Citrix Access Gateway на NetScaler VPX – tips & tricks

citrix logoВ заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.

Процесс подключения

Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.

cag access scheme

  1. Пользователь попадает на https://cag.company.ltd
  2. Access Gateway терминирует SSL и производит аутентификацию пользователя (а если включен Smart Access еще и валидацию оборудования).
  3. В соответствии с заданными политиками происходит коммуникация с Web Interface (WI) и пользователю отображается сайт. CAG выступает в роли reverse proxy.
  4. Пользователь запускает приложение, кликнув на иконку.
  5. WI запрашивает тикет от XML сервиса (STA – Secure Ticket Authority).
  6. WI отправляет пользователю тикет в ICA файле.
  7. Citrix Receiver запускает ICA клиент, заворачивает ICA сессию в SSL и отправляет все это дело до Access Gateway.
  8. Если Access Gateway получает информацию о том, что тикет валидный, то ICA сессия устанавливается, пользователю показывается приложение.

    Read more

Настройка Citrix Access Gateway на NetScaler VPX

citrix logoПодразумевается, что вся первоначальная настройка NetScaler вами уже была произведена. Если нет, то смело обращайтесь к предыдущей статье или официальной документации. Настройку же Citrix Access Gateway (CAG) можно условно разделить на два этапа – настройка WebInterface (WI) / Storefront aka CloudGateway (в этой статье рассматриваться не будет) и настройка непосредственно виртуального сервера на NetScaler VPX с функцией CAG. Мы создадим на WI две точки входа для клиентов, использующих Citrix Receiver и для клиентов, которые получают доступ к опубликованным приложениям через обычный браузер, создадим CAG vserver и привяжем его к этим точкам входа, настроив LDAP аутентификацию. На сладкое у нас смена темы welcome на более няшную.

Настройка Citrix Web Interface

Откроем оснастку Citrix Web Interface Management и создадим новый веб сайт для пользователей, использующих браузер. Настройки типичны для обычного сайта, за исключением метода безопасного доступа.

Read more

Mac Citrix Reciever и SSL Error 61

Судя по форумам вот уже год как Citrix Reciever для Mac приследуют постоянные проблемы. Одна из них выливается в том, что при попытке запуска приложения из браузера пользователю, не смотря на то, что браузер сертификатам доверяет, выдается ошибка о том, что вы, мол, выбрали не доверять этому удостоверяющему центу. От чего пользователь ессесно впадает в … Read more