En este documento veremos el despliegue de un Access Gateway VPX Express, lo veremos en appliance virtual que podremos desplegar en nuestra red virtual, disponiendo así de todas sus ventajas, será la versión 5.0.4, al ser en virtual adquiere las mismas funciones que el modelo 2010 que es el físico. Con Access Gateway VPX podremos permitir el acceso seguro de nuestros usuarios a sus aplicaciones o escritorios Citrix de forma remota.

Zuvor, Wir benötigen eine Webschnittstelle, die mit einer Website konfiguriert ist, wo wir angeben, dass die Authentifizierung im CAG erfolgt, die Authentifizierungs-URL wird die öffentliche Zugangs-URL unserer Kunden sein: "https://FQDN_PUBLICO/CitrixAuthService/AuthService.asmx’, außerdem konfigurieren wir den 'Sicheren Zugriff'’ indem wir 'Direkt mit Gateway' angeben’ bien para todas las redes o bien excluyendo el rango IP de la LAN.

Wir laden das virtuelle Appliance von My Citrix für VMware oder XenServer herunter und importieren es in unsere virtuelle Infrastruktur, normalerweise werden wir es in der DMZ bereitstellen.

Wir schalten es ein, wir melden uns in der Konsole mit dem Benutzer 'admin' an’ und dem Passwort 'admin'’ das standardmäßig vorhanden ist. Im Einstellungsmenü, wir führen eine Basiskonfiguration durch, Gedrückt ‘0’.

Wir konfigurieren mit '1'’ das “Interne Verwaltungsoberfläche”: eth1
Wir konfigurieren mit '2'’ die Netzwerke:
Interface IP/Mask eth0: 192.168.172.21/24 (Vorgabe 10.20.30.40) – Standardmäßig ist das Interface 'external',’
Interface IP/Mask eth1 : 192.168.170.21/24 (Vorgabe 10.20.30.50) – Standardmäßig ist das Interface 'internal',’
Interface IP/Mask eth2: 0.0.0.0/0 (Vorgabe 0.0.0.0/0)
Interface IP/Mask eth3: 0.0.0.0/0 (Vorgabe 0.0.0.0/0)
Wir werden mit '3' konfigurieren’ das Gateway.
Wir werden mit '4' konfigurieren’ die DNS-Server.
Wir werden mit '5' konfigurieren’ die NTP-Zeitserver.

Änderungen mit '7' anwenden’ und das Appliance wird neu gestartet.

Wir öffnen mit einem Browser die Access Gateway Management Console: mit der URL: "https://IP_der_eth1/lp/adminlogonpoint/',', Wir melden uns mit dem Benutzer 'admin' an,

Wir werden den Reiter sehen “Monitor” wo wir kurze Systeminformationen sowie den Status der Dienste sehen können; wir werden die aktiven Sitzungen sehen, Konfigurationsübersicht, Warnungen…

Am “Management”, im Menü 'Networking', Wir bestätigen die Netzwerkinformationen und die Funktion der Netzwerkschnittstellen.

Descripción del resto de menús:

– 'Appliance Failover’ para configurar HA entre dos Access Gateway.
– 'Name Server Provider’ para configurar los parámetros DNS, archivo hosts y sufijos DNS.
– 'Static Routes’ para configurar las rutas estáticas del appliance.
– 'Address Pools’ para configurar pools de direccionamiento IP para cuando se conecten los usuarios.
– 'Deployment Mode’ para configurar el modo del CAG si 'appliance’ (Vorgabe) o 'Access Controller'. El software Access Controller se instalaría en una MV y nos permitirá una gestión centralizada de múltiples appliances de CAG, además de un acceso nativo al AD (sin LDAP), escaneos avanzados en endpoint, load balancing de las conexiones de los appliances, adaptative access control (für (des)habilitar aplicaciones/escritorios publicados y canales ICA dependiendo del resultado del análisis).
– 'Password’ para cambiar la clave del usuario admin.
– 'Date and Time’ donde configuraremos los parámetros de fecha y hora.
– 'Licensing’ donde configuraremos las licencias, podremos subirlas al appliance o acceder a ellas desde un servidor de licencias remoto.
– 'Logging’ configuración de los LOG's, tanto para almacenarlos en local cómo para almacenarlos de forma remota.

En el menú izquierdo de “Zugriffskontrolle”, en 'Authentication Profiles’ crearemos un perfil de tipo LDAP,

Wir geben ihm einen Namen & Beschreibung.

In “LDAP Servers”, en 'Server Type’ indicamos 'Active Directory’ y agregamos los servidores LDAP o LDAPS.

In “Bind Properties” indicamos la ruta del usuario para validar la autenticación en 'Administrator DN’ con ‘cn=Administrator,cn=users,dc=tundra-it,dc=com’ und Ihr Passwort. En ‘Base DN (Standort der Benutzer)’ indicaremos la ruta donde estarán l0s usuarios que queremos que valide ‘ou=Usuarios,ou=Tundra IT,dc=tundra-it,dc=com’

In “Applications and Desktops” > “XenApp or XenDesktop” hay que meter las IP’s de los servidores XenApp y con fiabilidad de sesión (si es que es lo que hemos configurado a la hora de configurar el acceso seguro en el sitio WI).

In “Applications and Desktops” > “Secure Ticket Authority” deberemos agregar nuestros servidores STA (bien por rango IP o individualmente) con el puerto XML (seguro o inseguro).

In “Logon Points” crearemos un portal para el acceso de los usuarios, “Neu”,

Le indicarmos un nombre, de tipo “Grundlegend”, le asignamos el perfíl de autenticación creado anteriormente para LDAP, Anklicken “Website Configuration”,

Wir fügen die Adresse der Weboberfläche hinzu + Single Sign-On + Protokoll und wir definieren die “Startseite” an der Adresse der Weboberfläche.

Die übrigen Menüs von “Zugriffskontrolle”:

– ‘Globale Optionen’ > ‘Access Gateway-Einstellungen’ wir werden allgemeine Optionen des CAG haben:
+‘Ältere Versionen des Access Gateway Plugins erlauben’ ältere Client-Versionen erlauben.
+ ‘ICA-Verbindungen protokollieren’ Für Logging.
+ ‘Multi-Stream ICA’
+ ‘Verschlüsselung (RC4)’
+ ‘Token abfragen’

– ‘Globale Optionen’ > ‘Client-Optionen’ wir werden bestimmte Richtlinien für die Clients anwenden:
+ ‘Split-Tunneling aktivieren: um zu erzwingen, dass der gesamte Verkehr sicher ist, da er über den CAG läuft.
+ ‘Bestehende Verbindungen schließen’
+ ‘Nach Netzwerkunterbrechung authentifizieren’: Standardmäßig aktiviert.
+ ‘Nach System-Wiederaufnahme authentifizieren’: Standardmäßig aktiviert.
+ ‘Split DNS aktivieren’, das Gleiche aber für den DNS-Verkehr.
+ Single Sign-On mit Windows’

– ‘Globale Optionen’ > Time-Out-Optionen’ wir werden die Ablaufzeit-Parameter konfigurieren:
+ Benutzerinaktivität’ standardmäßig 30 min.
+ Netzwerkinaktivität’ standardmäßig 30 min.
+ Sitzungs-Timeout’ Standardmäßig 30 min.

– ‘Globale Optionen’ > Citrix Receiver-Optionen:
+ Ticket-Dauer’ 100 Nachschlag.

– Netzwerkressourcen’ um Berechtigungen je nach Netzwerk zu konfigurieren, Protokollierung aktivieren, TCP/UDP- oder ICMP-Protokolle oder Portbereiche aktivieren.

– Geräteprofile’ um Geräte mit einem Betriebssystem zu identifizieren. konkret, eine Datei, ein Prozess oder ein Eintrag in der Registrierung… um die Verbindung zu erlauben oder nicht.

Im “Registerkarte Zertifikate”, wir müssen unser .pfx-Zertifikat importieren und es als aktiv markieren oder ein neues erstellen. Später, wir müssen die .cer importieren (in Base64) von unserer Zertifizierungsstelle. Wir wählen das Zertifikat für CAG aus und fügen es der Zertifikatkette von “Zur Kette hinzufügen” das von unserer CA.