Вы находитесь на странице: 1из 45

NetScaler Gateway для Citrix

Desktops & Apps


Окончательное руководство по настройке для успешного
развёртывания
SYN 404
Lucas Araujo, Readiness Specialist
Май 2015

v2 March © 2015 Citrix


• Потоки трафика для сценариев внедрения
NetScaler Gateway

• Как работают политики и фильтры Smart Access, а


Программа также обсуждение конфигурации для StoreFront и
Web Interface

• Подсказки по поиску и устранению общих проблем


при внедрении NetScaler Gateway

© 2015 Citrix
Потоки трафика для внедрения
NetScaler

© 2015 Citrix | Confidential


Режимы физического развёртывания
One-Arm

1. Запрос пользователя 2. Запрос пользователя


Публичное Частное
4. Ответ 3. Ответ

© 2015 Citrix
Режимы физического развёртывания
Two-Arm

1. Запрос пользователя 2. Запрос пользователя

Публичное Частное
4. Ответ 3. Ответ

© 2015 Citrix
Процесс перечисления опубликованных приложений
Внешняя DMZ Внутренняя

389/636 LDAP

443 80/443

NetScaler StoreFront

XenApp
XenDesktop
STA XML

© 2015 Citrix
Процесс запуска опубликованного приложения
Внешняя DMZ Внутренняя

1494/2598 XenApp
XenDesktop
443
80/443
StoreFront
NetScaler

STA / XML
80/443

STA XML

© 2015 Citrix
Политики & конфигурация
Как работают политики и фильтры Smart Access & обсуждение
конфигурации

© 2015 Citrix | Confidential


Как получить доступ к Мастеру?

© 2015 Citrix
Что у вас за внедрение?

© 2015 Citrix
Создаём шлюз

© 2015 Citrix
Привязываем SSL сертификат

© 2015 Citrix
Выбираем настройки аутентификации

© 2015 Citrix
Настраиваем конфигурацию StoreFront

© 2015 Citrix
Включаем Pass-through от NetScaler Gateway
Шаг 1

© 2015 Citrix
Добавляем шлюз
Шаг 2

© 2015 Citrix
Добавляем шлюз
Шаг 2

© 2015 Citrix
Включаем удалённый доступ
Шаг 3

© 2015 Citrix
Политика аутентификации
Что получаем при создании?

© 2015 Citrix
Сессионная политика
Что получаем при создании?

Сессионная политика Receiver

Сессионная политика
Receiver для Web
© 2015 Citrix
Smart Access

© 2015 Citrix
Поиск и устранение
неисправностей

© 2015 Citrix | Confidential


Поиск и устранение ошибок: Потенциальные области проблем

Внешняя DMZ Внутренняя


Типы проблем: Журнал событий
Аутентификация LDAP безопасности на DC
(LDAP или IAS)
Авторизация
Перечисление NSIP
ПО 1- SF/WI настройки сайта
2- SF/.WI трассировка
Запуск ПО
NetScaler 3- Журнал событий

Путь STA на SF/WI


SNIP или MIP
P 1- Настройки сервера
VI аутентификации
2- Трассировка NS StoreFront
3- aaad.debug
1- Настройки
XenApp
1- Настройки XML
аутентификации 2- Журналирование
2- NS.log STA
1- Настройки профиля
2- Трассировка NetScaler XenDesktop 3- Трассировка CDF

3. Сертификаты
LDAP /LDAPS Трассировка CDF
1- Трассировка NS (TCP) - 389/636
nssslvpn.txt 2 - Монитор STA
(newnslog) Порты и правила IP
nssslvpn.txt 3 - Лицензирование
Порты и правила IP
Файл ICA -
ID Порты и правила IP

© 2015 Citrix
Поиск и устранение ошибок: Потенциальные области проблем

Внешняя DMZ Внутренняя


Журнал
Типы проблем:
событий
LDAP безопасности
Аутентификация на DC (LDAP
NSIP
илиIAS)

NetScaler
P
SNIP или MIP StoreFront
VI
1- Настройки
сервера
аутентификации
2- Трассировка NS
XenApp
3- aaad.debug XenDesktop

LDAP /LDAPS
(TCP) - 389/636

© 2015 Citrix
Ошибки аутентификации

© 2015 Citrix
Aaad.debug
root@ns# cat /tmp/aaad.debug
Wed Aug 6 16:07:47 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/naaad.c[359]: process_kernel_socket call to authenticate user :ica, vsid :716
Wed Aug 6 16:07:47 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]: start_ldap_auth attempting to auth ica @ 172.16.1.27
Wed Aug 6 16:07:47 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]: receive_ldap_bind_event receive ldap bind event
Wed Aug 6 16:07:47 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: receive_ldap_user_search_event built group string for ica of:
notepad
Wed Aug 6 16:07:47 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/naaad.c[1142]:
send_accept sending accept to kernel for : ica

© 2015 Citrix
Aaad.debug
root@ns# cat /tmp/aaad.debug
Wed Aug 6 16:03:49 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/naaad.c[359]: process_kernel_socket call to authenticate user :ica, vsid :716
Wed Aug 6 16:03:49 2008 /home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[40]: start_ldap_auth attempting to auth ica @
172.16.1.27
Wed Aug 6 16:03:49 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[291]: receive_ldap_bind_event receive ldap bind event
Wed Aug 6 16:03:49 2008 /home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/ldap_drv.c[551]: receive_ldap_user_search_event built
group string for ica of: notepad
Wed Aug 6 16:03:49 2008
/home/build/rs_81_58_1/usr.src/usr.bin/nsaaad/../../netscaler/aaad/naaad.c[1198]: send_reject sending reject to kernel for : ica

© 2015 Citrix
Поиск и устранение ошибок: Потенциальные области проблем

Внешняя DMZ Внутренняя


Типы проблем:
LDAP
Авторизация

NetScaler
P
SNIP или MIP StoreFront
VI
1- Настройки
аутентификации
2- NS.log
XenApp
XenDesktop

nssslvpn.txt Порты и правила IP

© 2015 Citrix
Grep ns.log
• # grep sac /var/log/ns.log

• Aug 1 16:00:37 <local0.alert> 10.217.140.160 08/01/2008:23:00:37 GMT ns 1958 : SSLVPN HTTP_RESOURCEACCESS_DENIED : Context
sac@10.216.106.63 - User sac - Total_bytes_send 642 - Remote_host www.slashdot.org - Denied_url GET / - Denied_by_policy "SAC" - Group(s)
"N/A"
• Aug 1 16:01:33 <local0.alert> 10.217.140.160 08/01/2008:23:01:33 GMT ns 2018 : SSLVPN HTTP_RESOURCEACCESS_DENIED : Context
sac@10.216.106.63 - User sac - Total_bytes_send 484 - Remote_host 172.16.1.28 - Denied_url GET /cvpn/hHBFHmhttp://172.16.1.28/citrix/NSG -
Denied_by_policy "SAC" - Group(s) "N/A"
• Aug 1 16:01:34 <local0.alert> 10.217.145.160 08/01/2008:23:01:34 GMT ns 2019 : SSLVPN NONHTTP_RESOURCEACCESS_DENIED : Context
sac@10.216.106.63 - User sac - Client_ip 10.216.106.63 - Nat_ip "Mapped Ip" - Vserver 10.217.140.162:443 - Source 10.216.106.63:1888 -
Destination 172.16.1.27:139 - Total_bytes_send 293 - Total_bytes_recv 0 - Denied_by_policy "SAC" - Group(s) "N/A"
• Aug 1 16:07:07 <local0.alert> 10.217.140.160 08/01/2008:23:07:07 GMT ns 2077 : SSLVPN HTTP_RESOURCEACCESS_DENIED : Context
sac@10.216.106.63 - User sac - Total_bytes_send 484 - Remote_host 172.16.1.28 - Denied_url GET /cvpn/9nVti7http://172.16.1.28/citrix/NSG -
Denied_by_policy "SAC" - Group(s) "N/A"

© 2015 Citrix
Поиск и устранение ошибок: Потенциальные области проблем

Внешняя DMZ Внутренняя


Типы проблем:
1- Настройки сайта
LDAP SF/WI
Перечисление
приложений 2- Трассировка
SF/.WI
3- Журнал событий
NetScaler
P
SNIP или MIP StoreFront
VI

1- Настройки профиля
2- Трассировка NetScaler
3- Сертификат XenApp
XenDesktop
1- Настройки XML
nssslvpn.txt Порты и правила IP 2- Журналирование STA
3- Трассировка CDF

© 2015 Citrix
Проверка приватного ключа

openssl x509 -noout -modulus -in certificate.crt

openssl rsa -noout -modulus -in privateKey.key

openssl req -noout -modulus -in CSR.csr

© 2015 Citrix
Проверка цепочки сертификатов
http://digicert.com/help

© 2015 Citrix
Приоритет политик

Порядок политик Числовое значение приоритета имеет


превосходство, независимо от того
Пользователь (высший куда привязана политика. 
приоритет)

Группа

Виртуальный сервер

Глобальная (низший
приоритет)
Номер приоритета

© 2015 Citrix
Как увидеть срабатывание политики
http://support.citrix.com/article/CTX138840

1 7001 30 1 0 pol_hits Policy(LDAP)


3 0 28 1 0 pol_hits Policy(PL_WB_10.25.223.119)

© 2015 Citrix
Поиск и устранение ошибок: Потенциальные области проблем

Внешняя DMZ Внутренняя

Типы проблем: LDAP


Запуск
приложения Путь STA на
SF/WI
NetScaler
P
SNIP или MIP StoreFront
VI 1- Трассировка NS
2- Монитор STA
(newnslog)
3- Лицензирование XenApp
XenDesktop
Трассировка CDF
ICA файл - ID Порты и правила IP

© 2015 Citrix
License.log

1:47:12 (CITRIX) SERVER line says HOSTNAME=cag,


hostid is HOSTNAME=ns
1:47:12 (CITRIX) Invalid hostid on SERVER line
Users of CAG_SSLVPN_CCU: (Error: 2 licenses,
unsupported by licensed serv

© 2015 Citrix
Wireshark

© 2015 Citrix
Отклик билетом STA
STA ID

Билет STA

© 2015 Citrix
Анализ значений Default.ica

40 = Port 2598
10 = Port 1494 STA ID Билет STA

© 2015 Citrix
NetScaler Gateway и STA
STA ID

Состояние UP

© 2015 Citrix
Citrix Insight Services

© 2015 Citrix
Ресурсы
• Как сконфигурировать NetScaler Gateway с StoreFront –
Руководство по внедрению
• Как решать проблемы аутентификации на – CTX114999
• Как решать проблемы с лицензиями – CTX11644
• Как проверить срабатывание политики на – CTX138840
• Как включить журналирование STA на XenApp – CTX120589
• Как захватить nstrace из интерфейса командной строки NetScaler CLI -
CTX120941
• NetScaler + Wireshark – Citrix Blog

© 2015 Citrix
Вопросы?

© 2015 Citrix
© 2015 Citrix
Work better. Live better.

Оценить