В заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.
Процесс подключения
Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.
- Пользователь попадает на https://cag.company.ltd
- Access Gateway терминирует SSL и производит аутентификацию пользователя (а если включен Smart Access еще и валидацию оборудования).
- В соответствии с заданными политиками происходит коммуникация с Web Interface (WI) и пользователю отображается сайт. CAG выступает в роли reverse proxy.
- Пользователь запускает приложение, кликнув на иконку.
- WI запрашивает тикет от XML сервиса (STA – Secure Ticket Authority).
- WI отправляет пользователю тикет в ICA файле.
- Citrix Receiver запускает ICA клиент, заворачивает ICA сессию в SSL и отправляет все это дело до Access Gateway.
- Если Access Gateway получает информацию о том, что тикет валидный, то ICA сессия устанавливается, пользователю показывается приложение.
Read more