Skip to content

Citrix Receiver über Access Gateway Enterprise

by Natanael Mignon on März 12th, 2011

Um über einen Access Gateway Enterprise (CAGEE) Virtual Server sowohl den Zugriff per Browser und Access Gateway Plug-In (Netzwerktunnel) als auch per Citrix Receiver vom iPhone, iPad, Android, Blackberry und so weiter zu ermöglichen, sind zwei Tricks nötig. Grund dafür ist, dass der Receiver die Anmeldedaten bei Verwendung von One Time Passwords (OTP) in der umgekehrten Reihenfolge sendet wie die Web-Schnittstelle: User, OTP, Password statt User, Password, OTP.

Voraussetzung: Zwei Web Interface Sites sind konfiguriert, eine für Access Gateway Zugriff (Authentifizierungspunkt: Access Gateway, Zugriffsmethode: Gateway direkt, auf dem/den WI-Servern wird FQDN des CAGEE auf interne/erreichbare VIP aufgelöst, STAs und Auth-Service URL sind konfiguriert) und eine Service Site (PNAgent).

Weiterhin gehe ich davon aus, dass die Anmeldung an Windows und interne Websites nur mit Benutzername + Passwort durchgeführt wird (für Single Sign On).

Dann sieht die Konfiguration des CAGEE VServers auf dem Netscaler aus wie folgt:

  • Zwei Authentication Server anlegen, LDAP (Active Directory) und Radius (Vasco, RSA oder andere OTP-Produkte)
  • Vier Athentication Policies anlegen, jeweils zwei für LDAP und Radius, die sich durch die Expression unterscheiden, anhand derer sie zur Anwendung kommen. Je eine Policy, die zu LDAP und Radius führt, verwendet als Expression „REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver“, das andere Pärchen „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“. (durch die spätere Priorisierung könnte man bei einem Pärchen die Expression auch weglassen, aber so ist es doppelt sicher)
  • Zwei Session Profiles anlegen. Eines für den normalen Web-Zugriff so konfigurieren, wie man das Verhalten im Browser haben möchte (mit/ohne Clientless Access, mit/ohne Client Choices usw., Single Sign On Credential Index „Primary“) und mit der CAG Site als „Web Interface Address“ – das ist das Browser-Profile. Das Receiver Profile bekommt folgende Einstellungen: Split Tunnel „On“, Clientless Access „Off“, Web Interface Address = URL der PNAgent Service Site.
  • Zwei Session Policies anlegen. Eine wiederum mit der Expression „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“, um entsprechend das Receiver-Profile auszuwählen, die andere die Negation.
  • CAGEE VServer anlegen, SSL Zertifikat binden.
  • Authentication Policies binden: Unter Primary wird mit niedrigerem Wert für die Priority die Policy gebunden, die den Receiver positiv bestimmt und die Radius-Authentifizierung erfordert, mit höherem Wert die den Receiver negativ (NOTCONTAINS) und dafür die LDAP-Authentifizierung bestimmt. Unter Secondary umgekehrt, d.h. oberste Prio ist Receiver auf LDAP und darunter NICHT Receiver auf Radius.
  • Session Policies binden: Oberste Priorität bekommt die Receiver-Policy, darunter die Browser-Policy.
  • STAs hinzufügen.

Das sollte es gewesen sein. Im Receiver auf Smartphone oder Tablet den Store konfigurieren zur Anmeldung an Access Gateway Enterprise und die entsprechenden Anmeldedaten eingeben (Speichern geht nicht, ist ja ein OTP beteiligt). Den Receiver für Windows besser mittels Merchandising Server parametrisieren und bereitstellen, dann lässt sich auch die Feldbeschriftung schöner setzen.

Comments are closed.