Onena, behin gure NetScaler oinarrizko moduan konfiguratu ondoren, Access Gateway funtzioa inplementatuko dugu, horrek gure Citrix XenApp aplikazioetara edo XenDesktop mahaigainera sarbide segurua emango digu kanpotik gure erabiltzaileek edozein gailutatik. Dokumentu honetan gure barne-saretako Web Interface bat nola argitaratu ikusiko dugu NetScaler-eko CAG bidez eta web bidez eta Citrix Receiver bidez sartuko gara!

Aurretik dokumentu batean dagoeneko ikusi dugu gure NetScaler oinarrizko moduan nola konfiguratu, berariazko pauso berak jarraituz…

Lehenik eta behin LDAP zerbitzari bat erregistratu beharko dugu, CAG-ekoak gure Directorio Aktiboaren erabiltzaileak balioztatuko dituena, horretarako: “Access Gateway” > “Politikak” > Autentikazioa” > “LDAP” > Pestaña “Servers” > “Gehitu…”

Zerbitzariaren izena gehitzen dugu, bere IP helbidea adierazten dugu, mota “AD”, en “Base DN (erabiltzaileen kokapena)” pondremos la ruta DN de donde tenemos nuestros usuarios, será la base de nuestros usuarios, en mi caso pongo todo el arbol del dominio ('dc=dominio, dc=eso') y ya filtraré más adelante. In “Administrator Bind DN” indicamos la ruta de nuestro usuario con el que validaremos las cuentas, en mi caso será: 'cn=UsuarioLDAP, cn=Erabiltzaileak, dc=dominio, dc=eso') además de su contraseña en “Administrator Password” y la confirmamos. In “Server Logon Name Attribute”: 'samAccountName'. In “Search filter” podremos filtrar y validar unicamente los miembros de un grupo, si no pertenecen a él no los validaremos, en mi caso: 'memberOf=cn=Usuarios Portal, ou=Grupos, ou=Tundra IT, dc=dominio, dc=eso'. In “Group Attribute” indicaremos: 'memberOf'. In “Sub Attribute Name”: 'CN'. Si queremos que los usuarios se puedan cambiar sus contraseñas, en vez de LDAP usaremos LDAPS cambiando el puerto ‘389’ por ‘636’, y en ‘Security Type’ en vez de ‘PLAINTEXT’ irá ‘SSL’ y marcamos el check ‘Allow user change password’. Listo! “Egin”!

Ondo, ahora crearemos una política de autenticación para este servidor: “Access Gateway” > “Politikak” > Autentikazioa” > “LDAP” > Pestaña “Politikak” > “Gehitu…”. Le damos un nombre, seleccionamos el servidor que acabamos de definir y le asignamos una expresión ‘True value’. “Egin” y listo!

El siguiente paso será configurar un perfíl de sesión desde “Access Gateway” > “Politikak” > “Session” > Pestaña “Profiles” > “Add…”

Le damos un nombre, fitxan “Security” confirmamos que “Default Authoritation Action” esté en ‘ALLOW’,

Fitxa honetan “Argitaratutako Aplikazioak” gaitu dugu “ICA Proxy” para que se comporte como un CSG, indicamos la URL del “Web Interface Address” kasu honetan nik daukat makina birtual batean sarean (etorkizuneko beste dokumentu batzuetan ikusiko dugu WI bat NetScaler berarekin nola erraz zabaltzen den). gainera adierazten dugu “Web Interface Portal Modua” ‘NORMALen’ y en “Single Sign-on Domeinua” gure sareko domeinua adieraziko dugu erabiltzaileek sartu behar ez izateko.

Azkenik, fitxan “Client Experience” berretsiko dugu “Clientless Sarbidea” ‘ALLOWen egon dadin’ Access Gateway klient edo plugin-a erabili beharrik ez izateko, y listo! “Egin”.

Ondo, orain saio-profila konfiguratzen dugu honetatik “Access Gateway” > “Politikak” > “Session’ > Fitxa ‘Policies’ & ‘Add…’

Politikari izena ematen diogu, sortu berri dugun profilari lotzen diogu eta ‘True value’ adierazpen bat gehitzen diogu’ & “Egin”.

Ondo, ahora vamos a crear nuestro servidor de Access Gateway, etik “Access Gateway” > “Birtualen Zerbitzuak” > “Gehitu…”

Izena adierazten diegu, le establecemos una dirección IP, debemos agregarle el certificado que queremos que presente, lo habremos instalado anteriormente, beraz “Gehitu >”.

Fitxa honetan “Autentikazioa” le añadiremos como autenticación primaria la política que hemos creado antes.

Fitxa honetan “Argitaratutako Aplikazioak”, deberemos agregar los STA de nuestra red, en 'Secure Ticket Authority’ Sakatu “Gehitu…”

E introducimos los STA, que en mi caso al ser un entorno XA serán los propios servidores, si disponemos de XD serán los propios controllers, los introducimos en el formato: 'http://DIRECCIÓN_IP:PUERTO_XML/scripts/ctxsta.dll’ & “Egin”.

Deberemos confirmar que salen con estado 'UP'. Si no llegamos, habría que confirmar que somos capaces de llegar con la NIP/MIP del NetScaler a las IP's de los XenApp mediante PING + XML. A parte de 1494tcp o 2598tcp del NS a los propios XA, si tenemos ICA o HDX en modo normal o si habremos habilitado la fiabilidad de sesión. “OK”.

Podremos asignar la política de sesión que hemos creado anteriormente al Virtual Server de CAG (desde su pestaña “Politikak” > “Session”) o crear un grupo (etik “Access Groups” > “Taldeak” > “Gehitu…”) y asignarle esta política de sesión, esto será ideal si queremos aplicar unos perfiles a distintos tipos de usuarios, en función a qué grupos pertenezcan.

Luego confirmamos que tenemos el virtual server de Access Gateway levantado,

Y guardamos la configuración!

Necesitaremos un Web Interface instalado, donde crearemos un sitio Web, indicaremos que la autenticación se realiza “En Access Gateway”,

La URL del servicio de autenticación será la URL pública de acceso de nuestros clientes: 'https://FQDN_PUBLICO/CitrixAuthService/AuthService.asmx’ (modificaremos el host para que ataque al CAG, bueno así lo suelo hacer).

Gainera, una vez creado el sitio, configuraremos el “Acceso Seguro”,

Indicando 'Directa con Gateway’ bien para todas las redes o bien excluyendo el rango IP de la LAN,

Y por último indicaremos el nombre de conexión externa, habilitaremos fiabilidad de sesiones si es necesario.
Permitiendo conexiones de dispositivos móviles tipo iPad, iPhone…

Deberemos crear un perfil de sesión idéntico a como lo hicimos con la parte web, pero ahora cambiaremos el “Web Interface Address” a la ruta del fichero XML de nuestro sitio de servicios: “http://DIRECCIÓN_IP_WI/Citrix/PNAgent/config.xml”

Crearemos además la política y asociamos su perfíl, añadiremos la siguiente expresión: 'REQ. HTTP. HEADER User-Agent CONTAINS CitrixReceiver’ para leer la cabecera de la conexión, y si viene desde un Citrix Receiver le mandaremos a dicho sitio!

Y añadimos por último esta política en el virtual server del CAG, fitxan “Politikak” > “Session”, la añadimos con menos prioridad que la del acceso normal al portal web.