为 StoreFront 配置 Citrix Gateway 会话策略
本文介绍如何使用 Citrix Workspace 应用程序或 Web 浏览器的用户使用 StoreFront 配置仅 Citrix Gateway 域身份验证。
最低要求
-
Citrix StoreFront 2.x 或 3.0
-
Citrix ADC 10.5 及更高版本
-
适用于 Windows 的 Citrix Workspace 应用程序 4.x
-
适用于 Mac 的 Citrix Workspace 应用程序 11.8
-
Web 浏览器(适用于 Web 的 Citrix Workspace 应用程序)
-
在 Citrix ADC 设备上配置的身份验证,如 CTX108876 中所述-如何在 Citrix ADC 设备上配置 LDAP 身份验证
-
为 StoreFront 服务器和 Citrix Gateway 配置的 SSL 证书。有关以下主题的详细信息,请参阅 StoreFront 文档。
- 为 StoreFront 2.6 进行安装和设置
-
Windows 2012 服务器证书
-
向站点添加 SSL 绑定
-
安装和管理 Citrix ADC 设备的证书 10.5
-
使用 StoreFront 配置 Citrix Gateway
为基于 Web 浏览器的访问创建会话策略
-
导航到 Citrix Gateway > 策略 > 会话。
-
在会话策略选项卡中,单击添加。
-
在 名称中,键入会话策略的名称。例如,Web_Browser_Policy。
-
在 配置文件中,单击 添加。此时将出现“创建 Citrix Gateway 会话策略”页面。
-
更新必填字段,然后单击“创建”。
-
在 Citrix Gateway 会话策略和配置文件页面上,选择会话策略。
-
要添加会话配置文件,请转到“配置文件”字段,然后单击“添加”。将出现“创建 Citrix Gateway 会话配置文件”页面。
为会话配置文件指定名称。您可以选中所有选项卡下的“覆盖全局”复选框,以覆盖从全局 Citrix Gateway 参数继承的值。 以下配置示例描述了必填参数:
-
在“网络配置”选项卡中,配置以下设置:
-
终止连接:指定 Citrix Gateway 是否必须断开用户登录 Citrix Gateway 之前存在的连接,并在用户连接且禁用拆分通道时防止传入连接。
-
-
在“客户体验”选项卡中,配置以下设置:
-
拆分通道:仅为 Citrix Gateway 中定义的内联网应用程序传输流量。将所有其他流量直接路由到互联网。
-
无客户端访问:设置为“允许”时,无需安装 Citrix Secure Access 客户端即可访问应用程序。
-
无客户端访问 URL 编码:启用无客户端访问后,您可以对内部 Web 应用程序的地址进行编码或将地址保留为纯文本。
-
无客户端访问永久性 Cookie:将其设置为“允许”以在无客户端访问模式下查看永久 cookie 的状态。永久性 Cookie 会保留在用户设备上,并随每个 HTTP 请求一起发送。
-
高级无客户端 VPN 模式:启用或禁用高级无客户端 VPN 模式。使用高级无客户端模式时,STRICT 选项会阻止经典的无客户端 VPN 模式。
-
插件类型:允许使用单个 IP 地址和子网掩码或使用一系列 IP 地址访问网络资源。禁用后,Citrix Gateway 会将模式设置为代理,在该模式中,您可以配置源和目标 IP 地址以及端口号。
-
Web 应用程序的单点登录:启用此选项可为会话设置单点登录 (SSO)。当用户访问服务器时,用户的登录凭据会被重定向到服务器进行身份验证。
-
凭据索引:指定要使用主身份验证还是二级身份验证凭据对服务器进行单点登录。
-
使用 Windows 进行单点登录:启用或禁用会话的 Windows 自动登录。如果在启用此设置后建立 VPN 会话,则用户将在系统重新启动后使用 Windows 凭据自动登录。
-
客户端清理提示:如果您希望 Citrix Gateway 在客户端启动的会话关闭时提示您进行客户端缓存清理,请设置此选项。
-
-
在“安全”选项卡中,配置以下设置:
- 默认授权操作:将其设置为“允许”以使用户能够从 iOS 和 Android 移动设备连接到网络资源。用户无需建立完整的 VPN 通道即可访问安全网络中的资源。
-
在“已发布的应用程序”选项卡中,启用以下设置:
-
ICA 代理:设置为开。
-
Web 接口地址:StoreFront 服务器的 FQDN,然后是 Web 应用商店的路径。
-
网络接口类型:网络接口的类型 (IPv4/v6)。
-
单点登录域:该域的 NetBIOS 名称。
-
-
单击创建。
-
添加表达式。
- 单击高级策略,然后单击表达式编辑器。
- 在 表达式编辑器中,选择 HTTP > REQ > HEAD ER,然后键入参数,例如
**CitrixReceiver**。例如,
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver").NOTCitrix ADC 需要此策略来区分基于网络浏览器的连接和基于 Citrix Workspace 应用程序的连接。此策略适用于基于 Web 浏览器的连接。
为适用于 Windows 或 Mac 的 Citrix Workspace 应用程序以及 Citrix Gateway 上的移动设备创建会话策略
-
导航到 Citrix Gateway > 策略 > 会话。
-
在“会 话策略”字段中,单击“添加”。
-
在名 称 字段中,键入会话策略的名称。例如,Receiver_Policy。
-
在 配置 Citrix Gateway 会话配置文件窗口中键入新会话配置文 件的名称。
-
在“客户端体验”选项卡中,启用以下设置:
-
主页:设置为 无
-
拆分通道:设置为 OFF
-
无客户端访问:设置为“开”
-
单点登录 Web 应用程序:选中复选框
-
插件类型:设置为 Java
-
-
在 安 全选项卡中,将 默认授权操作 设置为 允许。
-
在“已发布的应用程序”选项卡中,启用以下设置:
-
ICA 代理:设置为开。
-
Web Interface 地址: StoreFront 服务器的 FQDN,后跟应用商店的路径
-
单点登录域:域 的 NetBIOS 名称
-
帐户服务地址:输入帐户服务地址。最后一个反斜杠很重要。例如,
https://accounts.example.com/Citrix/Roaming/Accounts
-
-
单击创建。
-
如果您使用的是经典策略表达式,请在表达 式 字段中添加以下信息,然后单击 创建。
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver -
如果您使用的是高级策略表达式,请在“表达 式”字段中添加以下信息,然后单击“创建”。
HTTP.REQ.HEADER("User-Agent").CONTAINS("CitrixReceiver")Citrix ADC 需要此策略来区分基于网络浏览器的连接和基于 Citrix Workspace 应用程序的连接。此策略适用于基于 Citrix Workspace 应用程序的连接。
在 Citrix ADC 设备上配置身份验证
有关在 Citrix ADC 设备上配置 LDAP 身份验证的信息,请参阅 配置 LDAP 身份验证。
创建 Citrix Gateway 虚拟服务器并绑定会话策略
-
导航到 Citrix Gateway > 虚拟服务器 ,然后单击 添加 以添加新的虚拟服务器。
-
创建虚拟服务器后,根据贵公司的要求将特定会话策略绑定到虚拟服务器。
为 StoreFront 配置身份验
-
从 StoreFront 上的 Citrix Gateway 启用直通身份验证。有关详细信息,请参阅配置身份验证服务。
StoreFront 必须信任身份验证回调服务的 Citrix Gateway 虚拟服务器绑定证书(根证书和/或中间证书)的颁发者。
-
将 Citrix Gateway 添加到 StoreFront。有关详细信息,请参阅 添加 Citrix Gateway 连接。
网关 URL 必须与用户在 Web 浏览器地址栏中键入的内容完全匹配。
-
在 StoreFront 应用商店中启用远程访问。有关更多信息,请参阅 管理通过 Citrix Gateway 对商店的远程访问。