
Configuración de Access Gateway en NetScaler
Bueno, una vez configurado básicamente nuestro NetScaler, vamos a implementar la función de Access Gateway que nos dará un acceso seguro a nuestras aplicaciones Citrix XenApp o escritorio XenDesktop desde el exterior a nuestros usuarios a traves de cualquier dispositivo. En este documento veremos cómo publicar un Web Interface de nuestra red interna mediante el CAG del NetScaler y accederemos vía web y vía Citrix Receiver!
En el documento anterior ya vismos cómo configurar básicamente nuestro NetScaler, continuando sobre los mismos pasos…
Primero tendremos que dar de alta un servidor LDAP que será contra quien validará el CAG los usuarios de nuestro Directorio Activo, para ello: “Access Gateway” > “Policies” > Authentication” > “LDAP” > Pestaña “Servers” > “Add…”
Añadimos el nombre del servidor, indicamos su dirección IP, tipo “AD”, en “Base DN (location of users)” pondremos la ruta DN de donde tenemos nuestros usuarios, será la base de nuestros usuarios, en mi caso pongo todo el arbol del dominio (‘dc=dominio, dc=eso’) y ya filtraré más adelante. En “Administrator Bind DN” indicamos la ruta de nuestro usuario con el que validaremos las cuentas, en mi caso será: ‘cn=UsuarioLDAP, cn=Users, dc=dominio, dc=eso’) además de su contraseña en “Administrator Password” y la confirmamos. En “Server Logon Name Attribute”: ‘samAccountName’. En “Search filter” podremos filtrar y validar unicamente los miembros de un grupo, si no pertenecen a él no los validaremos, en mi caso: ‘memberOf=cn=Usuarios Portal, ou=Grupos, ou=Tundra IT, dc=dominio, dc=eso’. En “Group Attribute” indicaremos: ‘memberOf’. En “Sub Attribute Name”: ‘CN’. Si queremos que los usuarios se puedan cambiar sus contraseñas, en vez de LDAP usaremos LDAPS cambiando el puerto ‘389’ por ‘636’, y en ‘Security Type’ en vez de ‘PLAINTEXT’ irá ‘SSL’ y marcamos el check ‘Allow user change password’. Listo! “Create”!
Bien, ahora crearemos una política de autenticación para este servidor: “Access Gateway” > “Policies” > Authentication” > “LDAP” > Pestaña “Policies” > “Add…”. Le damos un nombre, seleccionamos el servidor que acabamos de definir y le asignamos una expresión ‘True value’. “Create” y listo!
El siguiente paso será configurar un perfíl de sesión desde “Access Gateway” > “Policies” > “Session” > Pestaña “Profiles” > “Add…”
Le damos un nombre, en la pestaña “Security” confirmamos que “Default Authoritation Action” esté en ‘ALLOW’,
En la pestaña “Published Applications” habilitamos “ICA Proxy” para que se comporte como un CSG, indicamos la URL del “Web Interface Address” que en este caso yo lo tengo en una máquina virtual de la red (en otros futuros documentos veremos como es muy sencillo el desplegar un WI en el propio NetScaler). Indicamos además que “Web Interface Portal Mode” en ‘NORMAL’ y en “Single Sign-on Domain” indicaremos el dominio de nuestra red para evitar que los usuarios tengan que meterlo.
Por último, en la pestaña “Client Experience” confirmaremos que “Clientless Access” esté en ‘ALLOW’ para evitar que se tenga que utilizar el cliente o plugin de Access Gateway, y listo! “Create”.
Bien, ahora configuramos un perfíl de sesión desde “Access Gateway” > “Policies” > “Session’ > Pestaña ‘Policies’ & ‘Add…’
Le damos un nombre a la política, le asociamos el perfíl que acabamos de crear y le añadimos una expresión ‘True value’ & “Create”.
Bien, ahora vamos a crear nuestro servidor de Access Gateway, desde “Access Gateway” > “Virtual Servers” > “Add…”
Le indicamos un nombre, le establecemos una dirección IP, debemos agregarle el certificado que queremos que presente, lo habremos instalado anteriormente, así que “Add >”.
En la pestaña “Authentication” le añadiremos como autenticación primaria la política que hemos creado antes.
En la pestaña “Published Applications”, deberemos agregar los STA de nuestra red, en ‘Secure Ticket Authority’ pulsamos “Add…”
E introducimos los STA, que en mi caso al ser un entorno XA serán los propios servidores, si disponemos de XD serán los propios controllers, los introducimos en el formato: ‘http://DIRECCIÓN_IP:PUERTO_XML/scripts/ctxsta.dll’ & “Create”.
Deberemos confirmar que salen con estado ‘UP’. Si no llegamos, habría que confirmar que somos capaces de llegar con la NIP/MIP del NetScaler a las IP’s de los XenApp mediante PING + XML. A parte de 1494tcp o 2598tcp del NS a los propios XA, si tenemos ICA o HDX en modo normal o si habremos habilitado la fiabilidad de sesión. “OK”.
Podremos asignar la política de sesión que hemos creado anteriormente al Virtual Server de CAG (desde su pestaña “Policies” > “Session”) o crear un grupo (desde “Access Groups” > “Groups” > “Add…”) y asignarle esta política de sesión, esto será ideal si queremos aplicar unos perfiles a distintos tipos de usuarios, en función a qué grupos pertenezcan.
Luego confirmamos que tenemos el virtual server de Access Gateway levantado,
Y guardamos la configuración!
Necesitaremos un Web Interface instalado, donde crearemos un sitio Web, indicaremos que la autenticación se realiza “En Access Gateway”,
La URL del servicio de autenticación será la URL pública de acceso de nuestros clientes: ‘https://FQDN_PUBLICO/CitrixAuthService/AuthService.asmx’ (modificaremos el host para que ataque al CAG, bueno así lo suelo hacer).
Además, una vez creado el sitio, configuraremos el “Acceso Seguro”,
Indicando ‘Directa con Gateway’ bien para todas las redes o bien excluyendo el rango IP de la LAN,
Y por último indicaremos el nombre de conexión externa, habilitaremos fiabilidad de sesiones si es necesario.
Permitiendo conexiones de dispositivos móviles tipo iPad, iPhone…
Deberemos crear un perfil de sesión idéntico a como lo hicimos con la parte web, pero ahora cambiaremos el “Web Interface Address” a la ruta del fichero XML de nuestro sitio de servicios: “http://DIRECCIÓN_IP_WI/Citrix/PNAgent/config.xml”
Crearemos además la política y asociamos su perfíl, añadiremos la siguiente expresión: ‘REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver’ para leer la cabecera de la conexión, y si viene desde un Citrix Receiver le mandaremos a dicho sitio!
Y añadimos por último esta política en el virtual server del CAG, en la pestaña “Policies” > “Session”, la añadimos con menos prioridad que la del acceso normal al portal web.