netscaler

Citrix Access Gateway на NetScaler VPX – tips & tricks

by

citrix logoВ заключительной части хотелось бы поделиться некоторыми проблемами, с которыми я столкнулся в результате работы, а так же разъяснить пару моментов, которые могут быть не совсем очевидными. А именно: мы рассмотрим процесс подключения пользователя к CAG, посмотрим как выявить проблемы с LDAP аутентификацией, как отфильтровать пользователей по заданным атрибутам в LDAP, выявлять неполадки в STA, запуск HTTP vserver вместо HTTPS и некоторые другие моменты.

Процесс подключения

Для начала рассмотрим процесс подключение, взяв простейшую схему. Откровенно говоря это следовало бы сделать в первых двух частях, but meh.

cag access scheme

  1. Пользователь попадает на https://cag.company.ltd
  2. Access Gateway терминирует SSL и производит аутентификацию пользователя (а если включен Smart Access еще и валидацию оборудования).
  3. В соответствии с заданными политиками происходит коммуникация с Web Interface (WI) и пользователю отображается сайт. CAG выступает в роли reverse proxy.
  4. Пользователь запускает приложение, кликнув на иконку.
  5. WI запрашивает тикет от XML сервиса (STA – Secure Ticket Authority).
  6. WI отправляет пользователю тикет в ICA файле.
  7. Citrix Receiver запускает ICA клиент, заворачивает ICA сессию в SSL и отправляет все это дело до Access Gateway.
  8. Если Access Gateway получает информацию о том, что тикет валидный, то ICA сессия устанавливается, пользователю показывается приложение.

    Read more

Настройка Citrix Access Gateway на NetScaler VPX

by

citrix logoПодразумевается, что вся первоначальная настройка NetScaler вами уже была произведена. Если нет, то смело обращайтесь к предыдущей статье или официальной документации. Настройку же Citrix Access Gateway (CAG) можно условно разделить на два этапа – настройка WebInterface (WI) / Storefront aka CloudGateway (в этой статье рассматриваться не будет) и настройка непосредственно виртуального сервера на NetScaler VPX с функцией CAG. Мы создадим на WI две точки входа для клиентов, использующих Citrix Receiver и для клиентов, которые получают доступ к опубликованным приложениям через обычный браузер, создадим CAG vserver и привяжем его к этим точкам входа, настроив LDAP аутентификацию. На сладкое у нас смена темы welcome на более няшную.

Настройка Citrix Web Interface

Откроем оснастку Citrix Web Interface Management и создадим новый веб сайт для пользователей, использующих браузер. Настройки типичны для обычного сайта, за исключением метода безопасного доступа.

Read more

Netscaler VPX – общие сведения, первоначальная настройка

by

citrix logoNetscaler VPX

Сегодня у нас в планах приседания с замечательным комбайном, который включает в себя целый ряд вкусных и полезных функций. Citrix позиционирует Netscaler как Application Delivery Controller (ADC), способный выполнять такие функции как балансировка нагрузки, SSL offloading, CloudBridge (l2 DC bridging), DNS Server, HTTP compression, Load Balancing, Web Application Firewall и многие другие.  В этой статье мы разберемся с типами IP адресов, понятием виртуального сервера, режимами пересылки пакетов и займемся первоначальной настройкой.

Вся представленная информация является произвольной интерпретаций документации с knowledge center Сitrix, по этому, возможно, имеет смысл обратиться к первоисточнику если возникнут какие-либо вопросы – http://support.citrix.com/proddocs/topic/access-gateway/ag-edocs-landing.html

NetScaler: типы IP адресов

  • NetScaler IP address (NSIP) – управляющий IP адрес для доступа к системе, heartbeat интерфейс для HA, syslog source, etc;
  • Virtual IP address (VIP) – IP ассоциированный с виртуальным сервером. Зачастую является публичным IP адресом с которым соединяются клиенты;
  • Mapped IP address (MIP) – MIP адрес используется для соединений с серверами. Зачастую является адресом смотрящим в сторону ваших серверов для которых нужно осуществлять балансировку нагрузки и/или обеспечивать доступ через Access Gateway и/или защитить приложение с помощью Web Application Firewall (WAF). Когда MIP принимает пакет обычно происходит замена IP адреса источника на MIP до того как пакет будет отправлен по направлению к серверу.
  • Subnet IP address (SNIP) – когда Netscaler взаимодействует с множеством подсетей SNIP могут быть настроены как MIP для предоставления доступа к этим подсетям. SNIP можно привязывать к VLAN и интерфейсам.

    Read more