Brunnen, una vez configurado básicamente nuestro NetScaler, vamos a implementar la función de Access Gateway que nos dará un acceso seguro a nuestras aplicaciones Citrix XenApp o escritorio XenDesktop desde el exterior a nuestros usuarios a traves de cualquier dispositivo. En este documento veremos cómo publicar un Web Interface de nuestra red interna mediante el CAG del NetScaler y accederemos vía web y vía Citrix Receiver!

Im Vorheriges Dokument ya vismos cómo configurar básicamente nuestro NetScaler, continuando sobre los mismos pasos…

Primero tendremos que dar de alta un servidor LDAP que será contra quien validará el CAG los usuarios de nuestro Directorio Activo, hierfür: “Zugangstor” > “Politik” > Authentifizierung” > “LDAP (Englisch)” > Wimper “Diener” > “Hinzufügen…”

Añadimos el nombre del servidor, indicamos su dirección IP, tipo “INSERAT”, in “Base DN (location of users)” pondremos la ruta DN de donde tenemos nuestros usuarios, será la base de nuestros usuarios, en mi caso pongo todo el arbol del dominio (‘dc=dominio, dc=eso’) y ya filtraré más adelante. In “Administrator-Bind-DN” indicamos la ruta de nuestro usuario con el que validaremos las cuentas, en mi caso será: ‘cn=UsuarioLDAP, cn=Users, dc=Domäne, dc=eso’) además de su contraseña en “Administrator Password” y la confirmamos. In “Server Logon Name Attribute”: ‘samAccountName’. In “Search filter” podremos filtrar y validar unicamente los miembros de un grupo, si no pertenecen a él no los validaremos, In meinem Fall: ‘memberOf=cn=Usuarios Portal, ou=Gruppen, ou=Tundra IT, dc=Domäne, dc=eso’. In “Group Attribute” Anzeigen: ‘memberOf’. In “Sub Attribute Name”: ‘CN’. Si queremos que los usuarios se puedan cambiar sus contraseñas, en vez de LDAP usaremos LDAPS cambiando el puerto ‘389’ por ‘636’, y en ‘Security Type’ en vez de ‘PLAINTEXT’ irá ‘SSL’ y marcamos el check ‘Allow user change password’. Fertig! “Schaffen”!

Nicht schlecht, ahora crearemos una política de autenticación para este servidor: “Zugangstor” > “Politik” > Authentifizierung” > “LDAP (Englisch)” > Wimper “Politik” > “Hinzufügen…”. Wir geben ihm einen Namen, seleccionamos el servidor que acabamos de definir y le asignamos una expresión ‘True value’. “Schaffen” Und das ist es!

El siguiente paso será configurar un perfíl de sesión desde “Zugangstor” > “Politik” > “Sitzung” > Wimper “Profile” > “Hinzufügen...”

Wir geben ihm einen Namen, am “Sicherheit” confirmamos que “Default Authoritation Action” esté en ‘ALLOW’,

Am “Veröffentlichte Anwendungen” Wir ermöglichen “ICA-Proxy” para que se comporte como un CSG, indicamos la URL del “Web Interface Address” que en este caso yo lo tengo en una máquina virtual de la red (en otros futuros documentos veremos como es muy sencillo el desplegar un WI en el propio NetScaler). Indicamos además que “Web Interface Portal Mode” en ‘NORMAL’ und in “Single Sign-on Domain” indicaremos el dominio de nuestra red para evitar que los usuarios tengan que meterlo.

Letzte, am “Kundenerfahrung” confirmaremos que “Clientloser Zugriff” esté en ‘ALLOW’ para evitar que se tenga que utilizar el cliente o plugin de Access Gateway, Und das ist es! “Schaffen”.

Nicht schlecht, ahora configuramos un perfíl de sesión desde “Zugangstor” > “Politik” > “Sitzung’ > Pestaña ‘Policies’ & ‘Add…’

Wir geben der Politik einen Namen, le asociamos el perfíl que acabamos de crear y le añadimos una expresión ‘True value’ & “Schaffen”.

Nicht schlecht, ahora vamos a crear nuestro servidor de Access Gateway, seit “Zugangstor” > “Virtuelle Server” > “Hinzufügen…”

Wir geben Ihnen einen Namen, le establecemos una dirección IP, debemos agregarle el certificado que queremos que presente, lo habremos instalado anteriormente, Also “Hinzufügen >”.

Am “Authentifizierung” le añadiremos como autenticación primaria la política que hemos creado antes.

Am “Veröffentlichte Anwendungen”, deberemos agregar los STA de nuestra red, en ‘Secure Ticket Authority’ Gedrückt “Hinzufügen…”

E introducimos los STA, que en mi caso al ser un entorno XA serán los propios servidores, si disponemos de XD serán los propios controllers, los introducimos en el formato: 'http://DIRECCIÓN_IP:PUERTO_XML/scripts/ctxsta.dll’ & “Schaffen”.

Deberemos confirmar que salen con estado ‘UP’. Si no llegamos, habría que confirmar que somos capaces de llegar con la NIP/MIP del NetScaler a las IP’s de los XenApp mediante PING + XML. A parte de 1494tcp o 2598tcp del NS a los propios XA, si tenemos ICA o HDX en modo normal o si habremos habilitado la fiabilidad de sesión. “OKAY”.

Podremos asignar la política de sesión que hemos creado anteriormente al Virtual Server de CAG (desde su pestaña “Politik” > “Sitzung”) o crear un grupo (seit “Access Groups” > “Gruppen” > “Hinzufügen…”) y asignarle esta política de sesión, esto será ideal si queremos aplicar unos perfiles a distintos tipos de usuarios, en función a qué grupos pertenezcan.

Luego confirmamos que tenemos el virtual server de Access Gateway levantado,

Y guardamos la configuración!

Necesitaremos un Web Interface instalado, donde crearemos un sitio Web, indicaremos que la autenticación se realiza “En Access Gateway”,

La URL del servicio de autenticación será la URL pública de acceso de nuestros clientes: "https://FQDN_PUBLICO/CitrixAuthService/AuthService.asmx’ (modificaremos el host para que ataque al CAG, bueno así lo suelo hacer).

Außerdem, una vez creado el sitio, configuraremos el “Acceso Seguro”,

Indicando ‘Directa con Gateway’ bien para todas las redes o bien excluyendo el rango IP de la LAN,

Y por último indicaremos el nombre de conexión externa, habilitaremos fiabilidad de sesiones si es necesario.
Permitiendo conexiones de dispositivos móviles tipo iPad, Mit dem iPhone (Englisch…

Deberemos crear un perfil de sesión idéntico a como lo hicimos con la parte web, pero ahora cambiaremos el “Web Interface Address” a la ruta del fichero XML de nuestro sitio de servicios: “HTTP (Englisch)://DIRECCIÓN_IP_WI/Citrix/PNAgent/config.xml”

Crearemos además la política y asociamos su perfíl, añadiremos la siguiente expresión: ‘REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver’ para leer la cabecera de la conexión, y si viene desde un Citrix Receiver le mandaremos a dicho sitio!

Y añadimos por último esta política en el virtual server del CAG, am “Politik” > “Sitzung”, la añadimos con menos prioridad que la del acceso normal al portal web.