Acesso dos sem clientes ASA com o uso do receptor de ...

[Pages:27]Acesso dos sem clientes ASA com o uso do receptor de Citrix no exemplo de configura??o dos dispositivos m?v?is

?ndice

Introdu??o Pr?-requisitos Requisitos Componentes Utilizados Dispositivos m?v?is apoiados Programa demonstrativo Informa??es de Apoio Limita??es Configurar Comandos CLI Exemplo de configura??o Configura??o adapt?vel do Security Device Manager (ASDM) Certificados de identidade ASA e autoridades de certifica??o (CA) Experi?ncia da interface de usu?rio final/usu?rio Adicionar uma conta nova Sa?da da sess?o de VPN da Web Verificar Troubleshooting Debugs Perguntas mais frequentes (FAQ)

Introdu??o

Este documento descreve como configurar a ferramenta de seguran?a adapt?vel de Cisco (ASA) como um proxy para o receptor de Citrix em dispositivos m?v?is. Esta caracter?stica fornece o Acesso remoto seguro para o aplicativo do receptor de Citrix que ? executado em dispositivos m?v?is aos server da infraestrutura do Desktop virtual XenApp/XenDesktop (VDI) com o ASA, que elimina a necessidade para o gateway de acesso de Citrix.

Pr?-requisitos

Requisitos

A Cisco recomenda que voc? tenha conhecimento destes t?picos:

q Receptor de Citrix q Sem clientes WebVPN Exig?ncias da infraestrutura:

q O ASA deve ter um certificado de identidade v?lido que seja confiado por dispositivos m?v?is. q A rela??o XML deve ser permitida e configurado no server de Citrix

XenApp/XenDesktop/Storefront.

Componentes Utilizados

Este documento n?o se restringe a vers?es de software e hardware espec?ficas.

As informa??es neste documento foram criadas a partir de dispositivos em um ambiente de laborat?rio espec?fico. Todos os dispositivos utilizados neste documento foram iniciados com uma configura??o (padr?o) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Dispositivos m?v?is apoiados

Esta ? uma lista dos dispositivos m?v?is apoiados:

q iPad - Vers?o 4.x ou mais recente do receptor de Citrix q iPhone/iTouch - Vers?o 4.x ou mais recente do receptor de Citrix q Telefone de Android 2.x - Vers?o 2.x ou mais recente do receptor de Citrix q Tabuleta de Android 3.x - Vers?o 2.x ou mais recente do receptor de Citrix q Telefone/tabuleta de Android 4.0/4.1 - Vers?o 2.x ou mais recente do receptor de Citrix

Programa demonstrativo

A fim ver uma demonstra??o deste processo, visite o seguinte p?gina da web:

Programa demonstrativo m?vel do proxy do receptor de Cisco ASA 9.0 Citrix

Informa??es de Apoio

O gateway de acesso de Citrix (CAG) era tradicionalmente a ?nica maneira de fornecer recursos virtualizados seguros de Citrix do Acesso remoto (desktops e aplicativos). Em uma implementa??o t?pica, tal dispositivo seria ficado situado atr?s do Firewall em uma zona desmilitarizada (DMZ). Esta caracter?stica adiciona a funcionalidade ASA a fim apoiar fixa conex?es remotas aos recursos virtuais dos dispositivos m?v?is.

As disposi??es tradicionais exigem a presen?a de um CAG, que seja ficado tipicamente atr?s do Firewall:

Com ASA, as conex?es aos recursos internos de Citrix s?o poss?veis sem o CAG:

Para que o ASA possa ?s conex?es de proxy de um receptor de Citrix a um servidor Citrix, o ASA encarna o acesso de Citrix. Gateway:

1. Quando voc? tenta conectar a um recurso virtualizado Citrix, voc? n?o precisa de fornecer o servidor Citrix? endere?o/credenciais s; em lugar de voc? incorpora o endere?o IP de Um ou Mais Servidores Cisco ICM NT e as credenciais do secure sockets layer do ASA (SSL) VPN.

2. Um alimentador novo ASA ? criado a fim segurar pedidos, que inclua pedidos de autentica??o dos receptores de Citrix (o HTTPS pede com uma corda do agente que se identifique como o receptor de Citrix).

3. Depois que o ASA verificou as credenciais, o cliente do receptor come?a recuperar aplicativos autorizados com o ASA. As reescritas e proxys ASA ao server de XenApp ou de XenDesktop? rela??o do servi?o s XML (o servi?o XML ? um servi?o que execute em um servidor Citrix esse pedidos relativos da virtualiza??o dos servi?os recurso).

4. O ASA conecta e autentica ao server VDI com credenciais preconfigured (veja a se??o configurar). Quando voc? envia credenciais ao server da parte posterior XenApp/XenDesktop, o ASA confunde sempre a senha do usu?rio com codifica??o de Citrix CTX1.

Est? aqui uma lista de m?todos de autentica??o apoiados ASA com o receptor de Citrix:

q Local q Dom?nio q SecurID RSA usando o protocolo nativo SDI.

ASA modos do desafio dos apoios igualmente, que incluem o PIN simb?lico, novo seguinte, e modos expirados PIN. q Autentica??o de dois fatoras (RSA e Lightweight Directory Access Protocol (LDAP))

Limita??es

q Limita??es do certificado: A autentica??o do certificado/placa inteligente n?o ? apoiada como um m?todo do autom?vel sinal-em desde que estes formul?rios de autentica??o n?o permitem o ASA no meio.

A assinatura Md5 nos Certificados n?o trabalha devido a uma quest?o de seguran?a e ? um problema nas Plataformas iOS. Mais informa??o pode ser encontrada no receptor para o erro iOS: Erro de conex?o. O receptor de Citrix n?o poderia estabelecer a conex?o com a discuss?o do host remoto.

Se o nome do sujeito n?o combina inteiramente o nome de dom?nio totalmente qualificado ASA (FQDN), mesmo se o certificado de identidade ASA cont?m nomes alternativos sujeitos (sem), a sess?o de computa??o independente da arquitetura (ICA) n?o come?ar? (baseado na vers?o, o erro do certificado poderia ser indicado). Esta edi??o foi fixada pela identifica??o de bug Cisco CSCuj23632.

q Os acessos do cliente do receptor de Citrix somente um server XenApp/XenDesktop de cada vez. Em consequ?ncia, os pedidos dos proxys ASA a um XenApp/XenDesktop pela sess?o de VPN tamb?m. O ASA escolhe o primeiro XenApp/XenDesktop configurado quando um cliente do receptor de Citrix conecta.

q O HTTP reorienta n?o ? apoiado desde que a vers?o atual do receptor que de Citrix o aplicativo n?o trabalha com reorienta.

q As verifica??es do certificado de cliente, a notifica??o da expira??o de senha, o Cisco Secure Desktop (CSD), e tudo em CSD (n?o apenas cofre-forte seguro) n?o s?o apoiados quando clientes aut?nomos/m?veis s?o usados, porque clientes aut?nomos/m?veis da infraestrutura da virtualiza??o n?o compreendem estes conceitos.

Configurar

Note: Use a Command Lookup Tool ( somente clientes registrados) para obter mais

informa??es sobre os comandos usados nesta se??o.

Comandos CLI

Quando voc? usa o cliente m?vel do receptor de Citrix a fim entrar ao ASA, o ASA deve conect?lo a Citrix predefinido XenApp ou um server de XenDesktop. A fim realizar isto, o administrador configura o servidor Citrix? endere?o e credenciais de logon s sob a pol?tica do grupo ou o username. Caso que o username e a grupo-pol?tica CLI s?o configurados, os ajustes username tomam a preced?ncia sobre a grupo-pol?tica.

configure terminal group-policy DfltGrpPolicy attributes webvpn [no] vdi { none | type url domain username password }

configure terminal username attributes webvpn [no] vdi { none | type url domain username password }

Note: tipo - tipo de VDI. Para o receptor de Citrix, o tipo deve ser citrix. URL - URL completa do server de XenApp ou de XenDesktop, que inclui o HTTP ou o HTTPS, o hostname, o n?mero de porta, assim como o trajeto ao servi?o XML. O hostname e do servi?o XML trajeto podem conter um macro dos sem clientes. Se o trajeto do servi?o XML n?o ? fornecido, o caminho padr?o de /Citrix/pnagent/ est? usado. nome de usu?rio nome de usu?rio que ? usado a fim registrar no server da infraestrutura da virtualiza??o. Este pode ser um macro dos sem clientes. senha senha que ? usada a fim registrar no server da infraestrutura da virtualiza??o. Este pode ser um macro dos sem clientes. dom?nio - dom?nio que ? usado a fim registrar no server da infraestrutura da virtualiza??o. Este pode ser um macro dos sem clientes.

Note: Os server de XenAPP s?o configurados geralmente a fim escutar a porta 80, assim que o VDI deve ser configurado com o HTTP em vez do HTTPS.

Os usu?rios m?veis do receptor de Citrix podem selecionar o grupo de t?neis quando autenticarem com o ASA. A sele??o de grupo de t?neis permite o apoio de Protocolos de autentica??o diferentes e os server XenApp/XenDekstop para VDI alcan?am. Os administradores podem configurar um grupo de t?neis porque o padr?o para o acesso VDI. Este grupo do t?nel configurado ? usado quando os usu?rios n?o fazem uma sele??o de grupo de t?neis:

configure terminal webvpn [no] application-type default tunnel-group

q application_name - nome do aplicativo. O ?nico aplicativo apoiado atualmente ? Citrixreceptor.

q t?nel-grupo-nome - nome do grupo de t?neis atual a ser usado como o padr?o para o acesso VDI do tipo especificado.

Exemplo de configura??o Estes s?o exemplos de configura??o v?lidos VDI:

configure terminal webvpn [no] application-type default tunnel-group

Configura??o adapt?vel do Security Device Manager (ASDM)

1. Navegue a Asdm > a configura??o > a acesso do acesso remoto VPN > dos sem clientes SSL VPN > a pol?tica do grupo:

2. Navegue para editar > mais op??es > acesso VDI:

3. Adicionar o server VDI:

 ................
................

In order to avoid copyright disputes, this page is only a partial summary.

Google Online Preview   Download