Si en vez de usar usar usuaris locals amb Citrix Access Gateway lo que queremos es aprovechar nuestro Directorio Activo de Windows, nuestros usuaris del domini para validarnos a la hora de connectarnos des del exterior, hem d'instal·lar en un servidor de la nostra red el servei de IAS (Servicio de autenticación de Internet), configurarlo e indicar en el CAG que sea así. Ojo si el CAG està en la DMZ necessitem mapear els ports de RADIUS al servidor IAS, que son el 1812 i el 1813, tcp ambos.

Bo, el primer de tot en un servidor de la nostra red es install el servei de IAS, per a això, l'instal·lem desde “Panell de Control” > “Agregar o treure programes” > “Agregar o quitar components de Windows” > polsem sobre “Servicios de red” i després en el botó de “Detalls…” para poder seleccionar el componente “Servicio de autenticación de Internet”, lo marcàvem i acceptàvem tot per instal·lar-lo.

Un cop instal·lat, ho obrim, des de les “Eines Administratives”, seleccionem “Servicio de autenticación de Internet”,

el primer de tot es crear el client, que será el CAG, per a això, des de la consola, sobre “Clients RADIUS” amb el botó dret seleccionem “Nuevo client RADIUS”,

Le indicamos un nombre descriptivo qualsevol que serva perquè nosaltres le podíem identificar; y le ponem la direcció IP del CAG o el nombre complet DNS del CAG, “Següent”,

En “Client proveedor” seleccionem “RADIUS Standard”, i aquí és on indicarem que serà el secret per que se puedan validar entre el IAS i el CAG, aquest secret posteriorment serà el que le indiquemos al CAG, “Finalitzar”,

Ara hem d'indicar una directiva per al CAG, ens vam trobar “Directivas de acceso remoto”, amb el botó dret i seleccionamos “Nueva directiva de acceso remoto”,

“Següent”,

Seleccionamos la segona opció “Configurar una directiva personalitzada” y le indicamos un nombre descriptivo, usaremos la directiva para indicar qui sí se puede conectar usando el CAG, “Següent”,

Posem sobre “Agregar…”

Seleccionamos al final “Windows-Groups” i posem en “Agregar…”

Posem en “Agregar…” para seleccionar los grupos de Windows, del DA que volem que se puedan connectar al CAG,

Escrivim el nombre del grup on tenemos metidos els usuaris que volem que es connecten a la VPN, en el meu cas en el meu D.A. he creat un grup anomenat “UsuariosCAG” on metré a tots els que les quiera donar accés. Seleccionamos los grups que nos interessen i pulsem en “Acceptar”,

Comprovamos que salen els nostres grups y pulsem sobre “Acceptar”,

“Següent”,

Seleccionem “Conceder permiso de acceso remoto” per donar accés a aquest grup d'usuaris a la connexió, “Següent”,

Posem sobre “Editar perfil…”,

A la pestanya “Autenticacion” hem de desmarcar les dues primeres caselles de verificació “Autenticació xifrada de Microsoft versió 2 (MS-CHAP v2)” y “Autenticació xifrada de Microsoft (MS-CHAP)”; i marquem les altres dues caselles de verificació “Autenticació xifrada (CHAP)” y “Autenticació sense xifrar (PAP, SPAP)”,

A la pestanya “Opciones avanzadas” borrar el que hi hagi seleccionant-les i prement sobre “Treure”; i després prement sobre “Agregar…”,

Seleccionem l'atribut “Vendor-Specific” i posem en “Agregar”,

Posem sobre “Agregar”,

En “Seleccionar de la llista” indiquem “RADIUS Standard” i a sota, hem d'indicar que “Sí compleix” la norma RADIUS RFC, polsem sobre “Configurar atribut…”

Hem d'afegir el “Valor de l'atribut” amb la següent dada: “CTXSUserGroups=” (sense cometes) seguit del nom del grup d'usuaris del domini de Windows que hem afegit anteriorment, en el meu cas era UsuarisCAG, així que quedaria de la següent manera: CTXSUserGroups=UsuarisCAG. Si per alguna raó tenim més d'un grup, els separarem amb punt i coma (;), Acceptem,

Acceptem,

Indiquem que “No”,

I ja podem continuar, posem en “Següent”,

Comprovem que tot està bé i finalitzem,

Veiem que la directiva que hem creat queda com a màxima prioritat amb Ordre 1. Ja hem acabat amb la part de Windows, ja no hi ha més que configurar aquí, ara tot serà des de la consola d'Administració del CAG.

Obrim la consola per administrar el CAG, “Access Gateway Administration Tool”, nos vamos a la pestaña de “Authentication”, podem deixar ambdues autenticacions, la d'usuaris locals i crear-ne una de nova per als usuaris de RADIUS, com sigui, en aquest exemple, només acceptaré usuaris RADIUS així que l'autenticació que porta per defecte la trauré, per a això des de “Action” > punxem en “Suprimeix el domini per defecte”,

“Sí”,

Ara a “Afegeix un domini d'autenticació” indiquem-ne un anomenat “Default” i posem en “Add”,

Seleccionem en tipus d'Autenticació “Autenticació RADIUS” i posem en “OK”,

Hem d'indicar al CAG quin és el servidor RADIUS, para ello en “Paràmetres del servidor RADIUS primari” en “IP address” pondremos la dirección IP del servidor RADIUS, el puerto por defecto es el 1812, y ara hem de posar el secret que hem creat anteriorment en el servidor RADIUS a la hora de crear el client RADIUS. Posem en “Submit” para guardar los canvis. Si por alguna raó tenemos otro servidor RADIUS lo indicaremos debajo, en el servidor secundari.

“OK”

Y comprobamos que en la pestaña de “Authorization” todo esté igual que en la imagen superior:
“Codi del venedor” = 0
“Número d'atribut assignat pel proveïdor” = 0
“Prefix de valor d'atribut” = CTXSUserGroups=
“Separator” = ;

Posem en “Submit”,

“OK”, no habría que hacer nada más, ara probar a conectarse des del exterior per comprovar que tot està bé.

Para comprobar qualsevol esdeveniment lo verem en el servidor RADIUS, en el “Visor de Sucesos”, te indicará quién se conecta correctament o quién se ha querido conectar y no ha podido.

Está sería la configuración final del CAG en la DMZ apuntando al servidor RADIUS:

Desde la parte del FW de internet deberíamos abrir única y exclusivamente el portto 443 tcp al CAG para que los clients puedan accedir a descargarse el software client i connectarse a la VPN. De la red LAN a la red DMZ deberíamos abrir únicamente el puerto 9001 tcp al CAG para poder administrarlo remotament amb las Administration Tools. Y de la red DMZ a la red LAN deberíamos obrir els ports que ens interessen, si usamos RADIUS redirigiremos el 1812 tcp y el 1813 tcp al servidor IAS. El 1494 tcp (o el 2598 tcp si usamos “Session reability”) al servidor citrix y si nos interessa el 1604 tcp para quan des del client de Citrix (PN o PNA) se fa el browsing per buscar la comunitat Citrix.

www.bujarra.com – Héctor Herrero – nh*****@*****ra.com – v 1.0