Instalación y configuración de Citrix Access Gateway VPX
En este documento veremos el despliegue de un Access Gateway VPX Express, lo veremos en appliance virtual que podremos desplegar en nuestra red virtual, disponiendo así de todas sus ventajas, será la versión 5.0.4, al ser en virtual adquiere las mismas funciones que el modelo 2010 que es el físico. Com o Access Gateway VPX poderemos permitir o acesso seguro dos nossos utilizadores às suas aplicações ou desktops Citrix remotamente.
Previamente, necesitaremos un Web Interface configurado con un sitio Web, donde indicaremos que la autenticación se realiza en el CAG, la URL de autenticación será la URL pública de acesso de nuestros clientes: 'https://FQDN_PUBLICO/CitrixAuthService/AuthService.asmx', además configuraremos el 'Acceso Seguro’ indicando 'Directa con Gateway’ bem para todas as redes ou excluindo o intervalo IP da LAN.
Nos descargamos el appliance virtual de My Citrix para VMware o XenServer y lo importamos en nuestra infraestructura virtual, normalmente lo desplegaremos en la DMZ.
Lo encendemos, nos logueamos en la consola con el usuario 'admin’ y la contraseña 'admin’ que viene por defecto. No menu de configurações, realizaremos una configuración básica, Pressionado ‘0’.
Configuraremos con '1’ o “Internal Management Interface”: eth1
Configuraremos con '2’ las redes:
Interface IP/Mask eth0: 192.168.172.21/24 (Inadimplência 10.20.30.40) – Por defecto es la pata ‘external’
Interface IP/Mask eth1 : 192.168.170.21/24 (Inadimplência 10.20.30.50) – Por defecto es la pata ‘internal’
Interface IP/Mask eth2: 0.0.0.0/0 (Inadimplência 0.0.0.0/0)
Interface IP/Mask eth3: 0.0.0.0/0 (Inadimplência 0.0.0.0/0)
Configuraremos con ‘3’ el gateway.
Configuraremos con ‘4’ los servidores DNS.
Configuraremos con ‘5’ los servidores de tiempo NTP.
Aplicar cambios con ‘7’ y se reiniciará el appliance.
Abrimos con un navegador el Access Gateway Management Console: apuntando a la URL: 'https://IP_de_la_eth1/lp/adminlogonpoint/’, entramos con el usuario ‘admin’,
Veremos la pestaña de “Monitor” donde veremos una breve información del sistema así como el estado de los servicios; veremos las sesiones activas, resumen de configuración, warnings…
No “Gestão”, en el menú de ‘Networking’, confirmamos los datos de red y función de las patas de red.
Descripción del resto de menús:
– ‘Appliance Failover’ para configurar HA entre dos Access Gateway.
– ‘Name Server Provider’ para configurar los parámetros DNS, archivo hosts y sufijos DNS.
– ‘Static Routes’ para configurar las rutas estáticas del appliance.
– ‘Address Pools’ para configurar pools de direccionamiento IP para cuando se conecten los usuarios.
– ‘Deployment Mode’ para configurar el modo del CAG si ‘appliance’ (Inadimplência) o ‘Access Controller’. El software Access Controller se instalaría en una MV y nos permitirá una gestión centralizada de múltiples appliances de CAG, además de un acceso nativo al AD (sin LDAP), escaneos avanzados en endpoint, load balancing de las conexiones de los appliances, adaptative access control (durante (des)habilitar aplicaciones/escritorios publicados y canales ICA dependiendo del resultado del análisis).
– ‘Password’ para cambiar la clave del usuario admin.
– ‘Date and Time’ donde configuraremos los parámetros de fecha y hora.
– ‘Licensing’ donde configuraremos las licencias, podremos subirlas al appliance o acceder a ellas desde un servidor de licencias remoto.
– ‘Logging’ configuración de los LOG’s, tanto para almacenarlos en local cómo para almacenarlos de forma remota.
En el menú izquierdo de “Controlo de Acessos”, en ‘Authentication Profiles’ crearemos un perfil de tipo LDAP,
Nós damos-lhe um nome & Descrição.
Em “LDAP Servers”, en ‘Server Type’ indicamos ‘Active Directory’ y agregamos los servidores LDAP o LDAPS.
Em “Bind Properties” indicamos la ruta del usuario para validar la autenticación en ‘Administrator DN’ com ‘cn=Administrator,cn=users,dc=tundra-it,dc=com’ e a sua palavra-passe. Em ‘Base DN (localização dos utilizadores)’ indicaremos o caminho onde estarão os utilizadores que queremos que valide ‘ou=Usuarios,ou=Tundra IT,dc=tundra-it,dc=com’
Em “Aplicações e Ambiente de Trabalho” > “XenApp ou XenDesktop” é necessário inserir os IPs dos servidores XenApp e com fiabilidade de sessão (caso seja isso que configurámos ao configurar o acesso seguro no site WI).
Em “Aplicações e Ambiente de Trabalho” > “Secure Ticket Authority” devemos adicionar os nossos servidores STA (bem por intervalo de IPs ou individualmente) com a porta XML (segura ou insegura).
Em “Pontos de Início de Sessão” criaremos um portal para o acesso dos utilizadores, “Novo”,
Indicaremos um nome, do tipo “Basic”, atribuímos o perfil de autenticação criado anteriormente para LDAP, Clique em “Configuração do Website”,
Adicionamos o endereço da interface web + Single sign-on + Registo e definimos a “Página inicial” ao endereço da interface web.
O resto dos menus de “Controlo de Acessos”:
– ‘Opções Globais’ > ‘Configurações do Access Gateway’ teremos opções gerais do CAG:
+’Permitir versões anteriores do Access Gateway Plugin’ permitindo versões antigas dos clientes.
+ ‘Auditar ligações ICA’ Para registo.
+ ‘ICA multi-stream’
+ ‘Criptografia (RC4)’
+ ‘Consultar token’
– ‘Opções Globais’ > ‘Opções do Cliente’ teremos certas directivas para aplicar nos clientes:
+ ‘Ativar split tunneling: para forçar que todo o tráfego seja seguro, uma vez que passa pelo CAG.
+ ‘Fechar ligações existentes’
+ ‘Autenticar após interrupção da rede’: Habilitado por defeito.
+ ‘Autenticar após retoma do sistema’: Habilitado por defeito.
+ ‘Ativar split DNS’, lo mismo pero para el tráfico DNS.
+ ‘Single sign-on with Windows’
– ‘Opções Globais’ > ‘TIme-Out Options’ configuraremos los parámetros de tiempos de caducidad:
+ ‘User inactivity’ por defecto 30min.
+ ‘Network inactivity’ por defecto 30min.
+ ‘Session time-out’ Por defecto 30min.
– ‘Opções Globais’ > ‘Citrix Receiver Options’:
+ ‘Ticket time duration’ 100 Segundos.
– ‘Network Resources’ para configurar permisos dependiendo de la red, habilitandoles log, habilitandoles protocolos tcp/udp o icmp o rangos de puertos.
– ‘Devices Profiles’ para identificar equipos que tengan un S.O. en concreto, un archivo, un proceso o una entrada en el registro… para dejarle conectarse o no.
No “Pestaña Certificates”, deberemos importar nuestro certificado .pfx y marcarlo como activo o bien hacer uno nuevo. Subsequentemente, deberemos importar el .cer (en base64) de nuestra entidad de certificados. Seleccionamos el certificado para CAG y lo unimos a la cadena de certificados desde “Add to Chain” al de nuestra CA.






















































