WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные матриалы
 


«Содержание Введение Предварительные условия Требования Используемые компоненты Поддерживаемые мобильные устройства Демонстрация Общие сведения ...»

Содержание

Введение

Предварительные условия

Требования

Используемые компоненты

Поддерживаемые мобильные устройства

Демонстрация

Общие сведения

Ограничения

Настройка

Команды CLI

Пример конфигурации

Конфигурация менеджера устройств адаптивной безопасности (ASDM) (ASDM)

Сертификаты идентификации ASA и центры сертификации (CA)

Интерфейс конечного пользователя / Пользовательский Опыт

Добавьте новую учетную запись

Выйдите из сеанса WebVPN

Проверка

Устранение неполадок

Отладка

Часто задаваемые вопросы (FAQ) Введение Этот документ описывает, как настроить устройство адаптивной защиты Cisco (ASA) как прокси для Citrix Reciever на мобильных устройствах. Эта функция предоставляет безопасный удаленный доступ для приложения Получателя Citrix, которое работает на мобильных устройствах к серверам Инфраструктуры виртуального рабочего стола (VDI) XenApp/XenDesktop через ASA, который избавляет от необходимости Шлюз доступа Citrix.

Предварительные условия Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

Citrix Reciever q Безклиентый WebVPN q

Требования инфраструктуры:

ASA должен иметь допустимый сертификат идентификации, которому доверяют q мобильные устройства.

Интерфейс XML должен быть включен и настроен на сервере Citrix q XenApp/XenDesktop/Storefront.

Используемые компоненты Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Поддерживаемые мобильные устройства

Это - список поддерживаемых мобильных устройств:

iPad - Версия 4.x Получателя Citrix или позже q iPhone/iTouch - Версия 4.x Получателя Citrix или позже q Android 2.x Телефон - Версия 2.x Получателя Citrix или позже q Android 3.x планшет - Версия 2.x Получателя Citrix или позже q Android 4.0/4.1 Телефон/Планшет - Версия 2.x Получателя Citrix или позже q Демонстрация

Для наблюдения демонстрации этого процесса посетите следующую веб-страницу:

Citrix Cisco ASA 9.0 мобильная демонстрация прокси получателя  Общие сведения Шлюз доступа Citrix (CAG) был традиционно единственным способом предоставить безопасный удаленный доступ виртуализированным ресурсам Citrix (рабочие столы и приложения). В типичном развертывании такое устройство было бы расположено позади межсетевого экрана в Демилитаризованной зоне (DMZ). Эта функция добавляет функциональность ASA для поддержки безопасных удаленных соединений к действительным ресурсам от мобильных устройств.

Традиционные развертывания требуют присутствия CAG, который, как правило, располагается позади межсетевого экрана:

С ASA соединения с внутренними ресурсами Citrix возможны без CAG:

Для ASA, чтобы быть в состоянии к прокси - подключениям от Получателя Citrix до сервера Citrix, ASA является олицетворением Доступа Citrix.

Шлюз:

1. То, когда вы пытаетесь соединиться с Citrix, виртуализировало ресурс, вы не должны предоставлять сервер Citrix? s адрес/учетные данные; вместо этого вы вводите IPадрес и учетные данные VPN Уровня защищенных сокетов (SSL) ASA.





2. Новый обработчик ASA создан для обрабатывания запросов, который включает запросы аутентификации от Приемников Citrix (Запросы HTTPS со строкой агента, которая определяет себя как Получатель Citrix).

3. После того, как ASA проверил учетные данные, клиент Получателя начинает получать названные приложения через ASA. Перезаписи ASA и прокси к Серверу XenApp или XenDesktop? s интерфейс сервиса XML (сервис XML является сервисом, который работает на сервере Citrix, что ресурс виртуализации сервисов отнесся запросы).

4. ASA соединяется и аутентифицируется на сервере VDI с предварительно сконфигурированными учетными данными (см. Настраивать раздел). При передаче учетных данных к бэкэнду сервер XenApp/XenDesktop ASA всегда запутывает пароль пользователя с кодированием Citrix CTX1.

Вот список поддерживаемых методов аутентификации ASA с Получателем Citrix:

–  –  –

SecurID RSA с помощью собственного протокола SDI.

q ASA также поддерживает режимы проблемы, которые включают следующий маркер, новый PIN, и истекли режимы PIN.

Двухфакторная аутентификация (RSA и Протокол LDAP) q Ограничения

Ограничения сертификата:

q Аутентификация Сертификата/Смарт-карты не поддерживается как метод автоматического входа в систему, так как эти формы проверки подлинности не позволяют ASA в середине.

Подпись Md5 в сертификатах не работает из-за проблемы безопасности и является проблемой на платформах iOS. Дополнительные сведения могут быть найдены в Получателе для iOS Error: Ошибка подключения. Получатель Citrix не мог установить соединение с обсуждением удаленного хоста.  Если Имя субъекта не полностью совпадет с Полным доменным именем (FQDN) ASA, даже если сертификат идентификации ASA будет содержать Альтернативные имена субъекта (SANs), то сеанс Независимой вычислительной архитектуры (ICA) не запустится (на основе версии, ошибка Сертификата могла быть отображена). Эта проблема была устранена идентификатором ошибки Cisco CSCuj23632.

Доступы клиента Получателя Citrix только один Сервер XenApp/XenDesktop за один раз.

q В результате прокси ASA запрашивают к одному XenApp/XenDesktop на сеанс VPN также. Когда клиент Получателя Citrix соединяется, ASA выбирает первый XenApp/XenDesktop, настроенный.

Перенаправление HTTP не поддерживается, так как текущая версия приложения q Получателя Citrix не работает с перенаправлениями.

Проверки сертификата клиента, уведомление истечения срока действия пароля, Cisco q Secure Desktop (CSD), и все в CSD (не только Безопасное Хранилище) не поддерживается, когда автономные/мобильные клиенты используются, потому что автономные/мобильные клиенты инфраструктуры виртуализации не понимают эти понятия.

Настройка Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Команды CLI При использовании Получателя Citrix мобильный клиент для входа ASA ASA должен подключить его с предопределенным Citrix XenApp или сервером XenDesktop. Для выполнения этого администратор настраивает сервер Citrix? s адрес и учетные данные начала сеанса под Групповой политикой или именем пользователя. В случае, если и имя пользователя и CLI групповой политики настроены, параметры настройки имени пользователя имеют приоритет по групповой политике.

configure terminal group-policy DfltGrpPolicy attributes webvpn [no] vdi { none | type vdi_typeurl url domain domain username username password password} configure terminal username username attributes webvpn [no] vdi { none | type vdi_typeurl url domain domain username username password password}

Примечание:

введите - тип VDI. Для Получателя Citrix типом должен быть Citrix.

url - полный URL сервера XenApp или XenDesktop, который включает HTTP или HTTPS, имя хоста, номер порта, а также путь к сервису XML. Имя хоста и рабочий тракт XML могут содержать безклиентый макрос. Если рабочий тракт XML не предоставлен, путь по умолчанию /Citrix/pnagent/ используется.

имя пользователя - имя пользователя, которое используется для вхождения в сервер инфраструктуры виртуализации. Это может быть безклиентым макросом.

пароль - пароль, который используется для вхождения в сервер инфраструктуры виртуализации. Это может быть безклиентым макросом.

domain - домен, который используется для вхождения в сервер инфраструктуры виртуализации. Это может быть безклиентым макросом.

Серверы Примечание: XenAPP обычно настраиваются для слушания порта 80, таким образом, VDI должен быть настроен с HTTP вместо HTTPS.

Мобильные пользователи Получателя Citrix могут выбрать туннельную группу, в то время как они аутентифицируются с ASA. Выбор туннельной группы позволяет поддержку других протоколов аутентификации и серверов XenApp/XenDekstop для доступа VDI.

Администраторы в состоянии настроить туннельную группу как по умолчанию для доступа VDI.

Когда пользователи не делают выбор туннельной группы, эта группа настроенного туннеля используется:

configure terminal webvpn [no] application-type application_name default tunnel-group tunnel-group-name application_name - имя приложения. Единственное приложение, в настоящее время q поддерживаемое, является получателем Citrix.

имя группы туннелей - название текущей туннельной группы, которая будет q использоваться в качестве по умолчанию для доступа VDI указанного типа.  Пример конфигурации

Это допустимые примеры конфигурации VDI:

configure terminal webvpn [no] application-type application_name default tunnel-group tunnel-group-name Конфигурация менеджера устройств адаптивной безопасности (ASDM) (ASDM)

1. Перейдите к Asdm Конфигурация VPN для удаленного доступа Политика Access

Groups VPN SSL без клиента:

2. Перейдите для Редактирования Больше Опций Доступ VDI:

3. Добавьте сервер VDI:

Примечание: Единственным поддерживаемым режимом является Один режим.

Сертификаты идентификации ASA и центры сертификации (CA) Для Получателя Citrix для работы с ASA мобильные устройства должны доверять CA, q который выполнил сертификат идентификации ASA. Сертификат ASA должен быть выполнен для полного доменного имени (например, clientlessvdi.cisco.com), а НЕ IPадрес ASA. Если сертификат ASA был выполнен промежуточным звеном CA, которое не присутствует в базе ключей мобильного устройства, промежуточному звену CA нужно также доверять.

Когда подключения Получателя Citrix к ASA с недоверяемым сертификатом, q пользователю предлагают со всплывающими предупреждениями, продолжить ли или нет.

Рабочая iOS устройств Apple может поддержать самоподписанные сертификаты ASA, q так как они поддерживают прямой импорт сертификатов и CAs.

На мобильных устройствах Apple, которые выполняют iOS, получатель позволяет q соединение с ASA и извлечением списка приложений, если проигнорированы предупреждения сертификата. Однако пользователь не мог бы быть в состоянии запустить любой из публикованных ресурсов, пока не установлен допустимый сертификат ASA.

Некоторые более старые мобильные устройства операционной системы (OS) Android не q предоставляют легитимного способа импортировать сторонние сертификаты в базу ключей. Поэтому для Получателя Citrix на таких устройствах на базе Android для работы с ASA/CAG ASA должен был выполнить сертификат идентификации CA, который был встроен в базу ключей, например, Verisign или Godaddy.  Если сертификат ASA не присутствует в базе ключей устройства, на мобильных q устройствах Android Получатель Citrix не позволяет соединения с ASA.

Устройства на базе Android с Версией операционной системы 4.1 и более поздним q импортом поддержки сертификатов и CAs и должны работать, как описано выше с iOS.

Интерфейс конечного пользователя / Пользовательский Опыт Добавьте новую учетную запись Использование Получателя Citrix для доступа к действительным ресурсам через ASA предоставляет тот же пользовательский опыт как тогда, когда используется Шлюз доступа Citrix.

Если никакие серверы не настроены, необходимо настроить новый действительный ресурс.

Предоставьте адрес FQDN/IP ASA: Edition, и введите учетные данные для соединения с Проверьте Шлюз доступа, Standard ASA.

Когда профиль пользователя сохранен, приложение автоматически просит учетные данные (ASA) и пытается войти.

Когда вошли, отображения приложения список публикованных ресурсов.

Можно переместиться по папкам и нажать ресурс для запуска его.

    Выйдите из сеанса WebVPN Приложение Получателя Citrix не предоставляет способность завершить сеанс WebVPN со связанным ASA или CAG по желанию. Как правило, такой сеанс завершен при достижении настроенного таймаута. Несмотря на то, что новейшая версия Получателя Citrix имеет новую кнопку Log Off, это не завершает текущий сеанс с ASA. Вместо этого это закрывает все открытые приложения и отображает список настроенных серверов. Поэтому, если ASA настроен для использования только одной лицензии на пользователя, клиенты, которые используют кнопку Log Off, не в состоянии войти снова до окончания времен сеанса.

Чтобы позволить конечным пользователям завершать сеанс WebVPN по желанию и, в результате освобождать лицензию ASA, новая функциональность была добавлена к, вводит Безопасный ресурс Выхода из системы.

Эта инжекция происходит каждый раз, когда Получатель Citrix выбирает список публикованных ресурсов.

При нажатии Безопасного приложения Выхода из системы сеанс между ASA и Получателем Citrix завершен. Для надлежащего выпуска лицензии ASA Безопасный ресурс выхода из системы должен использоваться для завершения сеанса WebVPN вместо собственной кнопки Citrix Receiver Log Off.

Другие сообщения отображены в результате завершения сеанса на основе мобильных устройств и версии Получателя Citrix. Кроме того, различие в способе, которым Приложение Citrix записано для других мобильных платформ, приводит к другому опыту, когда вы выходите из системы устройства на базе Android.

На iPad и iPhone, Получатель Citrix отображает сообщение , Ваш доступ к сеансу шлюза истек, войдите в систему снова. Когда вы нажимаете OK, Получатель Citrix отображает экран с настроенными серверами.

Устройства на базе Android также отображают введенный Безопасный ресурс Выхода из системы.

Однако при нажатии Безопасного приложения выхода из системы ошибка сетевого подключения отображается.

Несмотря на то, что к этому времени сеанс WebVPN завершен, приложение Получателя Citrix не имеет встроенных сообщений для надлежащего информирования вас о дальнейших действиях. Это ожидаемое состояние. Когда это Сообщение об ошибках отобразится в результате завершенного сеанса, оно ожидает, что вы нажмете Кнопку отмены, Кнопку "Назад" на устройстве на базе Android для выхода из текущего счета, и затем OK, когда спросили, если вы хотите уйти с этого счета.

После выхода из текущего счета вам предоставляют список предварительно сконфигурированных серверов.

Проверка В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Отладка Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.  

Можно отобразить данные отладки для Получателя Citrix с этой командой:

debug webvpn citrix 1-255

Примечание:

Уровень 1 отображает ненормальные состояния, сбои подключения к серверу XenApp/XenDesktop и обычные ошибки.

Уровень 50 отображает информацию на данных, которые анализировало/переписывало быть.

Уровень 255 отображает всю информацию об отладке что, как добавлено для соединений Получателя Citrix.

Никакие новые команды не были добавлены для аутентификации Получателя Citrix.

Однако для просмотра транзакций между клиентом и ASA, можно использовать эту отладку:

debug webvpn transformation request Для ссылки.

эти выходные данные показывают эти две отладки, взятые от соединения, которое работает:

debug webvpn transformation request Используйте опознавательные команды отладки общего назначения чтобы для проблем

debug authentication, таких как:

debug aaa commondebug ldapdebug radiusdebug sdi Часто задаваемые вопросы (FAQ) Вопрос. Эта новая характеристика сохраняет гранулированные средства управления, настроенные на XenServer (Например, средства управления, такие как Клиентское Перенаправление Дисковода, Клиентское Перенаправление Принтера, Клиентское Перенаправление Буфера обмена и Клиентское перенаправление устройств USB)?

О. Эти параметры определены на XenServer и являются частью файла ICA. ASA не модифицирует эти параметры. Поэтому установка, которую вы имеете на XenApp или XenDesktop, отражена на клиенте.

Вопрос. ASA имеет гранулированный контроль над соединением ICA, например, предотвратить вырезать-вставить и управлять Принтером, Дисководом, Буфером обмена или перенаправлением USB?

О. ASA не модифицирует те параметры настройки. Поэтому параметры настройки, которые вы имеете на XenApp или XenDesktop, отражены на клиенте Получателя. Cisco знает о функциональном обновлении, потому что его соревнование (Juniper SA и CAG Citrix) в состоянии предотвратить вырезать-вставить независимо от установки в XenApp.

Вопрос. Сервер Citrix Витрины работает с ASA как прокси?

О. Да, эта функция не поддерживается. CSCug18734 запроса на расширение был подан для добавления поддержки этих типов серверов. Поддержка SSO Версии 2.0 витрины добавлена как часть поддержки XenDesktop. Все устаревшие функции Citrix поддерживаются в Версии 2.0 Витрины (XenApp и XenDesktop). Контроллер приложения отнесся, функции не поддерживаются через ASA.  При настройке ASA для Получателя Citrix удостоверьтесь, что задали полный путь к сервису XML, работающему на Витрине, например, http://storefront.cisco.com/Citrix/storefrontweb/pnagent/.

В версиях, которые не имеют исправления для CSCug18734 и которые имеют citrix enabled

debug webvpn, при попытке обратиться к серверу Витрины, тогда вы видите это в отладках:

debug aaa commondebug ldapdebug radiusdebug sdi Вопрос. Даже при том, что сервер Citrix включил и настроил сервис XML, ошибка +++ НЕИЗВЕСТНОЕ ИСКЛЮЧЕНИЕ, CAUGHT продолжает отображаться. Это использовало работать. Что могло быть неправильным?

О. Когда Основы AnyConnect включены на ASA как показано здесь, это может произойти:

debug aaa commondebug ldapdebug radiusdebug sdi Основы AnyConnect используются для включения только полной поддержки клиентов на ASA, и это отключает способность ASA обработать безклиентые попытки подключения.

Когда это происходит, если у вас есть debug webvpn, преобразовывают запрос и citrix

enabled debug webvpn, тогда вы видите это:

Received config.xml request DBG:29:4089679874:74100d20:9902: Finished with hooks (aware.c:aware_dispatch_request:389) DBG:30:4089679886:74100d20:9902: = handoff (AWARE_HOOK_INTERNAL_HANDOFF) (aware.c:aware_dispatch_request:508) DBG:31:4089679900:74100d20:9902: in process request (proxy.c:process_request:239) DBG:32:4089679950:74100d20:9902: Load proxy settings (ucte_policy.c:ucte_get_ctx_settings:690) DBG:33:4089679965:74100d20:9902: Load proxy settings (ucte_policy.c:ucte_get_ctx_settings:720) DBG:34:4089680019:74100d20:9902: parse_req_headers(client_fd, p_req) ;

(proxy.c:process_request:275) DBG:35:4089680038:74100d20:9902: # req (parse_req_headers.re2c:parse_req_headers:1269) DBG:36:4089680049:74100d20:9902: # ver: cursor = 0x747e5a9e; lim = 0x747e5d0f (parse_req_headers.re2c:parse_req_headers:1383) DBG:37:4089680064:74100d20:9902: # ver: cursor = 0x747e5a9f; lim = 0x747e5d0f (parse_req_headers.re2c:parse_req_headers:1383)

DBG:38:4089680077:74100d20:9902: Request: [GET /Citrix/pnagent/config.xml HTTP/1.1]:

39 (parse_req_headers.re2c:parse_req_headers:1399).

.

.

DBG:96:4089680705:74100d20:9902: Clientless WebVPN is not enabled.

(proxy.c:process_request:384).

.

.

DBG:31:4089681295:74100d20:9902: fwrite(0 ? -= 90): [Connection:

close%0d%0aCache-Control: no-store%0d%0aContent-Type: text/html%0d%0aContent-Length:

0%0d%0a%0d%0a]: 90 (SAL/sal-stdio.c:sal_fwrite:92) +++ UNKNOWN EXCEPTION CAUGHT Terminating session for user [test.user] Вопрос. Если вы получаете эту Ошибку SSL сообщения об ошибках 4: Код ошибки: 183, что необходимо сделать?

О. Эта ошибка замечена, когда соединение с брокером XML (сервер XenDesktop) позволено, но заблокированы порты 1494 и 2598 к фактическому пулу XenDesktop. Если вы включаете все порты и затем сужаете требуемые порты, можно отладить.

Для XenDesktop для работы через безклиентое, если существуют какие-либо промежуточные межсетевые экраны между ASA (внутри) и сервером XenDesktop, удостоверяются, что порты 443, 1494, 2598, и 80 открыты на том межсетевом экране. Кроме того, гарантируйте, что порты открыты и для Сервера XenDesktop и для пула XenDesktops.

Вопрос. ASA поддерживает подключения SSL, которые инициируют от автономного клиента Получателя Citrix из Microsoft Windows / Macintosh платформа OSX, точно так же, как вы используете AnyConnect или Cisco VPN Client?

О. В настоящее время автономные Приемники Citrix от рабочих столов поддерживаются через шикарный туннель только (w.r.t безклиентый).

CSCum85649 ENH: Поддержите настольный автономный Citrix Recievers к ASA Это - дефект усовершенствования для поддержки автономного соединения Получателя Citrix с ASA без потребности в шикарном туннеле или начальном портала входе в систему, как существует для мобильного Получателя Citrix с ASA как Шлюз доступа. В настоящее время ASA передает Сброс после начального квитирования к автономному Получателю Citrix (с использованием последних 4.1 для Windows, и имеет то же поведение на других



Похожие работы:

«УДК 159.9 Афанасьев Сергей Глебович Afanasiev Sergey Glebovich кандидат философских наук, PhD in Philosophy, Doctoral student, докторант кафедры эстетики Aesthetics Department, Московского государственного университета Lomonosov Moscow State University, им. Ломоносова, Chairm...»

«Часть первая ПОСТРОЕНИЕ БАЗОВОЙ КОНСТРУКЦИИ Снятие мерок СГ Основные измерения СТ Для того, чтобы приступить к снятию мерок, желаСБ тельно остаться в нижнем белье или в одежде, плотно облегающей...»

«"Мне хотелось бы перед смертью напомнить публике о когда-то ценных и веских для не словах: стыд, совесть, честь и т. п., которые ныне забыты и ни на кого не действуют" [Тюнькин, 1989, с. 616]. В движении к идеалам М.Е. Салтыков-Щедрин видел высший смысл своей жизни. К этому...»

«УДК 622.73 Доценко В.Д., к.г.-м.н., Радчук А.Г. (ПАО НИПИ "Механобрчермет") СЛЕЖИВАЕМОСТЬ ИЗМЕЛЬЧЕННЫХ МАТЕРИАЛОВ Под слеживаемостью принято понимать свойство некоторых измельченных порошкообразных материалов...»

«SkyDNS Zapret ISP Сервер фильтрации по URL ресурсов из реестра запрещенных ресурсов eais.rkn.gov.ru Version 20150525 Оглавление Для кого предназначен этот документ Описание SkyDNS Zapret ISP Схема работы SkyDNS Zapret ISP Что проверяет Роскомнадзор при проведении проверки Схемы подключения SkyDNS...»

«УТВЕРЖДЕНО Советом директоров Открытого акционерного общества “Санкт-Петербургская Биржа” (протокол от 23 декабря 2013 г. № 15/2013) ПРАВИЛА ПРЕДОСТАВЛЕНИЯ НА БИРЖУ ИНФОРМАЦИИ О ВНЕБИРЖЕВЫХ ДОГОВОРАХ С БИ...»

«22.09.2016 Подольский городской суд Московской области Вывести список дел, назначенных на дату 22.09.2016 Поиск информации по делам Решение по гражданскому делу Информация по делу Решение составлено в окончательной форме ДД.ММ.ГГГГ №2­1821/16 РЕШЕНИЕ ИМЕНЕМ РОССИЙСКОЙ ФЕДЕРАЦИИ ДД.ММ.ГГГГ ...»








 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные матриалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.