Citrix Receiver über Access Gateway Enterprise

Um über einen Access Gateway Enterprise (CAGEE) Virtual Server sowohl den Zugriff per Browser und Access Gateway Plug-In (Netzwerktunnel) als auch per Citrix Receiver vom iPhone, iPad, Android, Blackberry und so weiter zu ermöglichen, sind zwei Tricks nötig.

Grund dafür ist, dass der Receiver die Anmeldedaten bei Verwendung von One Time Passwords (OTP) in der umgekehrten Reihenfolge sendet wie die Web-Schnittstelle: User, OTP, Password statt User, Password, OTP.

Voraussetzung für CAGEE auf NetScaler

Es müssen zwei Web Interface Sites konfiguriert sein. Hiervon eine für den Access Gateway Zugriff (Authentifizierungspunkt: Access Gateway, Zugriffsmethode: Gateway direkt, auf dem/den WI-Servern wird FQDN des CAGEE auf interne/erreichbare VIP aufgelöst, STAs und Auth-Service URL sind konfiguriert) und eine Service Site (PNAgent).

Weiterhin gehe ich davon aus, dass die Anmeldung an Windows und internen Websites nur mit Benutzernamen und Passwort durchgeführt wird (für Single-Sign-On).

Konfiguration des CAGEE VServers auf dem NetScaler

• Zwei Authentication Server: LDAP (Active Directory) und Radius (Vasco, RSA oder andere OTP-Produkte)
• Vier Authentication Policies: Jeweils zwei für LDAP und Radius, die sich durch die Expression unterscheiden, anhand derer sie zur Anwendung kommen. Je eine Policy, die zu LDAP und Radius führt, verwendet als Expression „REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver“, das andere Pärchen „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“. (durch spätere Priorisierung könnte man bei einem Pärchen die Expression auch weglassen, aber so ist es "doppelt sicher")
• Zwei Session Profiles: Eines für den normalen Web-Zugriff, wo man das das Verhalten im Browser konfiguriert (mit/ohne Clientless Access, mit/ohne Client Choices usw., Single Sign On Credential Index „Primary“) und den anderen mit der CAG Site als „Web Interface Address“ – das ist das Browser-Profile. Das Receiver Profile bekommt folgende Einstellungen: Split Tunnel „On“, Clientless Access „Off“, Web Interface Address = URL der PNAgent Service Site.
• Zwei Session Policies: Eine wiederum mit der Expression „REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver“, um entsprechend das Receiver-Profile auszuwählen, die andere die Negation.

Weitere Einstellungen und für einen CAGEE VServer auf Citrix NetScaler

• Legen Sie CAGEE VServer an und binden Sie das SSL-Zertifikat ein
• Binden Sie Authentication Policies wie folgt: Unter Primary wird mit niedrigerem Wert für die Priority die Policy gebunden, die den Receiver positiv bestimmt und die Radius-Authentifizierung erfordert, mit höherem Wert die den Receiver negativ (NOTCONTAINS) und dafür die LDAP-Authentifizierung bestimmt. Unter Secondary umgekehrt, d.h. oberste Prio ist Receiver auf LDAP und darunter NICHT Receiver auf Radius.
• Binden Sie die Session Policies: Oberste Priorität bekommt die Receiver-Policy, darunter die Browser-Policy.
• Fügen Sie STAs hinzu.

Das sollte es gewesen sein. :)

Konfigurieren Sie im Receiver auf dem Smartphone oder Tablet noch den Store zur Anmeldung an Access Gateway Enterprise und geben Sie die entsprechenden Anmeldedaten ein (Speichern geht nicht, da ein OTP beteiligt ist). Den Receiver für Windows parametrisieren Sie besser mittels Merchandising Server und stellen Ihn bereit, dann lässt sich auch eine Feldbeschriftung deutlich schöner setzen.