Citrix ADC NetScaler Gateway - Funktionsprinzip und Konfiguration

In diesem Blogbeitrag finden Sie einige allgemeine Informationen zum Citrix NetScaler Gateway, Konfigurationsanleitung, sowie eine Beschreibung des Funktionsprinzips.

Wenn man über Citrix NetScaler spricht, wird nicht selten nur Citrix NetScaler Gateway damit gemeint.  Obwohl eine NetScaler Appliance eine breite Palette an Funktionen und Features besitzt, werden in vielen Umgebungen nur zwei Funktionen intensiv genutzt: Gateway im ICA Proxy Mode und Load Balancing. Das NetScaler-Gateway wird hauptsächlich dazu verwenden, um den externen Benutzern einen sicheren Zugang zu einer internen Citrix Virtual Apps and Desktops Infrastruktur zu gewährleisten.

Citrix Whitepaper - Höhere Sicherheit beim Remote-Zugriff

Gateway Architektur/Funktionsprinzip

Die darauf folgende Skizze sollte Ihnen eine allgemeine Vorstellung der Funktionalität geben.

Anmelde-, Authentifizierungs- und Enumeration-Prozesses

Hier finden eine vereinfachte Beschreibung des Anmelde-, Authentifizierungs- und Enumeration-Prozesses:

Teil 1:

1. Der Benutzer öffnet eine Webseite (https://) und gibt die Credentials (Username / Passwort) ein.
2. Der NetScaler stellt eine Verbindung (LDAP/LDAPS 389/636) zu der Active Directory her und verifiziert die eingegebenen Anmeldeinformationen. 
3. Der NetScaler leitet von AD empfangene Informationen an den StoreFront Server weiter.
4. Der StoreFront empfängt die Anmeldeinformationen und verifiziert diese beim NetScaler (sogenannter Call-Back).
   • Je nachdem, wie die Passthrough-Option konfiguriert wurde kann folgendes passieren:
     • Passthrough nicht aktiviert: der Benutzer wird aufgefordert, die Anmeldeinformation erneut einzugeben.
     • Passthrough aktiviert: die Anmeldeinformation wird an den Delivery Contoller weitergeleitet und der Benutzer muss sich nicht erneut authentifizieren. 
5. Des Weiteren werden die Credentials in Form einer XML Query an den Deliver Controller bzw. an XML Broker Service weitergeleitet. Es soll verifiziert werden, auf welche Applikationen der angemeldete Benutzer zugreifen darf. Für diese Kommunikation wird standartmäßig der Port 80 verwendet. Die sichere Kommunikation über die Port 443 kann konfiguriert werden.
6. Der Delivery Controller (XML Broker Service) verbindet sich mit der Active Directory (Port TCP 389 oder 636), um die Gruppenmitgliedschaft abzufragen.
7. Der Delivery Controller (XML Broker Service) stellt die Verbindung mit der Site Datenbank her, um festzustellen auf welche Ressourcen (Apps oder Desktops) der Benutzer zugreifen darf.
8. Die von der Site DB empfangenen Informationen werden an den StoreFront Server in Form eines XML Files weitergeleitet. (Port TCP 1433)
9. Dem Benutzer werden alle ihm zugewiesene Ressourcen angezeigt.

Teil 2: Launching (Start einer Applikation)

1. Der Benutzer klickt auf eine App-Verknüpfung. Dieser Request wird weiter an der NetScaler und von da aus an den StoreFront weitergeleitet.
2. Der StoreFront leitet den StoreFront an den Delivery Controller weiter.
3. Der Delivery Controller kommuniziert mit der Datenbank, um den notwendigen Server zu ermitteln.
4. Der Delivery Controller übermittelt die empfangenen Informationen an den StoreFront zurück.
5. Der StoreFront stellt wieder eine Verbindung mit dem Delivery Controller her und fragt vom STA-Service ein STA-Ticket an.
6. Der Delivery Controller (STA-Service) erstellt ein STA-Ticket und sendet dieses an den StoreFront Server zurück.
7. Der StoreFront erstellt auf Basis der Informationen aus dem STA-Ticket ein Launch-File (.ica) und sendet dieses an den Benutzer.
8. Der Receiver liest die Informationen aus dem .ica-File und verbindet sich wieder mit dem NetScaler Gateway. In dem .ica-File ist keine IP-Adresse des Zielsystem enthalten.
9. Der NetScaler Gateway verbindet sich mit dem Delivery Controller, bzw. STA-Service, um die Inhalte zu überprüfen.
10. Der STA-Service validiert die empfangenen Informationen (STA-Ticket) mit den restlichen Informationen aus dem Speicher. Nach einer erfolgreichen Überprüfung werden dem NetScaler die für die Verbindung notwendige Informationen (IP-Adresse, Port, Ressourcenname) übermittelt.
11. Der NetScaler Gateway initiiert eine direkte Verbindung über den Port 1494 (oder 2598) zu den angefragten Ressourcen. Das genutzte STA-Ticket wird gelöscht. Der NetScaler ist eine Proxy Server, deswegen verläuft die ganze Kommunikation weiterhin nur über den NetScaler.

Weitere Information zum Thema STA finden Sie hier:

CTX101997 - FAQ: Citrix Secure Gateway/ NetScaler Gateway Secure Ticket Authority

Vorbereitungen

Bei der Konfiguration werden mehrere Informationen benötigt und es sind einige Vorbereitungen zu treffen. Halten sie folgende Informationen handgreiflich bereit:

1. Ein externer URL-Name. Je nachdem wo der NetScaler (intern oder extern) platziert wird, benötigten Sie einen entsprechenden DNS-Eintrag.
2. Eine IP-Adresse für den virtuellen Server wird benötigt.
3. Der Zugang von außen muss mit einem SSL-Zertifikat gesichert werden. Die öffentlichen Zertifikate müssen bei einer Zertifizierungsstelle Ihrer Wahl gekauft werden. Wenn Sie sich für eine interne CA entscheiden, finden Sie hier eine passende Installationsanleitung: NetScaler SSL Offloading Funktionsweise - Zertifikat Installation
4. Ein Service-User für die LDAP-Anbindung soll vorbereitet werden.
5. Secure Ticket Authority URL (FQDN des Deliver Conrollers)

Konfiguration

Die Installation besteht im Groben aus fünf Schritten:

1. Virtuellen Server (vServer) erstellen
   • Name
   • IP-Adresse
   • Port
2. SSL Zertifikaten installieren (oder ein existierendes Zertifikat anbinden) und mit dem vServer verknüpfen.
3. LDAP Authentifizierung konfigurieren.
4. Die URL der StoreFront Servers und die URL des STA Servers (Delivery Controller) eingeben. 
5. StoreFront-Einstellunge anpassen.  Die Konfiguration auf dem StoreFront kann entwerfen manuell oder durch eine aus dem NetScaler importierte Konfigurationsdatei vorgenommen werden.
   
   • Aktionen > NetScaler Gateway verwalten
   • Aktionen > Store > Authentifizierungsmethoden verwalten > Passthrough-Authentifizierung von NetSclaer Gateway aktivieren
   • Aktionen > Store > Remotezugriff aktivieren 

Auf dieser Seite finden Sie eine kurze NetScaler Gateway Installationsanleitung. In diesem Fall können wir eine Wizard gesteuerte Konfiguration verwenden. Eine Wizard-gesteuerte Installation bringt einige Vorteile mit sich. Alle notwendigen Komponenten werden nicht nur installiert, sondern auch richtig konfiguriert.

1. Melden Sie sich auf der Konsole, navigieren Sie zum Menü XenApp and Desktop und klicken Sie auf die Schaltfläche Get Started

2. Wählen Sie die Option StoreFront aus und klicken Sie auf Continue

3. Füllen Sie die Information im Bereich Citrix Gateway aus: 

• Gateway FQDN -   die externe Adresse des NetScalers eintragen
• Gateway IP Address  - IP-Adresse des virtuellen Servers
• Port - 443 (normaleweise)
• Redirect requests from port 80 to secure port - aktivieren Sie die Umleitung von HTTP auf HTTPS

Klicken Sie auf Continue

4. Im Bereich Server Certificate haben Sie eine Wahl zwischen einem bereits existierenden Zertifikat oder eine neue Installation (wie im unteren Beispiel abgebildet). 

Anschließend klicken Sie auf Continue

5. Im Bereich StoreFront füllen Sie die Felder wie folgt aus. 

• StoreFront URL - Store-Adresse eintragen (https://StoreFront.domain.com) und auf Retrieve Store klicken. Die Receiver for Web - Adresse wird aufgelöst. 
• Default Active Directory Domain  - Domain-Name eintragen. Diese Domäne wird für die Benutzerauthentifizierung zuständig sein.
• Secure Ticket Authority URL - STA URL eingeben, diese entspricht die FQDN-Adresse des Delivery Controllers. Überprüfen Sie anschließend die Konfiguration durch Anklicken des Buttons Test STA Connectovity 
• Use this StoreFront for Authentication - aktivieren Sie diese Option, wenn Sie die Authentifizierung von NetScaler auf StoreFront verschieben wollen.

Klicken Sie dann auf Continue

So sehen anschließend die Ergebnisse aus:

6. Im Bereich Authentication geht es um die LDAP- Konfiguration

Klicken Sie anschließend auf die Schaltfläche Test Connection

Ergebnisse des Tests:

7. Speichern Sie die Konfiguration durch betätigen der Schaltfläche Done

StoreFront Konfiguration

Alle weiteren Einstellungen werden auf StoreFront Server vorgenommen.

1. Klicken Sie auf dem Menüpunkt Manage Citrix Gateways

2. In dem geöffneten Fenster klicken Sie auf den Button Add

3. Füllen sie die Felder aus und klicken Sie Next:

• Display name: geben Sie ein Name ihrer Wahl ein.  
• Citrix Gateway URL:  tragen Sie hier die FQDN-Adresse ein

4. Im weiteren Schritt konfigurieren wir die Adressen des Delivery Controllers. Klicken Sie auf den Button Add

5. FQDN des Controllers eingeben und mit OK bestätigen

6. Konfigurieren Sie die weiteren Einstellungen falls nötig, sonst Next

7. Auf der Registerkarte Authenification Settings wird normalerweise nur der Anmeldetyp (Logon type) entsprechende Ihrer Infrastruktur konfiguriert. Anschießend klicken Sie auf Create

8. Schließen Sie den Wizard

9. Sie können die Gateway Einstellungen jede Zeit anpassen. Schließen Sie das Manage Citrix Gateway Fenster

10. Im letzten Schritt wird die konfigurierte Schnittstelle mit den NetScaler mit unserer StoreFront Seite verknüpft: Action > Store Name > Configure Remote Access Settings (Remotezugriffeinstellungen konfigurieren)

11. Aktivieren Sie den Remotezugriff und wählen Sie ein entsprechende Gateway Appliance aus:

Alternative Konfiguration Methode

Es gibt auch eine alternative Methode, wie die NetScaler Konfiguration auf dem StoreFront Server schnell vornehmen können. Es besteht die Möglichkeit aus dem NetScaler eine Config-Datei zu exportieren und diese in StoreFront zu importieren.

Nützliche Links

• CTX227055 - Smart Access Guide for NetScaler Gateway, StoreFront and XenDesktop
• Citrix YouTube - Netscaler Gateway with Citrix desktops and apps - The ultimate how-to guide

• Zurück
• Weiter