设置会被忽略。系统上配置了代理的用户会收到通知,说明 VPN 插件已忽略其代理设置。
当配置值设置为“拒绝”时,以下更改适用:
- 客户端 UI-插件上下文菜单和插件 UI 中的注销和退出选项已禁用。不允许用户更改网关 URL。
- 浏览器登录-不允许浏览器登录到其他网关。客户端控件已禁用。
配置始终开启
要配置始终开启,请在 Citrix Gateway 设备上创建始终在线配置文件并应用该配置文件。
要创建“始终在线”配置文件:
- 在 Citrix ADC GUI 中,导航到 配置 > Citrix Gateway > 策略 > AlwaysOn。
- 在 AlwaysOn 配置文件 页面上,单击 添加。
- 在“创建 AlwaysOn 配置文件”页面上,输入以下详细信息:
- 名称 — 配置文件的名称。
- **基于位置的 VPN(客户端注册表名称:LocationDetection)— 选择以下设置之一:
- 远程 ,使客户端能够检测其是否在企业网络中,如果不在企业网络中,则建立通道。远程是默认设置。
- 无论客户身在何处 ,都可以让客户跳过位置检测并建立通道
-
客户端控制 — 选择以下设置之一:
- 拒绝以防止用户注销并连接到另一个网关。“拒绝”是默认设置。
- 允许允许 用户注销并连接到另一个网关。
-
VPN 时的网络访问失败(客户端注册表名称:AlwaysOn) — 选择以下设置之一:
- 完全访问权限 :在通道未建立时允许网络流量进出客户端。完全访问权限是默认设置。
-
仅限于 Tor Gateway ,用于在通道未建立时防止网络流量流入或流出客户端。但是,允许进出网关 IP 地址的流量。
注意: 在“仅到网关”模式下,只有虚拟服务器、DNS 和 DHCP 流量会被解除阻止。要取消阻止其他网站、IP 地址范围或 IP 地址,必须使用分号分隔的 FQDN、IP 地址范围或 IP 地址列表来设置 AlwaysOnAllowlist 注册表。 例如,mycompany.com,mycdn.com,10.120.67.0-10.120.67.255,67.67.67.67
- 单击创建完成配置文件的创建。
要应用“始终在线”配置文件:
- 在 Citrix ADC 界面中,选择 配置 > Citrix Gateway > 全局设置。
- 在“全局设置”页面上,单击“更改全局设置”链接,然后选择“客户端体验”选项卡。
- 从 AlwaysOn 配置文件名称 下拉菜单中,选择新创建的配置文件,然后单击 确定。
注意
可以在会话配置文件中进行类似的配置,以便在组级别、服务器级别或用户级别应用策略。
关于 IIP 的说明
机器级通道使用基于证书的身份验证,创建的会话将证书的公用名作为用户名。因此,如果设备证书具有唯一的公用名,则不同计算机的会话具有不同的用户名,因此具有不同的 IIP。确保生成具有唯一名称的设备证书。理想情况下,必须使用计算机名称作为设备证书的公用名。
管理员用户和非管理员用户不同配置的行为摘要
下表总结了不同配置的行为。它还详细说明了某些用户操作的可能性,这些操作可能会影响Always On 功能。
networkAccessONVPNFailure | 客户端控制 | 非管理员用户 | 管理员用户 |
---|---|---|---|
fullaccess |
允许 | 通道会自动建立。用户可以注销并远离网络。用户还可以指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以注销并远离企业网络。用户还可以指向另一个 Citrix Gateway。 |
fullaccess |
拒绝 | 通道会自动建立。用户无法注销或指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |
onlyToGateway | 允许 | 通道会自动建立。用户可以注销(没有网络访问权限)。用户还可以指向另一个 Citrix Gateway,在这种情况下,该访问权限仅授予新指向的 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |
onlyToGateway | 拒绝 | 通道会自动建立。用户无法注销或指向另一个 Citrix Gateway。 | 通道会自动建立。用户可以卸载 Citrix Gateway 客户端或移动到另一个 Citrix Gateway。 |
“始终打开”关闭时允许选定的 URL
即使 Always ON 关闭且网络已锁定,用户也可以访问一些网站。管理员可以使用 AlwaysOnAllowlist 注册表添加您希望在 AlwaysOnAllowlist 关闭时启用访问权限的网站。
注意:
- 13.0 版本 47.x 及更高版本支持 AlwaysOnAllowlist 注册表。
- AlwaysOnAllowlist 注册表位置是 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client。
- AlwaysOnAllowlist 注册表中不支持通配符 URL/FQDN。
设置 AlwaysOnAllowlist 注册表
使用分号分隔的要允许访问的 FQDN、IP 地址范围或 IP 地址列表设置 AlwaysOnAllowlist 注册表。
示例:例如.citrix.com; 10.103.184.156; 10.102.0.0-10.102.255.100
下图显示了一个示例 AlwaysOnAllowlist 注册表。