Bo, una vez configurada bàsicament nuestro NetScaler, vam a implementar la funció de Access Gateway que nos dará un accés segur a les nostres aplicacions Citrix XenApp o escriptori XenDesktop des de l'exterior a nostres usuaris a través de qualsevol dispositiu. En aquest document veremos cómo publicar un Web Interface de la nostra red interna mitjançant el CAG del NetScaler i accederemos via web i vía Citrix Receiver!

En el document anterior ya vismos cómo configurar bàsicament el nostre NetScaler, continuando sobre els mateixos passos…

Primer tendremos que dar de alta un servidor LDAP que serà contra quien validará el CAG els usuaris del nostre Directorio Activo, per a això: “Access Gateway” > “Policies” > Authentication” > “LDAP” > Pestanya “Servers” > “Add…”

Afegimos el nombre del servidor, indiquem la seva adreça IP, tipo “AD”, en “Base DN (ubicació dels usuaris)” pondremos la ruta DN de on tenim els nostres usuaris, serà la base de los nostres usuaris, en mi caso pongo tot el arbol del dominio (dc=dominio, dc=eso') y ya filtraré més endavant. En “Administrator Bind DN” indiquem la ruta del nostre usuari amb el que validarem les cuentas, en el meu cas será: 'cn=UsuarioLDAP, cn=Users, dc = domini, dc=eso') además de su contraseña en “Administrator Password” y la confirmamos. En “Server Logon Name Attribute”: 'samAccountName'. En “Search filter” podremos filtrar y validar unicamente los miembros de un grupo, si no pertenecen a él no los validaremos, en el meu cas: 'memberOf=cn=Users Portal, ou=Grupos, ou=Tundra IT, dc = domini, dc=eso'. En “Group Attribute” indicaremos: 'memberOf'. En “Sub Atribut de l'Atribut”: 'CN'. Si queremos que los usuarios se puedan cambiar sus contraseñas, en vez de LDAP usaremos LDAPS cambiando el puerto ‘389’ por ‘636’, y en ‘Security Type’ en vez de ‘PLAINTEXT’ irá ‘SSL’ y marcamos el check ‘Allow user change password’. Llist! “Create”!

Bé, ahora crearemos una política de autenticación para este servidor: “Access Gateway” > “Policies” > Authentication” > “LDAP” > Pestanya “Policies” > “Add…”. Li donem un nom, seleccionamos el servidor que acabamos de definir y le asignamos una expresión ‘True value’. “Create” i llest!

El siguiente paso será configurar un perfíl de sesión desde “Access Gateway” > “Policies” > “Session” > Pestanya “Perfils” > “Add…”

Li donem un nom, a la pestanya “Security” confirmamos que “Default Authoritation Action” esté en ‘ALLOW’,

A la pestanya “Published Applications” habilitem “ICA Proxy” para que se comporte como un CSG, indicamos la URL del “Web Interface Address” que en este caso yo lo tengo en una máquina virtual de la red (en otros futuros documentos veremos como es muy sencillo el desplegar un WI en el propio NetScaler). Indicamos además que “Web Interface Portal Mode” en ‘NORMAL’ i en “Single Sign-on Domain” indicaremos el dominio de nuestra red para evitar que los usuarios tengan que meterlo.

Finalment, a la pestanya “Client Experience” confirmaremos que “Clientless Access” esté en ‘ALLOW’ para evitar que se tenga que utilizar el cliente o plugin de Access Gateway, i llest! “Create”.

Bé, ahora configuramos un perfíl de sesión desde “Access Gateway” > “Policies” > “Session’ > Pestaña ‘Policies’ & ‘Add…’

Li donem un nom a la política, le asociamos el perfíl que acabamos de crear y le añadimos una expresión ‘True value’ & “Create”.

Bé, ara vam a crear el nostre servidor de Access Gateway, des de “Access Gateway” > “Servidors virtuals” > “Add…”

Li indiquem un nom, le establecemos una dirección IP, hem d'agregar el certificat que queremos que presente, lo habremos instalado anteriormente, així que “Add >”.

A la pestanya “Authentication” le añadiremos com autenticación primaria la política que hem creat antes.

A la pestanya “Published Applications”, hauríem d'agregar els STA de nuestra red, en 'Secure Ticket Authority’ posem “Add…”

E introduïm els STA, que en mi cas al ser un entorn XA seran els propios servidores, si disponem de XD seran los propios controllers, els introduïmos en el format: 'http://DIRECCIÓN_IP:PUERTO_XML/scripts/ctxsta.dll’ & “Create”.

Deberemos confirmar que salen con estado 'UP'. Si no llegamos, habría que confirmar que somos capaces de llegar con la NIP/MIP del NetScaler a las IP's de los XenApp mediante PING + XML. A parte de 1494tcp o 2598tcp del NS a los propios XA, si tenemos ICA o HDX en modo normal o si habremos habilitado la fiabilidad de sesión. “OK”.

Podremos assignar la política de sesión que hemos creat anteriorment al Virtual Server de CAG (desde su pestaña “Policies” > “Session”) o crear un grupo (des de “Access Groups” > “Groups” > “Add…”) i assignarle aquesta política de sessió, això serà ideal si volem aplicar unos perfiles a distintos tipus de usuarios, en funció a qué grupos pertenezcan.

Després confirmamos que tenemos el virtual server de Access Gateway levantado,

Y guardamos la configuració!

Necessitarem una interfície web instal·lada, on crearem un lloc web, indicarem que l'autenticació es realitza “A l'Access Gateway”,

La URL del servei d'autenticació serà la URL pública d'accés dels nostres clients: 'https://FQDN_PUBLIC/CitrixAuthService/AuthService.asmx’ (modificarem l'host per atacar al CAG, bé, així ho solem fer).

A més, un cop creat el lloc, configurarem l' “Accés Segur”,

Indicant 'Directa amb Gateway'’ bé per a totes les xarxes o bé excloent el rang IP de la LAN,

I finalment indicarem el nom de connexió externa, habilitarem fiabilitat de sessions si cal.
Permetent connexions de dispositius mòbils tipus iPad, iPhone…

Haurem de crear un perfil de sessió idèntic a com ho vam fer amb la part web, però ara canviem el “Web Interface Address” a la ruta del fitxer XML del nostre lloc de serveis: “http://DIRECCIÓ_IP_WI/Citrix/PNAgent/config.xml”

A més, crearem la política i associem el seu perfil, afegirem la següent expressió: ‘REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver’ per llegir la capçalera de la connexió, i si ve d’un Citrix Receiver el farem anar a aquest lloc!

I finalment afegim aquesta política al servidor virtual del CAG, a la pestanya “Policies” > “Session”, l’afegim amb menys prioritat que la de l’accés normal al portal web.