This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
网关预安装清单
该清单包含安装 NetScaler Gateway 之前必须完成的任务和规划信息的列表。
提供了空间,以便您可以在完成每项任务并做笔记时检查每个任务。Citrix 建议您记下在安装过程中和配置 NetScaler Gateway 时需要输入的配置值。
有关安装和配置 NetScaler Gateway 的步骤,请参阅安 装 NetScaler Gateway。
用户设备
- 确保用户设备满足 Citrix Secure Access 系统要求中所述的安装必备条件
- 识别用户连接的移动设备。注意:如果用户连接到 iOS 设备,则必须在会话配置文件中启用 Secure Browse。
NetScaler Gateway 基本网络连接
Citrix 建议您在开始配置设备之前获取许可证和签名的服务器证书。
- 识别并记下 NetScaler Gateway 主机名。注意:这不是完全限定的域名 (FQDN)。FQDN 包含在绑定到虚拟服务器的签名服务器证书中。
- 从 Citrix 网站获取通用许可证
- 生成证书签名请求 (CSR) 并发送给证书颁发机构 (CA)。输入将 CSR 发送到证书颁发机构的日期。
- 记下系统 IP 地址和子网掩码。
- 记下子网 IP 地址和子网掩码。
- 写下管理员密码。NetScaler Gateway 随附的默认密码为
nsroot
。 - 记下 NetScaler Gateway 侦听安全用户连接的端口号。默认端口为 TCP 端口 443。此端口必须在不安全的网络(Internet)和 DMZ 之间的防火墙上打开。
- 记下默认网关 IP 地址。
- 记下 DNS 服务器的 IP 地址和端口号。默认端口号为 53。此外,如果要直接添加 DNS 服务器,则还必须在设备上配置 ICMP (ping)。
- 记下第一个虚拟服务器 IP 地址和主机名。
- 记下第二个虚拟服务器 IP 地址和主机名(如果适用)。
- 记下 WINS 服务器 IP 地址(如果适用)。
可通过 NetScaler Gateway 访问的内部网络
- 记下用户可以通过 NetScaler Gateway 访问的内部网络。例如:10.10.0.0/24
- 输入用户使用 Citrix Secure Access 客户端通过 NetScaler Gateway 进行连接时需要访问的所有内部网络和网段。
高可用性
如果您有两台 NetScaler Gateway 设备,则可以在高可用性配置中部署它们,其中一个 NetScaler Gateway 接受并管理连接,而另一台 NetScaler Gateway 则监视第一台设备。如果第一个 NetScaler Gateway 出于任何原因停止接受连接,则第二个 NetScaler Gateway 将接管并开始主动接受连接。
- 记下 NetScaler Gateway 软件版本号。
- 两台 NetScaler Gateway 设备上的版本号必须相同。
- 记下管理员密码 (
nsroot
)。两台设备上的密码必须相同。 - 记下主要的 NetScaler Gateway IP 地址和 ID。最大身份证号码为 64。
- 记下辅助 NetScaler Gateway IP 地址和 ID。
- 获取并在两台设备上安装通用许可证。
- 在两台设备上安装相同的通用许可证。
- 记下 RPC 节点密码。
身份验证和授权
NetScaler Gateway 支持多种不同的身份验证和授权类型,可以用不同的组合。有关身份验证和授权的详细信息,请参阅 身份验证和授权。
LDAP 身份验证
如果您的环境包含 LDAP 服务器,则可以使用 LDAP 进行身份验证。
-
记下 LDAP 服务器的 IP 地址和端口。
如果允许与 LDAP 服务器进行不安全的连接,则默认端口为 389。如果使用 SSL 加密与 LDAP 服务器的连接,则默认端口为 636。
-
记下安全类型。
您可以使用或不使用加密来配置安全性。
-
记下管理员绑定 DN。
如果 LDAP 服务器需要身份验证,请输入 NetScaler Gateway 在查询 LDAP 目录时必须使用的管理员 DN 进行身份验证。一个例子是 cn=administrator,cn=Users,dc=ace, dc=com。
-
写下管理员密码。
密码与管理员绑定 DN 关联。
-
记下基本 DN。
用户所在的 DN(或目录级别);例如,ou=users,dc=ace,dc=com。
-
记下服务器登录名属性。
输入指定用户登录名的 LDAP 目录人员对象属性。默认值为 sAMAccountName。如果您没有使用 Active Directory,则此设置的常用值为 cn 或 uid。 有关 LDAP 目录设置的详细信息,请参阅 配置 LDAP 身份验证
- 写下组属性。 输入 LDAP 目录人员对象属性,该属性指定用户所属的组。默认值为 memberOf。此属性使 NetScaler Gateway 能够识别用户所属的目录组。
- 写下子属性名称。
RADIUS 身份验证和授权
如果您的环境包含 RADIUS 服务器,则可以使用 RADIUS 进行身份验证。 RADIUS 身份验证包括 RSA SecurID、SafeWord 和金雅拓 Protiva 产品。
- 记下主 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
- 记下主 RADIUS 服务器密钥(共享机密)。
- 记下辅助 RADIUS 服务器 IP 地址和端口。默认端口是 1812。
- 记下辅助 RADIUS 服务器密钥(共享机密)。
- 记下密码编码的类型(PAP、CHAP、MS-CHAP v1、MSCHAP v2)。
SAML 身份验证
安全断言标记语言 (SAML) 是一种基于 XML 的标准,用于在身份提供商 (IdP) 和服务提供商之间交换身份验证和授权。
- 获取并在 NetScaler Gateway 上安装安全的 IdP 证书。
- 写下重定向 URL。
- 写下用户字段。
- 写下签名证书名称。
- 写下 SAML 发行者的名称。
- 记下默认的身份验证组。
通过防火墙打开端口(单跳 DMZ)
如果您的组织使用单个 DMZ 保护内部网络,并且在 DMZ 中部署 NetScaler Gateway,请通过防火墙打开以下端口。如果要在双跃点 DMZ 部署中安装两台 NetScaler Gateway 设备,请参阅在 防火墙上打开适当的端口。
在不安全的网络和 DMZ 之间的防火墙上
- 在互联网和 NetScaler Gateway 之间的防火墙上打开一个 TCP/SSL 端口(默认为 443)。用户设备通过此端口连接到 NetScaler Gateway。
在安全网络之间的防火墙上
- 在 DMZ 和安全网络之间的防火墙上打开一个或多个适当的端口。NetScaler Gateway 通过这些端口连接到一个或多个身份验证服务器或在安全网络中运行 Citrix Virtual Apps and Desktops 的计算机。
-
记下身份验证端口。
仅打开适合 NetScaler Gateway 配置的端口。
- 对于 LDAP 连接,默认值为 TCP 端口 389。
- 对于 RADIUS 连接,默认值为 UDP 端口 1812。记下 Citrix Virtual Apps and Desktops 端口。
- 如果要将 NetScaler Gateway 与 Citrix Virtual Apps and Desktops 结合使用,请打开 TCP 端口 1494。如果启用会话可靠性,请打开 TCP 端口 2598 而不是 1494。Citrix 建议将这两个端口都保持打开状态。
Citrix Virtual Desktops、Citrix Virtual Apps、Web Interface 或 StoreFront
如果要部署 NetScaler Gateway 以通过 Web Interface 或 StoreFront 提供对 Citrix Virtual Apps and Desktops 的访问权限,请完成以下任务。此部署不需要 Citrix Secure Access 客户端。用户仅使用 Web 浏览器和 Citrix Receiver 通过 NetScaler Gateway 访问已发布的应用程序和桌面。
- 记下运行 Web Interface 或 StoreFront 的服务器的 FQDN 或 IP 地址。
- 记下运行 Secure Ticket Authority (STA) 的服务器的 FQDN 或 IP 地址(仅适用于 Web Interface)。
Citrix Endpoint Management
如果在内部网络中部署 Citrix Endpoint Management,请完成以下任务。如果用户从外部网络(例如 Internet)连接到 Endpoint Management,则用户必须先连接到 NetScaler Gateway,然后才能访问移动、Web 和 SaaS 应用程序。
- 记下 Endpoint Management 的 FQDN 或 IP 地址。
- 识别用户可以访问的 Web、SaaS 和移动 iOS 或 Android 应用程序。
使用 Citrix Virtual Apps 进行双跃点 DMZ 部署
如果要在双跃点 DMZ 配置中部署两台 NetScaler Gateway 设备以支持访问运行 Citrix Virtual Apps 的服务器,请完成以下任务。
第一个 DMZ 中的 NetScaler Gateway
第一个 DMZ 是位于内部网络最外边缘(最靠近 Internet 或不安全的网络)的 DMZ。客户端通过隔离互联网和 DMZ 的防火墙在第一个 DMZ 中连接到 NetScaler Gateway。在第一个 DMZ 中安装 NetScaler Gateway 之前,请先收集此信息。
-
为此 NetScaler Gateway 完成此清单的 NetScaler Gateway 基本网络连接部分中的项目。
完成这些项目后,接口 0 将此 NetScaler Gateway 连接到互联网,接口 1 将此 NetScaler Gateway 连接到第二个 DMZ 中的 NetScaler Gateway。
-
在主设备上配置第二个 DMZ 装置信息。
要将 NetScaler Gateway 配置为双跃点 DMZ 中的第一个跃点,必须在第一个 DMZ 的设备上的第二个 DMZ 中指定 NetScaler Gateway 的主机名或 IP 地址。在第一个跃点中指定何时在设备上配置 NetScaler Gateway 代理后,请将其全局绑定到 NetScaler Gateway 或虚拟服务器。
-
记下设备之间的连接协议和端口。
要将 NetScaler Gateway 配置为双 DMZ 中的第一个跃点,必须指定连接协议和第二个 DMZ 中 NetScaler Gateway 侦听连接的端口。连接协议和端口是带 SSL 的 SOCKS(默认端口 443)。协议和端口必须通过分隔第一个 DMZ 和第二个 DMZ 的防火墙打开。
第二个 DMZ 中的 NetScaler Gateway
第二个 DMZ 是离内部安全网络最近的 DMZ。部署在第二个 DMZ 中的 NetScaler Gateway 充当 ICA 流量的代理,在外部用户设备和内部网络上的服务器之间穿越第二个 DMZ。
-
为此 NetScaler Gateway 完成此清单的 NetScaler Gateway 基本网络连接部分中的任务。
完成这些项目后,接口 0 会在第一个 DMZ 中将此 NetScaler Gateway 连接到 NetScaler Gateway。接口 1 将此 NetScaler Gateway 连接到安全网络。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.