Citrix Access Gateway Standard Edition
Contents
1. Einfuhrung in das Citrix Access Gateway Citrix Access Gateway ist eine sichere Anwendungszugriffsl sung die Administratoren durch Richtlinien auf Anwendungsebene und Aktionssteuerung erm glicht den Zugriff auf Anwendungen und Daten zu sichern w hrend sie Benutzern gleichzeitig erm glichen an einem beliebigen Ort zu arbeiten IT Administratoren erhalten eine Steuerungszentrale und Tools die sie dabei unterst tzen Regelungen einzuhalten und hochgradige Informationssicherheit innerhalb und au erhalb des Unternehmens zu gew hrleisten Gleichzeitig gibt es Benutzern einen einzelnen Zugriffspunkt zu den Unternehmensanwendungen und Daten die sie ben tigen optimiert anhand von Rollen Ger ten und Netzwerken Diese einzigartige Kombination von Funktionen hilft die Produktivit t der heutigen mobilen Mitarbeiter zu maximieren Dieses Kapitel enth lt Access Gateway Technologien Access Gateway Betriebsmodi Access Gateway Technologien Das Access Gateway l sst sich schnell und einfach bereitstellen und verwalten Das Access Gateway wird dabei in den meisten F llen hinter der Firewall oder in der DMZ platziert Es werden aber auch komplexere Bereitstellungen unterst tzt z B bei Verwendung eines Server Load Balancers oder einer Double Hop DMZ 16 Citrix Access Gateway Standard Edition Administratordokumentation Wenn das Access Gateway zum ersten Mal gestartet wird m ssen Sie mit dem Access Gateway A2. 00 00 e cece cece eee 12 Subscription Advantage 0 ccc eee t nee e eens 13 Knowledge Center Benachrichtigungen 00 cece eee eee 13 Schulung und Zertifizierung teens 13 Terminologie nderungen 0 eect n teen ens 14 Kapitel 2 Einf hrung in das Citrix Access Gateway Access Gateway Technologien 0 cee e cece cette eens 15 Access Gateway Betriebsmodi nunnan nner ccc eee eens 16 Funktionen des Access Gateways 1 0 0 00 c cece cence teen eens 17 Neue Features in diesem Release 2 cece cece eee nes 18 nderungen an Access Gateway Features 0 0 000 ccc eee eee sees 19 Kapitel 3 Planen der Bereitstellung Bereitstellen des Access Gateways 00 ccc ccc cnt e eens 22 Access Gateway in der DMZ des Netzwerks 0 0 e cee eee eens 22 Installieren des Access Gateways in der DMZ 000 e eee eee 23 Access Gateway Konnektivit t in der DMZ 20 0 c eee eee 23 Access Gateway in einem gesicherten Netzwerk 0 00 eee eee eee 24 Access Gateway Konnektivit t in einem gesicherten Netzwerk 24 Planen f r Sicherheit im Access Gateway 2222222 cece cece eens 25 Konfigurieren der sicheren Zertifikatverwaltung 222 2 0 25 Unterst tzung bei der Authentifizierung 0 e ee eee eee 26 4 Citrix Access Gateway Standard Edition Administratordokumentation Bereitstellen des Access Ga
3. 0 0 cee cece teen Ea 231 Ihre Organisation hat eine eigene Zertifizierungsstelle 232 Ihre Organisation hat keine eigene Zertifizierungsstelle 232 Beantragen von Serverzertifikaten 0 cece eee eee eee eee 233 Digitale Zertifikate und deren Verwendung im Access Gateway 233 Verwenden von Windows Zertifikaten 0 0 eee cee ee eee 234 Entschl sseln des privaten Schl ssels 0 cee cece eee 235 Umwandeln in ein PEM formatiertes Zertifikat 0 000005 235 Kombinieren des privaten Schl ssels mit dem signierten Zertifikat 237 Generieren vertrauensw rdiger Zertifikate f r mehrere Ebenen 238 Anfordern von Zertifikaten f r interne Verbindungen 239 Verwenden von Platzhalterzertifikaten 00 cece eee eee ee 240 Anhang C Beispiele fur die Konfiguration des Netzwerkzugriffs Konfigurationsbeispiele 0 0 0 ccc ett e teen eee 243 Konfigurieren der LDAP Authentifizierung und Autorisierung 244 Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung 245 Konfigurieren des Access Gateways zur Untersttitzung des Zugriffs auf die internen Netzwerkressourcen 0 c cece eee cent eee 250 Szenario f r das Erstellen von Gastkonten mit der Liste Local Users 262 Erstellen eines Authentifizierungsbereichs f r Gastbenutzer 263 Erstellen lokaler Benutzer
4. 163 Konfigurieren von Websitzungstimeouts 2 00 cece eee ee eee 164 Anfordern von Clientzertifikaten f r die Authentifizierung 165 Definieren von Clientzertifikatskriterien 0 0 cece cee eee ee 165 Verwenden von Clientzertifikaten mit Access Gateway Advanced Edition 167 Installieren von Stammzertifikaten 20 0 cece eee eee 167 Abrufen eines Stammzertifikats von einer Zertifizierungsstelle 168 Installieren von Stammzertifikaten auf einem Clientger t 168 Ausw hlen einer Verschl sselungsart f r Clientverbindungen 169 Kapitel 9 Konfigurieren von Anmelde und Portalseiten f r das Citrix Access Gateway Plug in Konfigurieren der Access Gateway Anmeldeseiten 2222200 172 Aktivieren der Anmeldeseitenauthentifizierung 00005 172 Anpassen der Anmeldeseite 0 0 0 eee cece eens 172 Access Gateway Portalseitenvorlagen 0 eee cee eee eens 174 Herunterladen von und Arbeiten mit Portalseitenvorlagen 174 Installieren benutzerdefinierter Portalseitendateien 176 Ausw hlen einer Portalseite f r eine Gruppe 22222222 177 Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen 178 Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind 179 Kapitel 10 Wartung des Access Gateways Access Gateway Verwaltungstools 0 0 0 0 ccc ccc cts 1
5. 0 00 ccc cece ene eens 264 Erstellen und Zuweisen einer Netzwerkressource fiir die Standardbenutzergruppe eee eee eee neces 265 Szenario fiir das Konfigurieren der lokalen Autorisierung fiir lokale Benutzer 266 Anhang D Problembehandlung beim Access Gateway Problembehandlung bei Webinterface Verbindungen 269 Das Webinterface wird angezeigt ohne dass Anmeldeinformationen eingegeben wurden sd eee ser sr Gees er De HERE DIES ee 269 Nach dem Anmelden werden keine Anwendungen angezeigt 270 Benutzer werden zu einer Anmeldeseite geleitet auf der sie zum Starten des Access Gateway Plug ins aufgefordert werden 0000005 271 10 Citrix Access Gateway Standard Edition Administratordokumentation Sonstige Problemes i p esni r eaa aa A Ea ar E nenne 271 Lizenzdatei stimmt nicht mit dem Access Gateway tiberein 271 Definieren von Subnetzeinschr nkungen f r zug ngliche Netzwerke 272 Virtualisierungssoftware 0 cent teen tenes 272 ICMP Uberttagungets 5 6 o50344a 56 5 e3aeeyddeaaeeee each ewan naa 272 Bing Befehl 2 in i Lae eral eatin a ilies see 272 LDAP Authentifizierung 0 272 Endpoint Policies Endpunktrichtlinien 0 e eee eee eee 273 Netwerkressourcen 0 cece EE EEEE EEE EE EE eens 273 Internes Failover erap e aag an en REED 273 Zertifikatsignierung 2 22222 cee teen eee nenne 274 Zertifikatsperrlisten
6. Wenn Sie der Anwendungsrichtlinie eine Endpunktrichtlinie hinzuf gen m chten klicken Sie unter End Point Policies auf die Richtlinie und ziehen Sie sie auf Application end point policies 6 Klicken Sie auf OK Durch Anwendungsrichtlinien wird der Netzwerkzugriff weiter eingeschr nkt indem einzelne Netzwerkressourcen bestimmten Anwendungen zugewiesen werden Anwendungsrichtlinien definieren den Netzwerkpfad und die Endpunktrichtlinien f r eine bestimmte Anwendung So f gen Sie einer Gruppe eine Anwendungsrichtlinie hinzu 1 Klicken Sie auf der Registerkarte Access Policy Manager im rechten Bereich unter Application Policies auf die Richtlinie die Sie hinzuf gen m chten und ziehen Sie sie dann auf die Benutzergruppe im linken Bereich 2 Klicken Sie zum Zulassen oder Verweigern des Zugriffs mit der rechten Maustaste auf die Anwendungsrichtlinie und klicken Sie dann auf Allow oder Deny Wenn eine Anwendungsrichtlinie erstellt und dann einer Benutzergruppe hinzugef gt wird kann die Anwendung nur den festgelegten Netzwerkpfad und die angegebene Endpunktrichtlinie verwenden Andere Anwendungen werden dadurch aber nicht an der Verwendung dieser Ressourcen gehindert Wenn Anwendungen an der Verwendung dieser Netzwerkressourcen gehindert werden sollen k nnen Sie den Zugriff auf das Netzwerk verweigern So verweigern Sie den Netzwerkzugriff f r Anwendungen ohne Richtlinien 1 Klicken Sie mit der rechten Maustaste auf der Reg
7. 22 222222 cect n eee nenn 274 Netzwerkmeldungen an nicht vorhandene IP Adressen 274 Das Access Gateway startet nicht und die serielle Konsole ist leer 275 Zugriff auf das Administration Tool nicht m glich 275 Kommunikation zwischen Ger ten und dem Access Gateway nicht m glich 275 Verwenden von Strg Alt Entf zum Neustarten des Access Gateways nicht OB ITE en a ee ee ee Bee 275 Sitzungen mit SSL Version 2 und Zertifikatketten auf mehreren Ebenen 276 H 323 Protok ll 2 4 3 2 Si arg 276 Zertifikate mit 512 Bit Schl sselpaaren 0 0 cee cece eee 276 Laufwerkszuordnung kann nicht mit einer Anwendungsrichtlinie eingeschr nkt werden ur seh en a nk a re E 276 Citrix Access Gateway Plug in 2 eee teens 277 Access Gateway Plug in Verbindungen mit Windows XP 277 DNS Namensaufl sung mit Namensdienstanbietern 277 Funktion zum automatischen Aktualisieren 2222222c0200 277 Von Windows Server 2003 Computern ausgehende Clientverbindungen 277 NTLM Authentifizierung 22222222 cc teenies 277 WINS Eintt ge 2 2 22 8 ond ede deed eat er 278 Verwendung von Drittanbieter Clientsoftware 22222222200 278 Einfuhrung Hinweise zur Benutzung dieses Handbuchs Dieses Benutzerhandbuch richtet sich an Systemadministratoren die mit der Installation und Konfiguration des Access Gateways betraut wurden Dabei wird
8. Aktualisieren von Lizenzierungsinformationen Wenn Sie nderungen an der Lizenzierung auf dem Access Gateway vornehmen k nnen Sie die Angaben auf der Registerkarte Licensing aktualisieren So aktualisieren Sie die Lizenzierungsinformationen Klicken Sie unter Information about the licensing server auf Refresh all information Aktualisieren vorhandener Lizenzen Als Subscription Advantage Mitglied k nnen Sie Ihre vorhandenen Access Gateway Lizenzen austauschen migrieren und damit Ihre Lizenzdateien auf den neuesten Stand bringen 50 Citrix Access Gateway Standard Edition Administratordokumentation Kulanzzeitraum fur die Lizenzierung Bei der Installation des Access Gateways beginnt ein viert giger Kulanzzeitraum w hrend dessen Ihnen zwei Lizenzen zur Verf gung stehen Die Lizenz muss auf dem Ger t vor dem Ablaufen des Kulanzzeitraums installiert sein Sonst k nnen Benutzer sich nicht anmelden Wenn der Access Gateway Lizenzserver ausf llt haben die anderen Ger te im Cluster einen Kulanzzeitraum von 30 Tagen Das Access Gateway speichert das Datum an dem zum letzten Mal eine Verbindung zum Lizenzserver hergestellt wurde Die Benutzer k nnen sich w hrend dieses Kulanzzeitraums wie gewohnt anmelden Sobald das Remoteger t den Lizenzserver erkennt wird der drei igt gige Kulanzzeitraum zur ckgesetzt Bei einem erneuten Ausfall des Lizenzservers erhalten die Benutzer erneut einen drei igt gigen Kulanzzeitraum
9. Konfigurieren des Netzwerkrouting Um Zugriff auf interne Netzwerkressourcen zu gew hren muss das Access Gateway in der Lage sein Daten an interne Netzwerke weiterzuleiten Die Netzwerke an die das Access Gateway Daten weiterleiten kann werden durch die Konfiguration der Access Gateway Routingtabelle und das f r das Access Gateway festgelegte Standardgateway bestimmt Wenn das Access Gateway ein Paket erh lt berpr ft es die Routingtabelle Wenn die Zieladresse des Pakets in einem Netzwerk ist f r das eine Route in der Routingtabelle vorhanden ist wird das Paket an dieses Netzwerk weitergeleitet Wenn das Access Gateway ein Paket erh lt und die Routingtabelle keine Route f r die Zieladresse des Pakets enth lt sendet das Access Gateway das Paket von authentifizierten Benutzern an das Standardgateway Die Routingfunktionen des Standardgateways bestimmen dann wie das Paket weitergeleitet wird Die Routingtabelle des Access Gateways muss alle Routen enthalten die zum Weiterleiten von Daten an interne Netzwerkressourcen erforderlich sind auf die Benutzer eventuell Zugriff ben tigen Sie legen fest wie die Access Gateway Routingtabelle konfiguriert werden Sie k nnen eine Routing Information Protocol RIP Option ausw hlen sodass Routen von einem RIP Server automatisch konfiguriert werden oder Sie k nnen eine statische Routingoption ausw hlen und die Routen manuell konfigurieren Weitere Informationen hierzu finden Sie
10. 158 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung Wenn die Netzwerkverbindung kurz unterbrochen wird m ssen sich Benutzer standardm ig nicht neu anmelden sobald die Verbindung wiederhergestellt ist Sie k nnen allerdings vorschreiben dass Benutzer sich nach einer Unterbrechung doch neu anmelden m ssen z B wenn sich ein Computer im Ruhezustand oder Standby Modus befunden hat wenn Benutzer in ein anderes drahtloses Netzwerk wechseln oder wenn eine Verbindung erzwungenerma en beendet wurde Hinweis Das Access Gateway versucht Benutzer mit dem gecachten Kennwort zu authentifizieren Wenn Benutzer sich mit einem Einmal Kennwort anmelden wie etwa von einem RSA SecurID Token schl gt die Authentifizierung am Access Gateway fehl und die Benutzer k nnen sich nicht anmelden oder werden gar gesperrt Damit diese Einmal Kennw rter nicht wieder verwendet werden k nnen Sie das Access Gateway so konfigurieren dass Benutzer sich nach einer Netzwerkunterbrechung neu anmelden m ssen Weitere Informationen hierzu finden Sie unter Konfigurieren der Authentifizierung f r die Verwendung von Einmal Kennw rtern auf Seite 107 So erzwingen Sie die Neuanmeldung von Benutzern nach einer Netzwerkunterbrechung oder einem Ruhezustand 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste
11. 3 Wahlen Sie im Men Action den Befehl Remove Default realm Es wird eine Warnmeldung angezeigt Klicken Sie auf Ja Geben Sie im Feld Realm name den Namen Default ein W hlen Sie One Source und klicken Sie auf Add AR Aktivieren Sie im Dialogfeld Select Authentication Type die Option LDAP authentication und klicken Sie dann auf OK Dann wird das Fenster f r den neuen Standardbereich ge ffnet 254 Citrix Access Gateway Standard Edition Administratordokumentation 8 F llen Sie im Fenster f r den neuen Standardbereich auf der Registerkarte Authentication die erforderlichen Felder aus um dem Access Gateway Zugriff auf den LDAP Server zu erm glichen Verwenden Sie hierf r die im vorigen Arbeitsschritt Sammeln der LDAP Verzeichnisinformationen gesammelten Informationen 9 Klicken Sie auf die Registerkarte Authorization 10 W hlen Sie unter Authorization type die Option LDAP authorization 11 F llen Sie auf der Registerkarte Authorization die erforderlichen Felder aus um dem Access Gateway Zugriff auf den LDAP Server zu erm glichen 12 Klicken Sie auf Submit Weitere Informationen zum Erstellen von Bereichen finden Sie unter Konfigurieren des Bereichs Default auf Seite 75 Erstellen der entsprechenden Gruppen auf dem Access Gateway Das Erstellen der entsprechenden Gruppen auf dem Access Gateway ist der dritte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigurationss
12. Beim Einrichten der Kommunikation mit einem anderen Host oder Netzwerk muss u U eine statische Route vom Access Gateway dem neuen Ziel hinzugef gt werden sofern Sie kein dynamisches Routing verwenden Richten Sie die statischen Routen auf dem Access Gateway Adapter ein der nicht von dem auf der Registerkarte General Networking angegebenen Standardgateway verwendet wird Ein Beispiel f r das Einrichten einer statischen Route finden Sie unter Beispiel f r eine statische Route auf Seite 64 Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 63 So f gen Sie eine statische Route hinzu 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t und klicken Sie auf die Registerkarte Routes 2 Wahlen Sie unter Select routing type die Option Static routing 3 Geben Sie unter Add a static route im Feld Destination LAN IP address die IP Adresse des Ziel LANs ein 4 Geben Sie unter Subnet mask die Subnetzmaske f r das Gatewayger t ein 5 Geben Sie unter Gateway die IP Adresse f r das Standardgateway ein Wenn Sie kein Gateway angeben kann das Access Gateway nur auf den Inhalt im lokalen Netzwerk zugreifen 6 W hlen Sie unter Interface den Netzwerkadapter f r die statische Route aus Die Standardeinstellung ist Interface 0 7 Klicken Sie auf Hinzuf gen Der Routenname wird auf der Registerkarte Routes in der Liste Static routes angezeigt So testen Sie eine statisc
13. von US 3 CA 230 Citrix Access Gateway Standard Edition Administratordokumentation Hierarchische Struktur einer typischen digitalen Zertifikatkette Zertifizierungsstellen k nnen ihre eigenen Zertifikate signieren d h sie sind selbst signiert oder sie k nnen auch von einer anderen Zertifizierungsstelle signiert werden Selbst signierte Zertifikate stammen von sogenannten Stammzertifizierungsstellen Nicht selbst signierte Zertifikate stammen von sogenannten untergeordneten Zertifizierungsstellen oder Zwischenzertifizierungsstellen Wenn ein Zertifikat von einer Zertifizierungsstelle mit einem selbstsignierten Zertifikat signiert ist setzt sich die Zertifikatkette aus genau zwei Zertifikaten zusammen dem Zertifikat der Endeinheit und dem Zertifikat der Stammzertifizierungsstelle Wenn ein Benutzer oder Serverzertifikat von einer Zwischenzertifizierungsstelle signiert ist ist die Zertifikatkette l nger Die nachstehende Abbildung zeigt dass die ersten beiden Elemente das Endeinheitszertifikat in diesem Fall gwy01 firma com und das Zertifikat der Zwischenzertifizierungsstelle und zwar in dieser Reihenfolge sind Nach dem Zertifikat der Zwischenzertifizierungsstelle folgt das Zertifikat ihrer Zertifizierungsstelle Das letztgenannte Zertifikat in dieser Liste ist das Zertifikat der Stammzertifizierungsstelle Jedes Zertifikat in der Kette best tigt die Identit t des vorhergehenden Zertifikats E Rootca US CA Intermediat
14. 2007 Dieses Produkt enth lt Software die von Independent JPEG Group entwickelt wurde 1991 1998 Dieses Produkt enth lt Software die von libpng org entwickelt wurde 1995 2009 Dieses Produkt enth lt Software die von OpenLDAP Foundation entwickelt wurde 1998 2008 Dieses Produkt enth lt Software die von OpenSSL Project entwickelt wurde 1998 2008 Dieses Produkt enth lt zlib Software die von Jean loup Gailly und Mark Adler entwickelt wurde 1995 2005 Dieses Produkt enth lt Software die von SilverStripe Limited entwickelt wurde 2006 2009 Lizenzierung Teile dieser Dokumentation ber Globetrotter Macrovision und FLEXIm sind urheberrechtlich gesch tzt von 2003 2006 Macrovision Corporation Alle Rechte vorbehalten Apache Software Foundation Copyright 2009 Citrix Systems Inc Lizenziert unter der Apache Lizenz Version 2 0 die Lizenz Sie d rfen diese Datei nur in bereinstimmung mit der Lizenz verwenden Sie erhalten eine Kopie der Lizenz an dieser Stelle http www apache org licenses LICENSE 2 0 Au er wenn es durch das geltende Gesetz erforderlich ist oder schriftlich vereinbart wurde wird die Software unter der Lizenz OHNE JEGLICHE HAFTUNG ODER KONDITIONEN bereitgestellt weder ausdr cklich noch impliziert Details ber die geltenen Erlaubnisse und Einschr nkungen finden Sie im Text der Lizenz Anerkennung von Marken Adobe Acrobat und PostScript sind Marken oder eingetragene Marken
15. Access Gateway in einem gesicherten Netzwerk Access Gateway Konnektivitat in einem gesicherten Netzwerk Wird ein Access Gateway im gesicherten Netzwerk bereitgestellt miissen die Access Gateway Plug in Verbindungen die Firewall durchqueren um eine Verbindung zum Access Gateway herstellen zu k nnen Standardm ig verwenden Clientverbindungen das SSL Protokoll auf Port 443 um diese Verbindung herzustellen Damit diese Verbindung m glich ist m ssen Sie Port 443 in der Firewall ffnen Hinweis Sie k nnen den Port ndern ber den die Clientger te eine Verbindung zum Access Gateway aufbauen Bearbeiten Sie hierzu die Porteinstellung im Administration Tool Weitere Informationen zu dieser Porteinstellung finden Sie unter Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln auf Seite 38 Kapitel 3 Planen der Bereitstellung 25 Planen fur Sicherheit im Access Gateway Beim Planen jeder Access Gateway Bereitstellung sind gewisse grundlegende Sicherheitsaspekte im Zusammenhang mit Zertifikaten mit der Authentifizierung und mit der Autorisierung zu beachten Konfigurieren der sicheren Zertifikatverwaltung Standardm ig enth lt das Access Gateway ein selbst signiertes SSL Serverzertifikat mit dem das Access Gateway in der Lage ist SSL Handshakes zu verarbeiten F r Testbereitstellungen sind selbst signierte Zertifikate durchaus angemessen f r den Einsatz in Produktionsumgebungen reichen diese Zertifikate jed
16. Hierarchie 229 Inhalt 228 Installation 51 233 Installation mit Administration Portal 54 Installation mit Administration Tool 54 Installation tiber Windows Computer 55 Kennwort f r privaten Schl ssel 52 Ketten 229 Kombinieren mit privatem Schl ssel 237 LDAP Verbindungen 89 Mehrere Ebenen und SSL Version 2 276 mehrere Stammzertifkate 57 Privat 232 privaten Schl ssel entschl sseln 235 Probezeit 233 Serielle Konsole Standard zur cksetzen 36 Index 287 Server 228 Signieren 274 Sperrlisten 230 Stamm 167 228 Stammzertifikat 56 Stammzertifikate unter Windows installieren 168 Test 233 Uberpriifungsvorgang 232 Umwandeln in PEM Format 235 untergeordnete 230 Zertifikatketten 229 Zertifikatsignieranforderung 52 Zur cksetzen auf Standardzertifikat 54 Zwischenzertifikat 230 Zertifikatketten 229 Zertifikatsignieranforderung berblick 52 Zertifikatsperrlisten 230 274 Zertifizierungsstelle Stammzertifikate abrufen 168 Zertifizierungsstellen 228 ffentlich 232 privat 232 untergeordnete 229 ZoneAlarm Pro 199 Zug ngliche Netzwerke 114 Einschr nkungen 272 Konfigurationsbeispiele 251 Zug ngliche Netzwerke f r Access Gateway Access Gateway Plug in Fenster 156 Zugriff ohne Zugriffssteuerungsliste verweigern 113 116 Zugriffssteuerungsliste 120 Access Gateway Plug in Eigenschaften 156 Zugriff ohne verweigern 113 Zugriff verweigern 116 Zulassen und Verweigern 125 Zweimethodenauthentifizierung 108
17. Shut down Initialisieren des Access Gateways Nach dem Andern der Verwaltungseinstellungen miissen Sie das Access Gateway initialisieren damit die Anderungen wirksam werden Wenn die Initialisierung des Access Gateways erforderlich ist wird im Administration Tool im Bereich Alerts eine Meldung angezeigt Beim Initialisieren des Access Gateways werden alle Benutzer vom Access Gateway getrennt Sie sollten die Initialisierung daher zu Zeiten durchf hren wenn m glichst wenige Benutzer mit dem Access Gateway verbunden sind So initialisieren Sie das Access Gateway Klicken Sie auf der Registerkarte Administration im Bereich Access Gateway management neben Initialize the appliance auf Initialize Oder Klicken Sie im Menti Action auf Initialize Access Gateway Name wobei Access Gateway Name der Name des Ger ts ist 196 Citrix Access Gateway Standard Edition Administratordokumentation Zulassen von ICMP Verkehr ICMP Verkehr Internet Control Message Protocol zum Access Gateway ist standardm ig deaktiviert Wenn Sie ICMP Verkehr zulassen m chten verwenden Sie die Registerkarte Access Gateway Cluster gt Administration Wenn ICMP Verkehr zugelassen ist k nnen die Benutzer Server im internen sicheren Netzwerk pingen Das Access Gateway selbst kann keinen ICMP Verkehr empfangen So lassen Sie ICMP Verkehr zu l ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 W
18. Teilsatz der Ressourcen zugreifen sollen Durch Erlauben und Verweigern des Benutzergruppenzugriffs auf Netzwerkressourcengruppen erstellen Sie eine Zugriffssteuerungsliste Access Control List ACL f r die betreffende Benutzergruppe Sie bestimmen ob eine Benutzergruppe ohne eine ACL vollen Zugriff auf Ressourcen in einem Netzwerk hat an das das Access Gateway Daten weiterleiten kann Standardm ig haben Benutzergruppen ohne ACL Zugriff auf alle Ressourcen in allen Netzwerken an die das Access Gateway Daten weiterleiten kann Dieses Standardverhalten empfiehlt sich wenn die meisten Ihrer Benutzergruppen vollen Netzwerkzugriff haben sollen Bei Beibehaltung dieses Standardverhaltens m ssen Sie eine Zugriffssteuerungsliste nur f r die Benutzergruppen konfigurieren die keinen vollen Netzwerkzugriff haben sollen Das Standardverhalten kann auch f r einen ersten Test der Bereitstellung n tzlich sein Sie k nnen das Standardverhalten ndern sodass Benutzergruppen der Netzwerkzugriff so lange verweigert wird bis sie ausdr cklich berechtigt sind auf eine oder mehrere Netzwerkressourcengruppen zuzugreifen Sie konfigurieren Zugriffssteuerungslisten f r Benutzergruppen indem Sie festlegen welche Netzwerkressourcen f r die einzelnen Benutzergruppen zug nglich oder nicht zug nglich sein sollen Standardm ig ist der Zugriff auf alle Netzwerkressourcengruppen erlaubt und der Netzwerkzugriff wird durch die Option Deny Access wit
19. Wenn Sie auf solche Warnmeldungen reagieren k nnen Sie festlegen ob die Aktion immer zugelassen oder verhindert werden soll Sie sollten die Aktion immer verhindern Sygate Personal Firewall kostenlose und Pro Version Jedes Mal wenn die Sygate Personal Firewall auf eine neue Aktivit t st t f r die es noch keine Regel gibt wird eine Eingabeaufforderung angezeigt Gew hren Sie Zugriff auf die Anwendungen und Speicherorte auf die Sie mit dem Access Gateway Plug in zugreifen m chten Klicken Sie auf Ja wenn eine Aufforderung angezeigt wird Kapitel 10 Wartung des Access Gateways 199 Tiny Personal Firewall Mit den Tiny Personal Firewall Einstellungen kann das Access Gateway Plug in eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen Um die Einstellungen zu konfigurieren ffnen Sie das Verwaltungsfenster der Tiny Personal Firewall und ndern Sie die Einstellungen f r die Filterregeln Hinweis Eine Methode zum Konfigurieren der Tiny Personal Firewall besteht darin auf die Eingabeaufforderungen zu reagieren die angezeigt werden wenn die Firewall auf eine neue Aktivit t st t f r die es noch keine Regel gibt Konfigurieren Sie Tiny Personal Firewall bevor Sie das Access Gateway Plug in installieren Nachdem Sie die Konfigurations nderungen angewendet und das Access Gateway Plug in gestartet haben zeigt Tiny Personal Firewall mehrere Warnungen ber eingehende Verbi
20. besteht darin berhaupt keine Ressourcengruppen zu erstellen und die Option Deny access without access control list ACL auf der Registerkarte Global Cluster Policies zu deaktivieren Alle Benutzergruppen haben dann Zugriff auf alle Netzwerkressourcen auf die ber das Access Gateway zugegriffen werden kann Wenn Sie Benutzergruppen haben die Zugriff auf alle Netzwerkressourcen ben tigen erstellen Sie eine Ressourcengruppe f r 0 0 0 0 0 0 0 0 und geben Sie den Benutzergruppen Zugriff auf diese Ressource F r alle anderen Benutzergruppen k nnen Sie die einzelnen Ressourcengruppen nach Bedarf zulassen oder verweigern So erstellen und konfigurieren Sie eine Netzwerkressource Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste im linken Bereich auf Network Resources und klicken Sie dann auf New Network Resource Geben Sie einen Namen f r die Gruppe ein und klicken Sie auf OK Geben Sie unter Network and subnet mask das Paar aus IP Adresse und Subnetzmaske f r die Ressource in das Feld Subnets ein Sie k nnen f r die Subnetzmaske die CIDR Notation verwenden Trennen Sie die einzelnen Eintr ge durch ein Leerzeichen voneinander 124 Citrix Access Gateway Standard Edition Administratordokumentation 5 Geben Sie unter Port or port range die Ports ein tiber die das Access Gateway Verbindungen zu den Netzwerkressourcen herstellen kann Sie haben folgende Optionen Geben Sie eine
21. davon ausgegangen dass das Access Gateway mit einem vorhandenen Netzwerk verbunden ist und dass der Administrator tiber die notwendigen Kenntnisse zum Konfigurieren dieses Netzwerks verfiigt Bei den Konfigurationsschritten in diesem Dokument wird vorausgesetzt dass das Access Gateway als eigenst ndige Anwendung bereitgestellt wird und dass Benutzer eine direkte Verbindung zum Access Gateway herstellen Dieses Benutzerhandbuch enth lt auch Informationen wie Sie das Access Gateway f r die Zusammenarbeit mit Access Gateway Advanced Edition konfigurieren Weitere Informationen hierzu finden Sie unter Bereitstellen von Access Gateway Advanced Edition auf Seite 30 Typografische Konventionen In der Access Gateway Dokumentation werden die folgenden typografischen Konventionen f r Men s Befehle Tasten und Objekte in der Benutzeroberfl che des Programms verwendet Konvention Bedeutung Fettdruck Befehle Namen von Benutzeroberfl chenobjekten z B Textfelder und Optionsschaltfl chen sowie Benutzereingaben Kursiv Platzhalter f r Informationen oder Parameter die Sie eingeben m ssen Dateiname in einem Verfahren bedeutet z B dass Sie den tats chlichen Namen einer Datei eingeben m ssen Au erdem werden neue Begriffe sowie die Titel von Dokumentationen in Kursivschrift angegeben SystemRoot Das Windows Systemverzeichnis das WTSRV WINNT WINDOWS oder ein anderer Verzeichnisname sein kann den Sie bei der Inst
22. die auf dem Access Gateway installiert sind Dazu geh ren die Gesamtzahl der Access Gateway und XenDesktop Verbindungslizenzen das Ablaufdatum von Subscription Advantage das Ausstellungs und Verfallsdatum der Lizenzen der Lizenztyp und die unterst tzten Features Falls zwei Lizenzen mit derselben Seriennummer installiert sind werden diese Dateien nicht einzeln gerechnet Das Ger t das als Lizenzserver fungiert w hlt eine der Lizenzdateien aus und weist den Benutzern die Lizenzen zu Informationen auf der Registerkarte Statistics Die Lizenzierungsinformationen auf der Registerkarte Statistics zeigen Access Gateway und XenDesktop Verbindungslizenzen die derzeit auf dem Access Gateway Ger t verwendet werden auf dem Sie die Daten ansehen Die Informationen auf dieser Registerkarte m ssen nicht mit den Informationen auf der Registerkarte Licensing bereinstimmen Abrufen Ihrer Lizenzdateien Nachdem Sie Access Gateway installiert haben k nnen Sie Ihre Lizenzdateien von Citrix abrufen Dazu greifen Sie unter http www mycitrix com auf Ihre verf gbaren Lizenzen zu und generieren eine Lizenzdatei Wenn die Lizenzdatei generiert wurde laden Sie sie auf den Computer herunter auf dem das Administration Tool installiert ist Anschlie end k nnen Sie die Lizenzdatei auf das Access Gateway hochladen Bevor Sie auf die Citrix Website gehen sollten Sie die folgenden Informationen haben Lizenzcode Sie finden den Code auf d
23. gbar 120 Citrix Access Gateway Standard Edition Administratordokumentation So aktivieren oder deaktivieren Sie die Eigenschaften der Gruppe Default 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf die Benutzergruppe und klicken Sie dann auf Properties 3 Auf der Registerkarte General w hlen Sie eine dieser Optionen Wenn die Benutzer die Einstellungen der Standardgruppe nicht erben sollen deaktivieren Sie die Option Inherit properties from the Default group Wenn die Benutzer die Einstellungen der Standardgruppe erben sollen aktivieren Sie die Option Inherit properties from the Default group 4 Klicken Sie auf OK Konfigurieren von Ressourcen f r eine Benutzergruppe Ressourcen f r Benutzergruppen werden im rechten Bereich der Registerkarte Access Policy Manager konfiguriert Zu den Ressourcen geh ren Network Resources Application Policies Endpoint Resources Endpunktressourcen Endpoint Policies Endpunktrichtlinien Nachdem Sie die Einstellungen konfiguriert haben ziehen Sie die Ressourcenrichtlinie auf die Gruppe im linken Bereich Beispiel Sie haben eine Netzwerkressource konfiguriert und gespeichert in der die Netzwerke angegeben sind zu denen die Benutzer eine Verbindung herstellen k nnen Wenn Sie eine Gruppe von tempor ren Mitarbeitern haben f r die nur eingeschr nkte Rechte gelten ziehen Sie die Ressou
24. hlen Sie in der Liste Log archive das entsprechende Datum aus und klicken Sie dann auf View Log Anhang A Uberwachen des Access Gateways 217 4 So laden Sie ein Protokoll herunter W hlen Sie in der Liste Log Archive ein Protokoll aus und klicken Sie neben Selected Log File auf Download Der Protokolldateiname hat standardm ig folgendes Format JUJMMTT log Wenn Sie alle Protokolle herunterladen m chten klicken Sie neben All Log Files auf Download Der Dateiname ist dann standardm ig wie folgt log archive JJJJMMTT tgz Zum Herunterladen von Protokollen vom Access Gateway muss auf Ihrem Computer ein Datenkomprimierungsprogramm z B WinZip installiert sein Die Protokolle werden als TGZ Datei heruntergeladen und m ssen dann extrahiert werden Nach dem Herunterladen einer Datei k nnen Sie deren Inhalt extrahieren und so auf die einzelnen Protokolldateien zugreifen Anzeigen der Access Gateway Plug in Verbindungsprotokolle Das Access Gateway Verbindungsprotokoll enth lt Echtzeitinformationen zu Verbindungen die besonders n tzlich beim Beheben von Access Gateway Plug in Verbindungsproblemen sind Sie k nnen ber das Access Gateway Symbol vom Clientger t auf das Verbindungsprotokoll zugreifen Der Benutzer kann Ihnen diese Informationen f r die Fehlersuche bei Verbindungsproblemen schicken So zeigen Sie das Verbindungsprotokoll an 1 Klicken Sie mit der rechten Maustaste im Infobereich der Taskleiste auf da
25. hlen Sie auf der Registerkarte Administration unter Access management die Option Allow ICMP traffic und klicken Sie auf Apply Change Konfigurieren pers nlicher Firewalls von Drittanbietern Wenn ein Benutzer keine Verbindung zum Access Gateway herstellen oder nicht auf zugelassene Ressourcen zugreifen kann wird der Verkehr m glicherweise durch die Firewallsoftware auf dem Computer des Benutzers blockiert Das Access Gateway kann zusammen mit allen pers nlichen Firewalls eingesetzt werden sofern f r das Access Gateway ein vertrauensw rdiges Netzwerk oder eine vertrauensw rdige IP Adresse angegeben werden kann Citrix empfiehlt dass die pers nlichen Firewalls der Benutzer Vollzugriff f r das Citrix Access Gateway Plug in zulassen Wenn Sie keinen vollst ndigen Zugriff gew hren m chten sollten die folgenden UDP und UDP TCP Ports auf dem Clientger t offen sein e 10000 UDP 10010 UDP TCP e 10020 UDP e 10030 UDP Pers nliche Firewalls m ssen so konfiguriert sein dass sie eingehenden und ausgehenden Datenverkehr von der IP Adresse oder dem vollqualifizierten Dom nennamen des Access Gateways zulassen In den Access Gateway Plug in Eigenschaften sehen Sie welche Ports offen sind Sie ffnen die Eigenschaften ber das Verbindungssymbol im Infobereich Die offenen Ports werden auf der Registerkarte Details aufgef hrt Kapitel 10 Wartung des Access Gateways 197 Wenn Sie das Access Gateway Plug in auf einem Cli
26. mit mindestens sechs Zeichen w hlen 188 Citrix Access Gateway Standard Edition Administratordokumentation Wiederherstellen gespeicherter privater Zertifikatschlussel Die privaten Schl ssel f r mit Access Gateway Version 4 5 oder h her erstellten Zertifikate sind jetzt verschl sselt und durch Kennw rter gesch tzt Die neuen privaten Schl ssel sind nicht mit fr heren Versionen der Access Gateway Software kompatibel Aus diesem Grund ist es wichtig vor einem Upgrade die aktuelle Konfiguration zu speichern Wenn eine gespeicherte Konfiguration auf dem Ger t wiederhergestellt wird ist das Kennwort f r den privaten Schl ssel nicht erforderlich Das Kennwort wird auch beim Speichern der Ger tekonfiguration nicht ben tigt Das Kennwort ist beim Installieren oder Erstellen eines Zertifikats mit Access Gateway Version 4 6 erforderlich Wenn Sie ein neues mit Version 4 5 erstelltes Zertifikat hochladen oder eine gespeicherte Konfiguration einer fr heren Version der Software wiederherstellen werden Sie zur Eingabe des Kennworts aufgefordert Wenn der private Schl ssel des Zertifikats verschl sselt ist kann der Schl ssel mit dem Kennwort entschl sselt werden Wenn der private Schl ssel nicht verschl sselt ist wird er mit dem Kennwort verschl sselt Wenn Sie ein Upgrade von einer fr heren Version des Access Gateways durchf hren und der private Schl ssel kein Kennwort hat wird ein zuf llig erstelltes Kennwort zugewiese
27. port und klicken Sie auf OK Hinweis Wenn Sie die Standardeinstellung Do not accept connections on port 80 verwenden schlagen alle Verbindungsversuche auf Port 80 fehl und es wird nicht versucht sie an Port 443 umzuleiten Konfigurieren der TCP IP Einstellungen fur eine Double Hop Bereitstellung Das Access Gateway kann in einer Double Hop DMZ installiert werden um Zugriff auf eine Serverfarm zu geben Weitere Informationen tiber diese Bereitstellung finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop 42 Citrix Access Gateway Standard Edition Administratordokumentation Neustarten des Access Gateways Starten Sie das Access Gateway nach der Konfiguration der Netzwerkeinstellungen neu So starten Sie das Access Gateway neu 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration neben Restart the appliance auf Restart Oder Klicken Sie im Menii Action auf Restart Gerdtename wobei Gerdtename der Name des Access Gateways ist Sie k nnen Access Gateway auch ber das Administration Portal neu starten So starten Sie Access Gateway ber das Administration Portal neu Klicken Sie im Administration Portal auf Maintenance Klicken Sie neben Restart the Server auf Restart Konfigurieren des Access Gateways fu
28. 10 0 24 Der einzelne E Mail Server auf den Remotebenutzer zugreifen m ssen hat die IP Adresse 10 10 25 50 Festlegen welche Benutzer aus den Abteilungen Vertrieb und Technik Remotezugriff ben tigen Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung muss der Administrator im zweiten Arbeitsschritt festlegen welche Benutzer aus den Abteilungen Vertrieb und Technik Remotezugriff ben tigen Bevor ein Administrator das Access Gateway zur Unterst tzung der Autorisierung mit einem LDAP Verzeichnis konfigurieren kann muss er verstehen wie das Access Gateway den Autorisierungsvorgang mit Gruppen vornimmt Insbesondere muss der Administrator das Verh ltnis zwischen der Gruppenmitgliedschaft eines Benutzers im LDAP Verzeichnis und der Gruppenmitgliedschaft eines Benutzers auf dem Access Gateway verstehen Hinweis Zur Unterst tzung von Autorisierungstypen basiert das Access Gateway hnlich wie RADIUS auf Benutzergruppen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 247 Wenn ein Benutzer in einem LDAP Verzeichnis eine Verbindung zum Access Gateway herstellt l uft die grundlegende Authentifizierung und Autorisierung in der folgenden Reihenfolge ab Nachdem ein Benutzer seine Authentifizierungsinformationen vom LDAP Verzeichnis eingegeben hat sucht das Access Gateway nach diesem Benutzer im LDAP Verzeichnis berpr ft die Anmeldeinformationen des Benutzers und meldet
29. 227 Zweimethodenauthentifizierung 108 Authentifizierungstypen 26 Autorisierung 74 LDAP 81 86 LDAP Konfigurationsbeispiel 244 Lokale Benutzer 79 NTLM 105 RADIUS 90 93 SafeWord 101 B Benutzer mehreren Gruppen hinzuf gen 121 Netzwerkresourcen 122 Netzwerkzugriff 112 Benutzergruppen Authentifizierung 115 Benutzer 115 Eigenschaften 119 159 Entfernen 119 Erstellen 118 IP Pooling 159 Konfigurieren 115 lokal 116 mehrere 118 Portalseite 177 Ressourcen 120 Ressourcenzugriffssteuerung 125 Sitzungstimeout aktivieren 163 Split DNS 161 berblick 115 Benutzergruppeninformationen 115 Benutzernamensvariable f r Portalseite 175 Benutzersitzungstimeout 163 Benutzerverbindungen Access Gateway Plug in 137 Bereiche Entfernen 78 Erstellen 76 Bereichsbasierte Authentifizierung Standardbereich 75 Bereitstellung Access Gateway Advanced Edition 30 Authentifizierungsunterst tzung 26 Citrix XenApp 27 Citrix XenDesktop 27 Cluster 203 Double Hop DMZ 27 einzelne DMZ 22 Failover 28 212 gesichertes Netzwerk 24 Load Balancer 28 206 Mehrere Access Gateway Ger te 201 Sicherheits berlegungen 25 Webinterface 27 Bereitstellungsoptionen 22 Betriebsmodi 16 Branch Repeater 136 C CAs Siehe Zertifizierungsstellen Certificate Authorities Citrix Branch Repeater 136 Repeater Plug in 136 Citrix Education 13 Citrix Preferred Support Services 12 Citrix Presentation Server Clients siehe Citrix XenApp P
30. Access Gateways ein z B https vpn meinefirma com 2 Geben Sie auf der Anmeldeseite den Benutzernamen und das Kennwort ein und klicken Sie dann auf Login Die Standardportalseite wird ge ffnet Hinweis Ist die Option Enable logon page authentication auf der Registerkarte Global Cluster Policies nicht aktiviert melden sich die Benutzer erst dann an wenn die Verbindung zur Portalseite aufgebaut ist siehe Schritt3 68 Citrix Access Gateway Standard Edition Administratordokumentation 3 Um eine Verbindung mit dem Access Gateway Plug in von einem gesicherten Computer herzustellen gehen Sie wie folgt vor Klicken Sie auf Citrix Access Gateway Wenn zum ersten Mal eine Verbindung ber den Webbrowser hergestellt wird werden Sie aufgefordert dass Access Gateway Plug in zu installieren Klicken Sie zweimal auf Run klicken Sie auf Next und folgen Sie dann den Anweisungen im Installationsassistenten f r das Access Gateway Plug in Das Access Gateway Plug in wird auf dem Clientger t installiert Wenn das Plug in installiert ist k nnen Benutzer beim n chsten Mal das Access Gateway Plug in starten ohne ber die Webanmelde und Portalseiten gehen zu m ssen Klicken Sie auf Start gt Alle Programme gt Citrix gt Citrix Access Clients gt Citrix Access Gateway um die Verbindung herzustellen 4 Klicken Sie auf Citrix XenApp um sich am Webinterface anzumelden Die Benutzer geben ihren Benutzernamen
31. Authentifizierungsserver gesendet und das Kennwort wird entweder best tigt oder verworfen Konfigurieren der Gemalto Protiva Einstellungen Verwenden Sie beim Konfigurieren von Gemalto Protiva f r Access Gateway die folgende Richtschnur Installieren Sie den Protiva Server e Installieren Sie das Protiva Internet Authentication Server IAS Agent Plug in auf einem Microsoft IAS RADIUS Server Notieren Sie sich die IP Adresse und die Portnummer des IAS Servers Konfigurieren Sie einen Bereich realm auf dem Access Gateway f r die RADIUS Authentifizierung und geben Sie die Einstellungen des Protiva Servers an So konfigurieren Sie einen Gemalto Protiva Bereich 1 Klicken Sie im Administration Tool auf die Registerkarte Authentication 2 Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen ein 3 W hlen Sie One Source und klicken Sie dann auf Add Hinweis Wenn Sie Zweimethodenauthentifizierung konfigurieren w hlen Sie Two Source aus und klicken Sie auf Add Weitere Informationen zum Konfigurieren der Zweimethodenauthentifizierung finden Sie unter Konfigurieren von Zweimethodenauthentifizierung auf Seite 108 Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 103 4 Wahlen Sie unter Select Authentication Type neben Authentication type die Option Gemalto authentication aus und klicken Sie auf OK 5 Geben Sie unter IP Address die IP Adresse des RADIUS IAS Servers
32. Balancer ist mit einer eindeutigen IP Adresse oder einem eindeutigen vollqualifizierten Dom nennamen konfiguriert Diese Adresse wird vom Citrix Access Gateway Plug in oder einem Webbrowser verwendet um eine Verbindung zum Load Balancer herzustellen Der Load Balancer verteilt die Clientverbindungen gleichm ig auf die Ger te die hinter ihm bereitgestellt sind Sobald eine Clientverbindung eingeht w hlt der Load Balancer mit einem Algorithmus eines der Ger te in der Liste aus und leitet die Clientverbindung an das ausgew hlte Access Gateway weiter Neben der gleichm igen Verteilung der Clientverbindungen tr gt ein Load Balancer auch zur hohen Verf gbarkeit des internen Netzwerks bei Kapitel 11 Installieren zus tzlicher Access Gateway Ger te 207 Einige Load Balancer sind in der Lage den Ausfall von Ger ten zu erkennen die sich hinter ihnen befinden Wenn ein Load Balancer erkennt dass ein Ger t ausgefallen ist entfernt der Load Balancer das betreffende Ger t aus der Liste der verf gbaren Ger te und leitet die Clientverbindungen an die verbleibenden aktiven Ger te um Sobald das Access Gateway wieder online ist wird es durch den Load Balancer wieder in die Liste der aktiven Ger te aufgenommen So wird sichergestellt dass alle Clientverbindungen auch dann ununterbrochen Zugriff auf das interne Netzwerk erhalten wenn ein Access Gateway ausf llt Konfigurieren des Lastausgleichs Installieren und konfigurieren Sie
33. Citrix stellt Portalseitenvorlagen zur Verf gung die individuell angepasst werden k nnen Eine einfache Form der Anpassung der Standardportalseite ist das Ersetzen des Logos Der Text f r Citrix Access Gateway verwendet eine Variable die in den Text der Vorlage eingesetzt wird Der Text kann nicht ge ndert werden Hinweis Wenn Sie der Vorlage Text hinzuf gen oder Format nderungen vornehmen m chten sollten Sie jemanden zurate ziehen der sich mit HTML auskennt Es werden nur die nderungen an den Vorlagen unterst tzt die hier beschrieben werden Herunterladen von und Arbeiten mit Portalseitenvorlagen Die Portalseitenvorlagen stehen im Administration Portal auf der Seite Downloads zur Verf gung Die Portalseitenvorlagen enthalten Variablen die das Access Gateway durch den Namen des aktuellen Benutzers ersetzt und durch einen Link mit dem das Access Gateway Plug in gestartet wird Kapitel 9 Konfigurieren von Anmelde und Portalseiten fiir das Citrix Access Gateway Plug in 175 Die fiir Vorlagen zur Verfiigung stehenden Variablen werden in der folgenden Tabelle erklart Variable Durch Variable eingefiigter Inhalt citrix_username Name des angemeldeten Benutzers eitrix_portal_full_client_only Ausschlie lich Link zum Secure Access Plug in So laden Sie die Portalseitenvorlagen auf den lokalen Computer herunter 1 2 Klicken Sie im Administration Portal auf Downloads Klicken S
34. Deny Access deaktiviert ist haben Benutzer vollen Zugriff auf das Netzwerk So verweigern Sie Benutzergruppen ohne Zugriffssteuerungsliste den Zugriff 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Klicken Sie im Bereich Access Options auf Deny access without access control list ACL und klicken Sie auf Submit Erstellen lokaler Benutzergruppen Sie k nnen auch lokale Gruppen hinzuf gen die in keiner Beziehung zu Gruppen auf den Authentifizierungsservern stehen So k nnen Sie z B eine lokale Gruppe erstellen um einen Vertragspartner oder Besucher einzurichten der vor bergehend Zugriff haben soll Es muss daf r auf dem Authentifizierungsserver kein Eintrag erstellen werden Informationen zum Erstellen eines lokalen Benutzers finden Sie unter Konfigurieren lokaler Benutzer auf Seite 79 Hinweis Wenn Sie eine Benutzergruppe mit mehr als 127 Zeichen erstellen und diese Gruppe anschlie end l schen wird sie dennoch weiterhin auf der Registerkarte Group Priority angezeigt Sie k nnen dieses Problem umgehen indem Sie Benutzergruppennamen mit weniger als 127 Zeichen verwenden Alle Zeichen die diese Grenze berschreiten werden abgeschnitten Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 117 Konfigurieren von Ressourcengruppen Eine Reihe von Aspekten des Access Gateway Betriebs wird auf Gruppenebene konfiguriert Dabei wird zwischen Gruppeneigenschaften und Gruppenressourcen
35. Enable IP pools Die Benutzer bernehmen die IP Adresse von der Gruppe mit der h chsten Priorit t f r die IP Pools aktiviert sind Inherit properties from the Default Group Wenn f r eine der Gruppen zu denen ein Benutzer geh rt die Option Inherit properties from the Default Group aktiviert ist erbt der Benutzer die Einstellungen der Standardgruppe Die Einstellungen die nicht vereint werden richten sich nach der Gruppenpriorit t Dazu geh ren folgende Einstellungen e Authenticate after network interruption Authenticate upon system resume Enabling single sign on with Windows Run logon scripts Session timeout Enable split DNS Access Gateway Portalseiten 122 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Netzwerkressourcen Netzwerkressourcen definieren die Speicherorte in dem gesicherten Netzwerk auf die autorisierte Benutzer zugreifen k nnen Ressourcengruppen sind mit Benutzergruppen verkn pft um so Richtlinien f r die Ressourcenzugriffssteuerung zu bilden LDAP Server Fa Benutzer informationen Gruppen informationen Ressourcen richtlinie angewendet Clientgerat Benutzer authentifiziert Access Gateway Client erhalt Zugriff auf Ressourcen Netzwerktopologie fiir Ressourcengruppen und Authentifizierung Stellen Sie sich vor Sie m chten einer Benutzergruppe den sicheren Zugriff auf Folgendes bereitstellen Sub
36. Gateway Cluster und anschlie end auf die Registerkarte Advanced Options 2 Geben Sie den gew nschten Zeitraum in das Feld Retry invalid server in access server farm every Zeitraum in Sekunden seconds ein wobeiZeitraum in Sekunden das Textfeld ist und klicken Sie auf Set 32 Citrix Access Gateway Standard Edition Administratordokumentation Erstmalige Installation des Access Gateways Das Access Gateway kann in einer beliebigen Netzwerkinfrastruktur ohne Anderungen an der vorhandenen Hardware oder Backendsoftware installiert werden Access Gateway kann zusammen mit anderen Netzwerkprodukten wie z B Server Load Balancers Cache Engines Firewalls Routern und drahtlosen IEEE 802 11 Ger ten eingesetzt werden Citrix empfiehlt Access Gateway in der DMZ zu installieren Wenn es in der DMZ installiert wird ist das Access Gateway Gerat Teil von zwei Netzwerken einem privaten Netzwerk und einem ffentlichen Netzwerk mit einer ffentlich routbaren IP Adresse blicherweise ist das private Netzwerk das interne Netzwerk und das ffentliche Netzwerk das Internet Sie k nnen f r Zugriffssteuerungs und Sicherheitszwecke mit Access Gateway auch organisationsintern LANs partitionieren Sie k nnen Partitionen zwischen Kabel oder Funknetzwerken und Daten und Sprachnetzwerken erstellen Dieses Kapitel enth lt Vorbereitung f r die Installation von Access Gateway Einrichten der Access Gateway Hardware Konfigurieren
37. Gateway im Cluster wird auf der Registerkarte Publish aufgef hrt Im Feld Synchronization Status wird f r jedes Ger t eine der folgenden Synchronisierungsmeldungen angezeigt In Syne Die Access Gateway Konfiguration wurde erfolgreich ver ffentlicht e Not in Sync Die Einstellungen wurden ge ndert aber nicht ver ffentlicht Sync Failed Die Synchronisierung des Access Gateways ist fehlgeschlagen berpr fen Sie das Ger t und versuchen Sie es dann noch einmal Unknown Status Der Status des Access Gateways kann nicht ermittelt werden berpr fen Sie das Ger t und versuchen Sie es dann noch einmal 206 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren mehrerer Gerate fur die Verwendung eines Load Balancers Durch die Bereitstellung mehrerer Ger te hinter einem Load Balancer k nnen Sie eine gro e Anzahl Remotebenutzer unterst tzen und dabei die hohe Verf gbarkeit des internen Netzwerks f r die Benutzer sicherstellen Der Load Balancer den Sie mit den Ger ten bereitstellen m ssen Load Balancing basierend auf Quell IP Src IP unterst tzen Gesichtertes Netzwerk Ne E Mail Server L s gt s Kt lt Access Gateway a a N Internet u Server Load z Balancer Uber das Access Access Gateway Gateway Plug in verbundenes En Clientger t Web oder Anwendungs server Mehrere Access Gateway Ger te hinter einem Load Balancer Der Load
38. Lizenzdateien ung ltige Lizenzdateien werden nicht ber cksichtigt 44 Citrix Access Gateway Standard Edition Administratordokumentation Gibt es mehrere Access Gateway Ger te im Netzwerk fungiert ein Access Gateway als Lizenzserver der den anderen Ger ten die Lizenzen zuweist Sobald ein Benutzer sich an einem Ger t im Netzwerk anmeldet wird die Lizenz von dem Access Gateway abgerufen das als Lizenzserver dient In einem Cluster werden die installierten Lizenzen nicht auf den anderen Ger ten ver ffentlicht Weitere Informationen zur Verwendung von Lizenzen mit mehreren Ger ten finden Sie unter Konfigurieren von Lizenzen f r mehrere Ger te auf Seite 48 Wichtig Der Hostname in der Lizenzdatei muss genau inklusive Gro und Kleinschreibung mit dem Hostnamen auf dem Access Gateway bereinstimmen Wenn Sie Access Gateway Advanced Edition verwenden wird die Lizenzierung vom Citrix Lizenzserver bernommen Weitere Informationen ber die Lizenzierung mit Access Gateway Advanced Edition finden Sie im Schnelleinstieg f r die Citrix Lizenzierung und in der Administratordokumentation f r Access Gateway Advanced Edition Lizenztypen f r Access Gateway Es gibt drei Arten von Lizenzen die auf dem Access Gateway installiert werden k nnen e Die Standardlizenz wird nur bei Access Gateway Standard Edition installiert und bestimmt die Anzahl der Benutzer die sich mit dem Access Gateway Plug in Citrix XenApp Plug ins
39. Lizenzen f r mehrere Ger te Wenn Sie mehrere Ger te im Netzwerk installiert haben legen Sie ein Access Gateway fest das als Lizenzserver fungieren soll Installieren Sie die Lizenzen auf dem Access Gateway Ger t das dann als Lizenzserver fungiert Die anderen Ger te rufen die Lizenzen von diesem Access Gateway Ger t ab Die anderen Ger te in Ihrem Netzwerk m ssen nicht Teil eines Clusters sein um eine Verbindung zu dem Lizenzserver herstellen und eine Lizenz abrufen zu k nnen Die Lizenzen werden den Ger ten unabh ngig von ihrem jeweiligen Status im Netzwerk zugewiesen So rufen Sie Lizenzen vom Lizenzserver ab 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway das nicht als Lizenzserver fungiert 2 Klicken Sie auf die Registerkarte Licensing 3 W hlen Sie Use a different appliance as the license server 4 Geben Sie unter FQDN or IP address den vollqualifizierten Dom nennamen FQDN oder die IP Adresse des Lizenzservers an 5 ndern Sie die Portnummern in den Feldern Manager port und Vendor port oder bernehmen Sie die Standardeinstellungen 27000 und27001 6 Klicken Sie auf Submit 7 Wiederholen Sie den Vorgang f r jedes Access Gateway im Netzwerk Wiederholen Sie dieses Verfahren fiir alle Access Gateway Ger te im Cluster die keine Lizenzserver sind Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 49 Der Managerport stellt den ersten
40. Local Users beschriebenen Konfiguration kann der Administrator lokalen Benutzern Lisa Marth und Silvio Branco die gleichen Zugriffsrechte auf die internen Netzwerkressourcen gew hren wie den Benutzern aus den Bereichen Vertrieb oder Technik In diesem Szenario wird das Konzept der lokalen Autorisierung f r lokale Benutzer erl utert Beispiel Der Administrator m chte Lisa Marth und Silvio Branco die gleichen Zugriffsrechte gew hren wie den Benutzern aus dem Bereich Technik Zu diesem Zweck k nnte der Administrator zwei Arbeitsschritte ausf hren ndern des Autorisierungstyps des Bereichs Gast in lokale Autorisierung e Zuweisen der lokalen Benutzer Lisa Marth und Silvio Branco zur Gruppe AuBendiensttechniker auf dem Access Gateway Um die lokalen Benutzer Lisa Marth und Silvio Branco der Gruppe AuBendiensttechniker auf dem Access Gateway zuzuweisen geht der Administrator wie folgt vor 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Erweitern Sie den Eintrag User Groups und dann den Eintrag Local Users 3 Klicken Sie unter Local Users auf den Namen Lisa Marth und ziehen Sie ihren Namen auf Local Group Users unter der Benutzergruppe Au endiensttechniker 4 Klicken Sie unter Local Users auf den Namen Silvio Branco und ziehen Sie seinen Namen auf Local Group Users unter der Benutzergruppe Au endiensttechniker Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 267 Nach Ausf hru
41. Modus aktiviert wird Das Access Gateway ber cksichtigt alle Benutzergruppen Wenn Benutzer Mitglied von mehreren Gruppen sind und das Kontrollk stchen Deny applications without policies f r eine der Gruppen aktiviert ist werden die Benutzeranwendungen verweigert unabh ngig davon welche Einstellungen f r andere Gruppen gelten Wenn Benutzer Mitglied in mehreren Gruppen sind und IP Pooling in einer dieser Gruppen aktiviert ist weist das Access Gateway eine IP Adresse aus dem Pool der ersten Gruppe zu in der IP Pooling aktiviert ist Gruppen werden zun chst in der Reihenfolge aufgef hrt in der sie erstellt wurden Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 135 So legen Sie die Prioritat von Gruppen fest 1 Klicken Sie auf die Registerkarte Group Priority 2 Wahlen Sie eine Gruppe aus die verschoben werden soll und verschieben Sie die Gruppe mit den Pfeilschaltfl chen in der Liste nach oben oder unten Die Gruppe die in der Liste ganz oben steht hat die h chste Priorit t Konfigurieren von Vorauthentifizierungsrichtlinien Mit Vorauthentifizierungsrichtlinien k nnen Benutzer vom Anmelden am Access Gateway ausgeschlossen werden Wenn Benutzer f r die Verbindung zum Access Gateway einen Webbrowser verwenden scannt die Vorauthentifizierungsrichtlinie das Clientger t bevor das Anmeldedialogfeld angezeigt wird Wenn der Scan fehlschl gt k nnen sich die Benutzer nicht anmelden Zum Anmeld
42. Registerkarten im Administration Tool werden auf jedem Ger t im Cluster ver ffentlicht Access Policy Manager Authentifizierung Global Cluster Policies Portal Page Configuration Group Priority Durch die Ver ffentlichung dieser Einstellungen auf den anderen Ger ten ist sichergestellt dass alle Ger te im Cluster dieselben Einstellungen f r die Zugriffskontrolle auf die internen Netzwerkressourcen aufweisen Hinweis Alle Access Gateway Ger te im Cluster m ssen die gleiche Version verwenden Wenn Sie beispielsweise auf einem Ger t Version 4 6 installieren m ssen auch alle anderen Ger te Version 4 6 verwenden Bevor Sie jedes Ger t dem Cluster hinzuf gen wird das Access Gateway wie unter Erstmalige Installation des Access Gateways auf Seite 33 beschrieben installiert und dann das Ger t dem Cluster hinzugef gt Wichtig F r jedes Ger t im Cluster muss dasselbe Administratorkennwort verwendet werden Access Gateways mit einem abweichenden Administratorkennwort k nnen nicht im Cluster verwaltet werden Citrix empfiehlt das Administratorkennwort w hrend der Installation des Access Gateways mit der seriellen Konsole zu ndern Weitere Informationen finden Sie unter Konfigurieren der TCP IP Einstellungen mit der seriellen Konsole auf Seite 36 und Konfigurieren des Administratorkennworts auf Seite 184 Das Administratorkennwort kann zwischen 6 und 127 Zeichen lang sein Kennw rter d rfen nicht mit
43. Routing zu statischem Routing Bevor Sie von dynamischem Routing zu statischem Routing wechseln sollten Sie die dynamischen Routen in der statischen Routentabelle speichern Mit dieser Option werden die aktuellen RIP Daten zum dynamischen Routing als statische Routen gespeichert Wenn Sie von dynamischem Routing zu statischem Routing wechseln und zuvor statische Routen erstellt hatten werden die statischen Routen in der Routingtabelle des Access Gateways aufgef hrt F r den Fall dass diese statischen Routen nicht mehr g ltig sind oder noch keine statischen Routen erstellt wurden geht unter Umst nden der Remotezugriff auf das Administration Tool verloren Die Benutzer k nnen au erdem erst dann wieder auf die Ressourcen im internen Netzwerk zugreifen wenn Sie die statischen Routen manuell konfiguriert haben Durch das Speichern der aktuellen RIP Daten zum dynamischen Routing wird die Konnektivit t beim Wechsel vom dynamischen Routing zum statischen Routing so lange aufrechterhalten bis Sie die statischen Routen ordnungsgem konfiguriert haben So speichern Sie dynamische Routen in der Tabelle mit den statischen Routen 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Klicken Sie auf Save to Static Routes Sobald die dynamischen Routen gespeichert sind k nnen Sie zum statischen Routing wechseln Konfigurieren einer statischen Route
44. Schl ssel ein Der geheime Serverschl ssel wird auf dem RADIUS Server und auf dem Access Gateway manuell konfiguriert Wichtig Achten Sie darauf dass der geheime Serverschl ssel stark genug ist Ein geheimer Schl ssel ist stark wenn er aus mindestens acht Zeichen besteht und sich aus Buchstaben Ziffern und Symbolen zusammensetzt Wenn Sie einen sekund ren RADIUS Server verwenden geben Sie die IP Adresse den Port und den geheimen Schl ssel dieses Servers ein Informationen ber das Konfigurieren der erweiterten Optionen finden Sie unter Konfigurieren von erweiterten Optionen f r die Authentifizierung auf Seite 106 Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 93 RADIUS Autorisierung F r die RADIUS Authentifizierung k nnen Sie die folgenden Autorisierungstypen verwenden RADIUS Autorisierung Lokale Autorisierung LDAP Autorisierung Keine Autorisierung So konfigurieren Sie RADIUS Autorisierung l Klicken Sie auf die Registerkarte Authentication und ffnen Sie den Bereich f r den Sie RADIUS Autorisierung konfigurieren m chten Klicken Sie auf die Registerkarte Authorization und w hlen Sie unter Authorization type die Option RADIUS authorization Vervollst ndigen Sie die Einstellungen mit den im IAS definierten Attributen Klicken Sie auf Submit Hinweis Wenn Sie den Microsoft Internetauthentifizierungsdienst IAS als RADIUS Server verwenden und beim Senden einer
45. Verwendung von Authentifizierungsservern authentifizieren wird kein Bereich f r die lokale Authentifizierung ben tigt Das Access Gateway kann die lokale Benutzerdatenbank auf dem Ger t nach Authentifizierungsinformationen berpr fen wenn die Authentifizierung eines Benutzers auf einem anderen Authentifizierungsserver fehlschl gt Wenn Sie z B LDAP verwenden und die Authentifizierung fehlschl gt k nnen sich die Benutzer mit der lokalen Benutzerdatenbank anmelden Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 79 So stellen Sie die Authentifizierung mit der lokalen Benutzerliste auf dem Access Gateway ein 1 ffnen Sie auf der Registerkarte Authentication den Authentifizierungsbereich in dem Sie lokale Authentifizierung konfigurieren m chten 2 Klicken Sie auf die Registerkarte Settings 3 Klicken Sie auf Use the local user database on the Access Gateway und dann auf Submit Hinweis Dieses Kontrollk stchen steht nicht zur Verf gung wenn der Bereich f r lokale Authentifizierung konfiguriert ist Konfigurieren lokaler Benutzer Sie k nnen auf dem Access Gateway lokale Benutzerkonten erstellen und so die Liste der Benutzer auf den Authentifizierungsservern erg nzen So k nnen Sie beispielsweise lokale Benutzerkonten f r tempor re Benutzer wie z B Unternehmensberater oder Besucher erstellen ohne auf dem Authentifizierungsserver einen Eintrag f r diese Benutzer erstellen zu m ssen
46. angezeigt werden Bei Bedarf k nnen diese Informationen auch an einen Syslogserver gesendet werden Systemmeldungsprotokolle enthalten Informationen die den Access Gateway Supportmitarbeitern die Fehlersuche erleichtern k nnen Durch Pr fung der bereitgestellten Informationen k nnen Sie nderungen verfolgen die sich u U negativ auf die Stabilit t und Leistung des Access Gateways auswirken Systemmeldungsprotokolle werden auf dem Access Gateway f r die Dauer von 30 Tagen archiviert Das lteste Protokoll wird dann jeweils durch das aktuelle Protokoll ersetzt Verwenden Sie einen Syslogserver um Protokolldateien l nger aufzuheben Sie k nnen jederzeit einzelne oder auch alle Protokolle herunterladen Sie k nnen Systemmeldungen auch an Ihren Syslogserver weiterleiten Informationen hierzu finden Sie unter Weiterleiten von Systemmeldungen an einen Syslogserver auf Seite 218 Hinweis Wenn Sie ber das Administration Tool keine Verbindung zum Access Gateway herstellen k nnen gehen Sie zum Administration Portal und klicken Sie auf die Registerkarte Logging So k nnen Sie das Systemprotokoll anzeigen und filtern 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte Logging Settings 3 Klicken Sie auf Show Log File Das Protokoll f r das aktuelle Datum wird angezeigt Wenn Sie das Protokoll f r ein fr heres Datum anzeigen m chten w
47. auf das Access Gateway das als Lizenzserver fungiert Wenn Benutzer sich mit dem Access Gateway verbinden und daf r entweder eine Access Gateway oder XenDesktop Verbindungslizenz verwenden dann erscheint die Sitzung auf dieser Registerkarte Wenn Sie mehrere Access Gateway Ger te im Cluster haben werden die Lizenzierungsinformationen von allen Ger ten auf dieser Registerkarte aggregiert Die Registrierungskarte Licensing enth lt folgende Informationen Total licenses available Die Zahl in diesem Feld zeigt die Gesamtzahl der Access Gateway Standard und Universal und XenDesktop Verbindungslizenzen die auf dem Access Gateway installiert sind e Total licenses in use Diese Zahl steht f r alle derzeit verwendeten Lizenzen Dazu geh ren Access Gateway und XenDesktop Verbindungslizenzen ICA licenses available Dies ist die Gesamtzahl der XenDesktop Verbindungslizenzen die auf dem Access Gateway installiert sind ICA licenses in use Dies ist die Gesamtzahl der XenDesktop Verbindungslizenzen die derzeit verwendet werden Access Gateway licenses available Die Gesamtzahl der Standard und universellen Lizenzen die auf dem Access Gateway installiert sind Access Gateway licenses in use Die Gesamtzahl der Access Gateway Lizenzen die verwendet werden 46 Citrix Access Gateway Standard Edition Administratordokumentation Auf der Registerkarte Licensing finden Sie auch Informationen zu den Lizenzen
48. authentifizieren wenn auf der Registerkarte Authentication gt Settings das Kontrollk stchen Use the local user database on the Access Gateway aktiviert ist Wenn Authentifizierung fehlschl gt Pr fen ob lokales Benutzerkonto auf dem Access Gateway vorhanden ist B g Clients werden mit Q Anmeldeinformationen Access Gateway Authentifizierungs Client authentifiziert server ger te Wenn Access Gateway Benutzer authentifiziert Gruppenautorisierung pr fen Kommunikation zwischen dem Clientger t dem Access Gateway und dem lokalen Benutzerkonto bei Fehlschlagen der Authentifizierung auf dem Authentifizierungsserver 74 Citrix Access Gateway Standard Edition Administratordokumentation Nach der Authentifizierung eines Benutzers f hrt das Access Gateway eine Gruppenautorisierung durch Dazu werden die Informationen der Gruppe des Benutzers von einem LDAP Server einem RADIUS Server einem Windows NT 4 0 Server zur NTLM Autorisierung oder der lokalen Gruppendatei sofern nicht auf dem LDAP oder RADIUS Server verf gbar abgerufen Wenn f r den Benutzer Gruppeninformationen verf gbar sind berpr ft das Access Gateway anschlie end die f r die Gruppe zul ssigen Netzwerkressourcen Die LDAP Autorisierung kann mit allen unterst tzten Authentifizierungsmethoden verwendet werden Die vom LDAP Server abgerufenen Gruppennamen werden mit den Gruppennamen verglichen die lokal im Access Gateway erstellt wu
49. das Startmen Klicken Sie auf Start gt Alle Programme gt Citrix gt Citrix Access Clients gt Citrix Access Gateway Eigenschaften Einrichten des sicheren Tunnels Nachdem das Secure Access Plug in gestartet wurde richtet es einen sicheren Tunnel ber den Port 443 oder jeden anderen konfigurierten Port des Access Gateways ein und sendet Authentifizierungsinformationen Nachdem der Tunnel eingerichtet wurde sendet das Access Gateway Konfigurationsinformationen an das Secure Access Plug in in denen beschrieben wird welche Netzwerke gesichert werden sollen Au erdem enthalten diese Informationen eine IP Adresse sofern IP Pooling aktiviert wurde Weitere Informationen ber IP Pooling finden Sie unter Aktivieren von IP Pooling auf Seite 159 Tunneln des privaten Netzwerkverkehrs ber sichere Verbindungen Sobald das Access Gateway Plug in gestartet und Benutzer authentifiziert wurden wird der gesamte Netzwerkverkehr der f r die angegebenen privaten Netzwerke bestimmt ist ber den sicheren Tunnel an das Access Gateway weitergeleitet Das Access Gateway f ngt alle vom Clientger t hergestellten Netzwerkverbindungen ab und multiplext tunnelt diese ber SSL an das Access Gateway wo der Verkehr demultiplext wird und die Verbindungen an die korrekte Kombination aus Host und Port weitergeleitet werden Die Verbindungen unterliegen administrativen Sicherheitsrichtlinien f r einzelne Anwendungen einen Teilsatz von Anwend
50. dem signierten Zertifikat auf Seite 237 und Generieren vertrauensw rdiger Zertifikate f r mehrere Ebenen auf Seite 238 Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 237 Kombinieren des privaten Schl ssels mit dem signierten Zertifikat Sie m ssen das signierte Zertifikat mit dem privaten Schl ssel kombinieren Erst dann k nnen Sie es auf das Access Gateway hochladen So kombinieren Sie den privaten Schl ssel mit dem signierten Zertifikat 1 Verwenden Sie einen Texteditor um den unverschl sselten privaten Schl ssel mit dem signierten Zertifikat im PEM Dateiformat zu kombinieren Der Dateiinhalt muss in etwa wie folgt aussehen ses BEGIN RSA PRIVATE KEY lt Unverschl sselter privater Schl ssel gt Sores END RSA Private KEY Sao s BEGIN CERTIFICATE lt Signiertes Zertifikat gt SS Sie END CERTIFICATE 2 Speichern Sie die PEM Datei und geben Sie ihr dabei einen Namen wie z B AccessGateway pem 238 Citrix Access Gateway Standard Edition Administratordokumentation Generieren vertrauenswurdiger Zertifikate fur mehrere Ebenen Sie m ssen herausfinden ob Ihr Zertifikat mehrere Ebenen hat und falls dies zutrifft die Zwischenzertifikate entsprechend handhaben Achtung Alle Zertifikate fiir das Access Gateway die mehr als eine Ebene haben m ssen s mtliche Zwischenzertifikate enthalten da das System andernfalls unbrauchbar
51. den Benutzeranmeldeinformationen neu Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 85 5 Geben Sie unter Administrator password das Kennwort ein 6 Geben Sie unter Base DN location of users den Basis DN f r die Benutzer ein Der Basis DN wird normalerweise vom Bind DN abgeleitet indem der Benutzername entfernt und die Gruppe angegeben wird in der sich die Benutzer befinden Beispielsyntax f r Basis DN ou benutzer dc ace dc com cn Benutzer dc ace dc com 7 Geben Sie unter Server logon name attribute das Attribut ein unter dem das Access Gateway nach den Benutzeranmeldenamen fiir den LDAP Server suchen soll den Sie gerade konfigurieren Das Standardattribut ist sAMAccountName Wenn Sie andere Verzeichnisse verwenden verwenden Sie als Attribut en Klicken Sie auf Submit Das Access Gateway kann so konfiguriert werden dass der Benutzerzugriff mit einem oder mehreren LDAP Server n authentifiziert wird Ist ein Benutzer nicht in einem LDAP Verzeichnis oder schl gt die Authentifizierung auf einem Server fehl berpr ft das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzerinformationen sofern auf der Registerkarte Settings die Option Use the local user database on the Access Gateway aktiviert ist F r die LDAP Autorisierung m ssen die Gruppennamen in Active Directory auf dem Access Gateway und auf dem LDAP Server identisch sein inklusive Leerzeichen und Gro
52. den Load Balancer gem der Dokumentation des Herstellers in der DMZ des Netzwerks Die folgenden Konfigurationsschritte sind erforderlich damit der Load Balancer mit den Access Gateway Ger ten zusammenarbeitet Konfigurieren Sie den Load Balancer so dass das Load Balancing der Verbindungen zum Access Gateway Ger t anhand der Quell IP durchgef hrt wird Konfigurieren Sie den Load Balancer mit einem vollqualifizierten Dom nennamen den das Access Gateway beim Aufbauen der Verbindung zum Load Balancer verwenden soll Konfigurieren Sie den Load Balancer so dass die SSL Verschl sselung nicht beendet wird Die SSL Verbindung muss an das Access Gateway bergeben werden dort erst darf die SSL Verschl sselung beendet werden 208 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Access Gateway Geraten fur den Betrieb hinter einem Load Balancer Im Anschluss an die Installation und Konfiguration des Load Balancers gehen Sie bei den Access Gateway Ger ten die sich hinter dem Load Balancer befinden wie folgt vor Schlie en Sie f r jedes Access Gateway die Netzwerkkabel so an dass das Interface 0 mit dem Load Balancer verbunden ist und das Interface 1 mit dem internen Netzwerk Konfigurieren Sie die Access Gateway Ger te hinter dem Load Balancer f r den Betrieb als Cluster Mit einem Cluster stellen Sie sicher dass alle Access Gateway Ger te so konfiguriert sind dass sie
53. den Zeitraum in Minuten in das Feld Web session time out ein Soll das Websitzungstimeout deaktiviert werden geben Sie den Wert 0 in das Textfeld ein Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 165 Anfordern von Clientzertifikaten fur die Authentifizierung Wenn Sie auf eine zus tzliche Authentifizierung Wert legen k nnen Sie das Access Gateway so konfigurieren dass Clientzertifikate zur Authentifizierung angefordert werden Das Access Gateway kann Clientzertifikate in den folgenden Speicherorten authentifizieren e Im Zertifikatspeicher des Windows Betriebssystems auf einem Clientger t In diesem Fall wird das Zertifikat unter Verwendung der Microsoft Management Console MMC separat im Zertifikatspeicher installiert Auf einer Smartcard oder einem Hardwaretoken In diesem Fall ist das Zertifikat in die Smartcard eingebettet und wird ber einen Smartcardleser eingelesen der mit dem Netzwerk verbunden ist Hinweis Die Konfiguration des Access Gateways bleibt gleich unabh ngig davon ob die Zertifikate im Windows Betriebssystem oder auf einer Smartcard gespeichert sind Zur Unterst tzung von Clientzertifikaten an diesen Speicherorten ist keine besondere Konfiguration erforderlich Wenn Sie das Access Gateway so konfigurieren dass Clientzertifikate angefordert werden m ssen alle Benutzer die sich ber das Access Gateway anmelden ein sicheres Clientzertifikat vorle
54. des Access Gateways Access Gateway in der DMZ des Netzwerks Access Gateway in einem gesicherten Netzwerk Planen f r Sicherheit im Access Gateway Bereitstellen des Access Gateways mit Citrix XenApp oder Citrix XenDesktop Bereitstellen von Access Gateway in einer Double Hop DMZ Bereitstellen weiterer Ger te f r Lastausgleich und Failover Bereitstellen von Access Gateway Advanced Edition 22 Citrix Access Gateway Standard Edition Administratordokumentation Bereitstellen des Access Gateways In diesem Abschnitt werden die folgenden Access Gateway Bereitstellungen erl utert Bereitstellen des Access Gateways in der demilitarisierten Zone DMZ des Netzwerks Bereitstellen des Access Gateways in einem gesicherten Netzwerk das keine DMZ besitzt Bereitstellen weiterer Access Gateway Ger te f r Lastausgleich und Failover Access Gateway in der DMZ des Netzwerks Viele Unternehmen sch tzen ihr internes Netzwerk mithilfe einer DMZ Eine DMZ ist ein Subnetz das zwischen dem sicheren internen Netzwerk des Unternehmens und dem Internet oder einem externen Netzwerk liegt Wenn Access Gateway in der DMZ bereitgestellt wird greifen Benutzer darauf mit dem Citrix Access Gateway Plug in oder den Citrix XenApp Plug ins zu der neue Name f r Citrix Presentation Server Clients O a Citrix XenApp Heim Ve computer f E MAil Server 3 a lt p lt Se e wu D g x N Partner Int
55. ein 6 Geben Sie im Feld Port die Portnummer ein 7 Geben Sie in das Feld Server secret das Node Secret des RADIUS IAS Servers ein und klicken Sie auf Submit Konfigurieren von NTLM Authentifizierung und Autorisierung Das Access Gateway kann so konfiguriert werden dass Benutzer mit NTLM Authentifizierung Windows NT LAN Manager anhand der Benutzerdatenbank auf einem Windows NT 4 0 Dom nencontroller authentifiziert werden Ist ein Benutzer nicht in der Benutzerdatenbank auf den Windows NT 4 0 Dom nencontrollern oder schl gt die Authentifizierung fehl kann das Access Gateway den Benutzernamen anhand der lokalen Benutzerliste auf dem Access Gateway berpr fen und den Benutzer anhand der lokalen Liste authentifizieren sofern das Kontrollk stchen Use the local user database on the Access Gateway auf der Registerkarte Settings aktiviert ist Ein Windows NT 4 0 Dom nencontroller unterh lt Dom nenbenutzerkonten in einer Datenbank auf dem Windows NT 4 0 Server Ein Dom nenbenutzerkonto umfasst einen Benutzernamen und ein Kennwort sowie weitere Informationen ber den Benutzer Zum Konfigurieren der NTLM Authentifizierung erstellen Sie einen NTLM Authentifizierungsbereich in dem die Adresse und der Port hinterlegt sind den das Access Gateway zum Herstellen einer Verbindung zum Windows NT 4 0 Dom nencontroller verwendet Au erdem geben Sie einen Timeoutwert an mit dem festgelegt wird in welcher Zeit eine Authentifizierung be
56. einem Leerzeichen beginnen oder enden Kapitel 11 Installieren zus tzlicher Access Gateway Ger te 205 So f gen Sie dem Cluster Ger te hinzu 1 ffnen Sie das Administration Tool auf dem prim ren Access Gateway 2 Klicken Sie auf die Registerkarte Access Gateway Cluster 3 Geben Sie unter Add an Access Gateway to the Cluster in das Feld FODN den vollqualifizierten Dom nennamen f r ein zus tzliches Access Gateway ein und klicken Sie auf Add 4 Wiederholen Sie Schrittl bis3 f r alle Ger te im Cluster Sobald Sie alle Ger te in den Cluster aufgenommen haben k nnen Sie die Einstellungen vom prim ren Access Gateway im Cluster ver ffentlichen So ver ffentlichen Sie die Einstellungen von einem Ger t auf den anderen Ger ten im Cluster 1 Klicken Sie im Administration Tool auf dem ersten installierten Access Gateway dem prim ren Ger t auf die Registerkarte Publish 2 Klicken Sie auf Publish Die Einstellungen des ersten Access Gateways werden aufallen Access Gateway Ger ten im Cluster ver ffentlicht 3 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Administration 4 Klicken Sie im Bereich Access Gateway management neben Restart the appliance auf Restart Nach der Ver ffentlichung der Konfigurationseinstellungen auf allen Ger ten im Cluster m ssen alle Access Gateway Ger te neu gestartet werden damit die nderungen in Kraft treten Jedes Access
57. f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Upgrade and configuration management neben Upload an upgrade or saved configuration auf Browse 3 Suchen Sie die Datei config restore und klicken Sie auf ffnen Nachdem die Konfigurationsdatei hochgeladen wurde starten Sie das Access Gateway neu und alle Konfigurationseinstellungen Lizenzen und Zertifikate werden wiederhergestellt Wenn Sie die RSA SecurID Authentifizierung verwenden m ssen Sie das Node Secret auf dem RSA ACE Server zur cksetzen siehe dazu Zur cksetzen des Node Secrets auf Seite 98 Da die Access Gateway Einstellungen wiederhergestellt wurden ist das Node Secret nicht mehr auf dem Ger t sodass jeder Versuch einer RSA ACE Server Authentifizierung scheitert bis das Node Secret zur ckgesetzt wurde 194 Citrix Access Gateway Standard Edition Administratordokumentation Neustarten und Herunterfahren des Access Gateways Sie k nnen das Access Gateway entweder ber das Administration Portal oder das Administration Tool neu starten oder herunterfahren Neustarten des Access Gateways Wenn Sie Anderungen am Access Gateway vorgenommen haben miissen Sie das Ger t u U neu starten So starten Sie das Access Gateway neu l Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bere
58. gew hren kann muss er also wissen welchen LDAP Verzeichnisgruppen diese 248 Citrix Access Gateway Standard Edition Administratordokumentation Benutzer angeh ren Jetzt muss der Administrator in diesem Szenario einen der beiden Schritte in Bezug auf die Gruppenmitgliedschaft der Benutzer ausf hren Er muss die Gruppen im LDAP Verzeichnis identifizieren die s mtliche Mitglieder enthalten f r die Remotezugriff auf die internen Netzwerke erforderlich ist e Wenn keine Gruppe vorhanden ist die alle betreffenden Mitglieder enth lt kann der Administrator neue Gruppen im LDAP Verzeichnis erstellen und die betreffenden Mitglieder diesen Gruppen hinzuf gen In diesem Beispiel wird davon ausgegangen dass der Administrator die Gruppen Vertriebsau endienst und Au endiensttechniker im LDAP Verzeichnis erstellt und diesen Gruppen Benutzer aus den Abteilungen Vertrieb und Technik hinzuf gt die Remotezugriff auf die internen Netzwerkressourcen haben sollen Sammeln der LDAP Verzeichnisinformationen Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung muss der Administrator als letzten Schritt die LDAP Verzeichnisinformationen sammeln In diesem Beispiel verwendet das Unternehmen nur ein LDAP Verzeichnis als Benutzerrepository Bevor der Administrator das Access Gateway f r die Unterst tzung von Authentifizierung und Autorisierung mit einem LDAP Verzeichnis konfigurieren kann muss er Inf
59. hergestellt ist wird kurz ein Statusfenster angezeigt und das Secure Access Plug in Fenster wird auf ein Symbol im Infobereich der Taskleiste minimiert Das Symbol zeigt ob die Verbindung aktiviert oder deaktiviert ist und zeigt ggf Statusmeldungen an 156 Citrix Access Gateway Standard Edition Administratordokumentation So zeigen Sie die Access Gateway Plug in Statuseigenschaften an wenn Benutzer angemeldet sind Doppelklicken Sie im Infobereich auf das Access Gateway Verbindungssymbol Sie k nnen stattdessen auch mit der rechten Maustaste auf das Symbol klicken und im Kontextmen den Befehl Eigenschaften w hlen Das Citrix Access Gateway Dialogfeld wird angezeigt Die Verbindungseigenschaften enthalten n tzliche Informationen f r die Problembehandlung Hierzu geh ren z B folgende Eigenschaften Die Registerkarte Allgemein enth lt Verbindungsinformationen Auf der Registerkarte Details finden Sie Serverinformationen und eine Liste der gesicherten Netzwerke auf die der Client zugreifen kann Die Registerkarte Zugriffslisten enth lt die Zugriffssteuerungslisten ACLs die f r die Benutzerverbindung konfiguriert sind Diese Registerkarte wird nur f r Benutzer angezeigt die Mitglied einer Gruppe sind Wenn f r eine Gruppe keine Zugriffssteuerungsliste konfiguriert ist wird die Registerkarte auch nicht angezeigt Klicken Sie zum Schlie en des Fensters auf Schlie en So trennen Sie das Access Gateway Pl
60. hergestellt wird Funktion zum automatischen Aktualisieren Die Access Gateway Plug in Funktion zum automatischen Aktualisieren funktioniert nicht wenn der Client fiir das Herstellen der Verbindung tiber einen Proxyserver konfiguriert ist Von Windows Server 2003 Computern ausgehende Clientverbindungen Wenn von einem Windows Server 2003 Computer aus eine Verbindung zum Access Gateway hergestellt wird der sein eigener DNS Server ist funktionieren die lokale und die ffentliche DNS Aufl sung nicht Dieses Problem k nnen Sie beheben indem die Windows Server 2003 Netzwerkeinstellungen auf einen anderen DNS Server verweisen NTLM Authentifizierung Das Access Gateway Plug in unterst tzt nicht die NTLM Authentifizierung bei Proxyservern Bei Proxyservern wird lediglich die einfache Authentifizierung unterst tzt 278 Citrix Access Gateway Standard Edition Administratordokumentation WINS Eintrage Wenn das Access Gateway Plug in getrennt wird werden WINS Eintr ge nicht von dem Computer entfernt auf dem das Plug in ausgef hrt wird Benutzer von Einw hlverbindungen erhalten keine WINS Serverzuordnungen Legen Sie zur Behebung dieses Problems die interne WINS Adresse manuell fest oder verwenden Sie einen DNS Server von Microsoft zum Festlegen der Dom ne f r die WINS Suche Verwendung von Drittanbieter Clientsoftware Wenn auf dem Computer eines Benutzers das Access Gateway Plug in ausgef hrt wird auf diesem Computer a
61. herstellen Access Gateway Nicht unterst tztes Feature Version 4 5 5 oder fr her Anwendungsbeschleunigung mit Citrix Branch Repeater aktivieren 4 5 7 oder fr her Zwischenspeichern des falschen Kennworts Load Balancing der anf nglichen Anmeldeanfragen zu Access Gateway Advanced Edition 4 5 8 oder fr her Upgradeaufforderung f r fr here Versionen des Gateway Plug ins Namens nderung von Secure Access Client zu Access Gateway Plug in Au erdem werden die Netzwerk berwachungstools die in Version 4 6 auf der Registerkarte Access Gateway Cluster integriert wurden nicht in fr heren Versionen des Access Gateways unterst tzt 184 Citrix Access Gateway Standard Edition Administratordokumentation Administration Portal Das Administration Portal bietet eine webbasierte Benutzeroberflache fiir Administratoren Es hat mehrere Registerkarten die Ihnen die Verwaltung des Access Gateways erleichtern sollen So offnen Sie das Administration Portal 1 Geben Sie in einem Webbrowser https AccessGatewayFQDN 9001 ein 2 Geben Sie den Administratorbenutzernamen und das Kennwort ein Die Standardwerte sind root und rootadmin Das Administration Portal wird ge ffnet Nachfolgend werden die Tasks beschrieben die Sie mit dem Administration Portal ausf hren k nnen Herunterladen von Tools und Dokumentation Auf der Seite Downloads haben Sie folgende Optionen Herunterladen des Administration Too
62. herstellt ber das Access Gateway Plug in das auf dem Clientger t installiert ist Bei der Verbindungsherstellung wird ein sicherer Tunnel zum gesicherten Netzwerk gebildet und das Access Gateway bernimmt den SSL Handshake Dieses Kapitel enth lt Systemvoraussetzungen Funktionsweise von Benutzerverbindungen Unterst tzen des Access Gateway Plug ins Konfigurieren von Proxyservern f r das Access Gateway Plug in Installieren des Access Gateway Plug ins mit dem MSI Paket Konfigurieren von Single Sign on f r Windows Betriebssysteme Verbinden mit fr heren Versionen des Access Gateway Plug ins Herstellen einer Verbindung mit einer Webadresse Anmelden mit dem Access Gateway Plug in e Installieren des Access Gateway Plug ins f r Linux 138 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung Konfigurieren weiterer Gruppeneigenschaften Anfordern von Clientzertifikaten fiir die Authentifizierung Installieren von Stammzertifikaten Ausw hlen einer Verschl sselungsart f r Clientverbindungen Systemvoraussetzungen Das Access Gateway Plug in wird von folgenden Betriebssystemen und Webbrowsern unterst tzt Betriebssysteme Das Access Gateway Plug in wird auf folgenden Windows Betriebssystemen unterst tzt Windows XP Home Edition Windows XP Professional Windows 2000 S
63. im Feld User Name Lisa Marth ein 4 Geben Sie in den Feldern Password und Verify Password ein Kennwort f r Lisa Marth ein und klicken Sie auf OK 5 Wiederholen Sie die Schritte 2 bis 4 um ein lokales Benutzerkonto f r Silvio Branco zu erstellen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 265 Erstellen und Zuweisen einer Netzwerkressource f r die Standardbenutzergruppe Das Erstellen und Zuweisen einer Netzwerkressource f r die Standardbenutzergruppe Default ist der letzte von drei Arbeitsschritten beim Szenario f r das Erstellen von Benutzerkonten mit der Liste Local Users Bei diesem Schritt erstellt der Administrator eine Netzwerkressource in der nur der Webkonferenzserver angegeben ist und weist dann diese Ressource der Benutzergruppe Default zu 1 Erstellen Sie im rechten Bereich der Registerkarte Access Policy Manager im Administration Tool die neue Netzwerkressource Gastressource Geben Sie beim Erstellen dieser Netzwerkressource nur die IP Adresse des Webkonferenzservers an z B 10 10 50 60 32 Erweitern Sie im linken Bereich die Benutzergruppe Default Ziehen Sie die Netzwerkressource Gastressource aus dem rechten Bereich der Registerkarte Access Policy Manager auf Network Policies der Gruppe Default im linken Bereich Hinweis Wenn sich Benutzer anmelden und keine Gruppeninformationen abrufen kann werden immer die Einstellungen der Gruppe Default verwendet Mit d
64. im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options eine oder beide der folgenden Optionen Authenticate after network interruption Mit dieser Option m ssen sich Benutzer neu anmelden wenn die Netzwerkverbindung kurz unterbrochen war Authenticate upon system resume Mit dieser Option m ssen sich Benutzer neu anmelden wenn sich die Computer im Standby Modus oder Ruhezustand waren Diese Option bietet ein h heres Ma an Sicherheit f r unbeaufsichtigte Computer 4 Klicken Sie auf OK Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 159 Hinweis Wenn Sie eine Verbindung schlie en und einen Benutzer oder eine Gruppe daran hindern m chten automatisch wieder eine Verbindung herzustellen m ssen Sie die Einstellung Authenticate after network interruption aktivieren Anderenfalls stellen die Benutzer unverz glich eine neue Verbindung her ohne dabei nach ihren Anmeldeinformationen gefragt zu werden Konfigurieren weiterer Gruppeneigenschaften Mit zus tzlichen Gruppenrichtlinien k nnen Sie den Zugriff der Benutzer auf das Netzwerk weiter konfigurieren Aktivieren von IP Pooling Split DNS aktivieren e Aktivieren von internem Failover Aktivieren von Dom nenanmeldeskripten Aktivieren von Sitzungstimeouts f r Access Gateway Plug ins Konfigurieren von Websi
65. k nnen auch 10 Mbps 100 Mbps oder 1000 Mbps w hlen 40 Citrix Access Gateway Standard Edition Administratordokumentation 8 Unter Maximum Transmission Unit MTU w hlen Sie die maximale Ubertragungseinheit die die maximale Gr e des bertragenen Pakets bestimmt Der Standardwert ist 1500 9 Geben Sie unter Port den Port an der f r eingehende Verbindungen verwendet werden soll Standardwert ist 443 10 Wenn Sie ein Standardgateway konfigurieren m chten geben Sie im Bereich Default Gateway unter IP address die IP Adresse des Gateways ein W hlen Sie unter Interface den Netzwerkadapter auf dem Access Gateway aus mit dem das Standardgateway kommuniziert Die IP Adresse ist f r das Standardgatewayger t wie der Hauptrouter die Firewall oder der Server Load Balancer abh ngig von Ihrer Netzwerkkonfiguration Diese IP Adresse sollte mit der Standardgatewayeinstellung auf den Computern in demselben Subnetz bereinstimmen Informationen zum Zusammenhang zwischen dem Standardgateway und dem dynamischen oder statischen Routing finden Sie unter Konfigurieren weiterer Netzwerkeinstellungen auf Seite 58 11 Klicken Sie auf Submit um die Konfigurationseinstellungen zu speichern Nachdem Sie die Netzwerkeinstellungen auf dem Access Gateway konfiguriert haben m ssen Sie das Ger t neu starten Weitere Informationen hierzu finden Sie unter Neustarten des Access Gateways auf Seite 42 Hinweis Ein Neustart des Ac
66. myorg com tcepCurrEstab 200 Ytics vpn myorg com tcpCurrEstab 10 Title vpn myorg com tcpCurrEstab ESTABLISHED TCP connections PageTop vpn myorg com tcpCurrEstab lt hi gt ESTABLISHED TCP connections lt hi gt MaxBytes vpn myorg com tcpCurrEstab 1000000 YLegend vpn myorg com tcepCurrEstab est conns ShortLegend vpn myorg com tcpCurrEstab amp nbsp LegendI vpn myorg com tcpCurrEstab amp nbsp Connections enbsp LegendO vpn myorg com tcepCurrEstab Legendi vpn myorg com tcpCurrEstab Established TCP connections MRTG Konfigurationsdatei 3 Bearbeiten Sie etc crontab so dass alle 5 Minuten eine SNMP Abfrage durchgef hrt wird anhand derer eine grafische Ausgabe erstellt werden kann Die einzelnen aufgef hrten CFG Dateien generieren eine separate Ausgabe 4 Zeigen Sie die Ausgabe in einem Webbrowser an Das Tool speichert die HTML Ausgabe in dem in der Konfigurationsdatei angegebenen Arbeitsverzeichnis Der Dateiname der Ausgabe der mit dem der in Schritt 2 erstellten Konfigurationsdatei bereinstimmt ist vpn myorg com tcpcurrestab html Anhang A Uberwachen des Access Gateways 221 Anzeigen von Systemstatistiken Allgemeine Systemstatistiken erhalten Sie indem Sie auf der Registerkarte Access Gateway Cluster das Fenster fiir das Access Gateway erweitern und dann auf die Registerkarte Statistics klicken Es gibt drei Registerkarten mit System globalen und Benutzerstatistiken Die statistisc
67. oder Citrix Desktop Receiver anmelden k nnen Die universelle Lizenz wird bei Gateway Standard Edition Access Gateway Advanced Edition und Access Gateway Enterprise Edition installiert und bestimmt die Anzahl der Benutzer die sich mit dem Access Gateway Plug in Citrix XenApp Plug ins oder Citrix Desktop Receiver anmelden k nnen Die universelle Lizenz wird auch f r clientlose Zugriffsverbindungen durch Access Gateway Advanced Edition und Access Gateway Enterprise Edition verwendet Die XenDesktop Verbindungslizenz wird auf dem Access Gateway installiert und bestimmt die Anzahl der zul ssigen ICA Verbindungen zum Citrix XenDesktop Diese Lizenzen sind nur in XenDesktop Standard Advanced und Enterprise enthalten Stand Juni 2009 Dieser Lizenztyp wird f r Citrix XenApp nicht verwendet Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 45 Ermitteln von Lizenzierungsstatistiken Das Administration Tool zeigt die Anzahl der Lizenzen die von Benutzern verwendet werden Dazu geh ren Lizenzen die von Access Gateway Plug in und XenDesktop Verbindungen verwendet werden Sie finden Lizenzierungsinformationen unter Access Gateway Cluster indem Sie das Access Gateway Fenster ffnen und auf die Registerkarten Licensing und Statistics gt Global klicken Informationen auf der Registerkarte Licensing Die Informationen auf der Registerkarte Licensing unter Information about the licensing server beziehen sich
68. r das Netzwerk 10 0 x x und weist der Benutzergruppe beide Netzwerkressourcen zu Dann klickt der Administrator jeweils mit der rechten Maustaste auf die beiden Ressourcen um den Zugriff auf die Ressource im Netzwerk 10 0 20 x zu verweigern und den Zugriff auf die Ressource im Netzwerk 10 0 x x zuzulassen In solchen F llen konfigurieren Sie zuerst die Richtlinie wonach der Zugriff auf 10 0 20 x verweigert wird und dann die Richtlinie wonach der Zugriff auf das Netzwerk 10 0 x x zugelassen wird Konfigurieren Sie die Richtlinie mit den gr ten Einschr nkungen stets zuerst und die Richtlinie mit den geringsten Einschr nkungen zuletzt Erstellen einer Anwendungsrichtlinie f r einen E Mail Server Das Erstellen einer Anwendungsrichtlinie f r einen E Mail Server ist der letzte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigurationsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Beispiel sind im Netzwerk 10 10 0 0 24 drei E Mail Server installiert wobei der Administrator den Remotebenutzern aus den Bereichen Vertrieb und Technik allerdings nur Zugriff auf einen dieser E Mail Server gew hren m chte Der E Mail Server auf den Remotebenutzer zugreifen m ssen hat die IP Adresse 10 10 25 50 32 Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 259 Damit die Benutzer nur auf einen E Mail Server zugreif
69. r mindestens ein Ger t im Netzwerk mit den folgenden Registerkarten im Administration Tool Access Policy Manager Authentication Global Cluster Policies Portal Page Configuration Group Priority Erstellen eines Clusters mit Access Gateway Ger ten Wenn Sie mehrere Ger te im Netzwerk nutzen und jedes Ger t dieselben Einstellungen verwendet k nnen Sie einen Cluster erstellen Die Einstellungen die ver ffentlicht werden k nnen werden auf einem Access Gateway konfiguriert und dann f r die anderen Ger te ver ffentlicht Alle Ger te im Cluster werden im Administration Tool auf der Registerkarte Access Gateway Cluster aufgef hrt Hierdurch lassen sich Konfiguration und Wartung der Ger te im Netzwerk schnell und einfach erledigen Die Einstellungen auf der Registerkarte Access Gateway Cluster gelten f r einzelne Access Gateway Ger te Diese Einstellungen werden nicht an das Cluster ver ffentlicht Dazu geh ren folgende Einstellungen Allgemeine Netzwerkeinstellungen Registerkarte General Networking Protokollierung Registerkarte Logging Verwaltung Registerkarte Administration Zertifikate Registerkarte Certificates Lizenzierung Registerkarte Licensing Routen Registerkarte Routes Namensdienstanbieter Failover Registerkarte Failover Datum und Uhrzeit Registerkarte Date Statistiken 204 Citrix Access Gateway Standard Edition Administratordokumentation Die Einstellungen auf den folgenden
70. sdconf rec securid und sdstatus entfernt Klicken Sie auf Submit 98 Citrix Access Gateway Standard Edition Administratordokumentation F r die RSA SecureID Authentifizierung k nnen Sie die folgenden Autorisierungstypen verwenden RADIUS Autorisierung Lokale Autorisierung LDAP Autorisierung Keine Autorisierung Konfigurieren der RSA Einstellungen f r einen Cluster Wenn Sie zwei oder mehr Ger te als Cluster konfiguriert haben muss die Datei sdconf rec die vollqualifizierten Dom nennamen aller Ger te enthalten Die Datei sdconf rec wird auf einem Access Gateway installiert und dann ver ffentlicht Dadurch k nnen alle Ger te eine Verbindung zum RSA Server herstellen Sie k nnen auch einschr nken mit welchen Ger ten die Benutzer Verbindungen zum RSA Server herstellen k nnen Beispiel Ihr Cluster besteht aus drei Ger ten Wenn die vollqualifizierten Dom nennamen des ersten und des zweiten Ger ts in der Datei sdconf rec enthalten sind der des dritten Ger ts aber nicht k nnen die Benutzer nur mit den ersten beiden Ger ten Verbindungen zum RSA Server herstellen Zur cksetzen des Node Secrets Wenn Sie die Konfiguration des Access Gateways mit einer gespeicherten Konfigurationsdatei wiederhergestellt und dabei dieselbe IP Adresse wie vorher verwendet haben m ssen Sie das Node Secret auf dem RSA ACE Server auch zur cksetzen Da die Konfiguration des Access Gateways wiederhergestellt wurde gibt es
71. sofern Sie nicht den Bereich Default verwenden Pfad zu allen Netzlaufwerken auf die die Benutzer zugreifen k nnen sollen erfolgt durch Zuordnen eines Netzlaufwerks auf dem Clientger t S mtliche Systemvoraussetzungen f r das Ausf hren des Access Gateway Plug ins sofern Endpunktressourcen und richtlinien konfiguriert wurden Anh ngig von der Konfiguration des Clientger ts m ssen Sie m glicherweise auch weitere Informationen angeben Um das Secure Access Plug in zu starten m ssen Windows XP Benutzer lokale Administratoren oder Mitglied der Administratorengruppe sein um das Access Gateway Plug in beim ersten Start zu installieren F r Upgrades m ssen Benutzer nicht Administrator sein Wenn auf dem Clientger t eine Firewall installiert und aktiviert ist m ssen Benutzer u U die Firewalleinstellungen ndern sodass der Verkehr zu oder von den IP Adressen der Ressourcen nicht blockiert wird Das Secure Access Plug in kann automatisch Internetverbindungsfirewall in Windows XP und Windows Firewall in Windows XP Service Pack 2 und Windows Vista einstellen Weitere Informationen zum Konfigurieren verschiedener g ngiger Firewalls finden Sie unter Konfigurieren pers nlicher Firewalls von Drittanbietern auf Seite 196 Benutzer die die Access Gateway Verbindung f r FTP verwenden m chten m ssen ihre FTP Anwendung so einrichten dass sie passive bertragungen unterst tzt Eine passive bertragung bedeutet dass das Clien
72. te zusammenstellen Interne IP Adresse des Access Gateways und zugeh rige Subnetzmaske Externe IP Adresse des Access Gateways und zugeh rige Subnetzmaske Vollqualifizierten Dom nennamen des Access Gateways f r Netzwerkadress bersetzung NAT Network Address Translation IP Adresse des Standardgatewayger ts F r die Verbindungen zu verwendender Port Wenn Sie das Access Gateway an einen Load Balancer anschlie en brauchen Sie die folgenden Informationen IP Adresse des Access Gateways und zugeh rige Subnetzmaske Einstellungen des Server Load Balancers als Standardgatewayger t falls erforderlich Weitere Informationen finden Sie in der Dokumentation f r den Load Balancer e Vollqualifizierten Dom nennamen des Server Load Balancers der als externe ffentliche Adresse des Access Gateways verwendet wird F r die Verbindungen zu verwendender Port Kapitel 4 Erstmalige Installation des Access Gateways 35 Hinweis Das Access Gateway funktioniert nicht mit DHCP Dynamic Host Configuration Protocol Fiir das Access Gateway ist die Verwendung statischer IP Adressen erforderlich Einrichten der Access Gateway Hardware Dieser Abschnitt enth lt Anweisungen f r die Ersteinrichtung von Access Gateway So schlie en Sie das Access Gateway Ger t an l Installieren Sie das Access Gateway ggf in einem Rack Weitere Informationen zum Installieren des Access Gateways in einem Rack finden Sie i
73. und das Kennwort ein und klicken dann auf Anmelden Benutzer haben Zugriff auf in Citrix XenApp ver ffentlichte Anwendungen und k nnen Anwendungen wie Word und Outlook verwenden als wenn sie lokal auf ihrem Computer installiert w ren Wenn Sie das Secure Access f r die automatische Anmeldung an Windows konfiguriert haben wird das Plug in gestartet sobald die Benutzer ihre Windows Anmeldeinformationen eingegeben haben Diese Anmeldeinformationen werden auch f r das Secure Access verwendet Das bedeutet dass die Benutzer beim Starten des Clientger ts die Authentifizierung nicht wiederholen m ssen um eine Verbindung herzustellen vorausgesetzt die Benutzer haben eine Netzwerkverbindung und sie k nnen sich an Windows anmelden Weitere Informationen zur Konfiguration der Single Sign On Funktion unter Windows finden Sie unter Konfigurieren von Single Sign on f r Windows Betriebssysteme auf Seite 148 Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 69 Konfigurieren des Netzwerkzugriffs Nachdem das Ger t f r den Betrieb in der Netzwerkumgebung konfiguriert wurde konfigurieren Sie den Netzwerkzugriff f r das Ger t sowie f r die Gruppen und Benutzer So konfigurieren Sie den Netzwerkzugriff Schritt 1 Konfigurieren der Netzwerke zu denen die Clients eine Verbindung aufbauen k nnen Standardm ig k nnen die Clients keine Verbindungen zu einem Netzwerk herstellen Als ersten Schritt beim Konfiguri
74. unter Konfigurieren von dynamischen und statischen Routen auf Seite 60 Bereitstellen von Netzwerkzugriff f r Benutzer Die Netzwerkressourcen zu denen Sie Benutzern Zugriff gew hren m ssen in einem Netzwerk sein an das das Access Gateway Daten weiterleiten kann Sie k nnen das Access Gateway so konfigurieren dass entweder dynamische oder statische Routen zum Weiterleiten von Daten an interne Netzwerkressourcen verwendet werden Sie k nnen mit dem Access Gateway ganz gezielt festlegen wie Sie Benutzern Zugriff auf Netzwerkressourcen gew hren Der Benutzerzugriff auf Netzwerkressourcen l sst sich folgenderma en steuern e Sie erstellen Netzwerkressourcengruppen Eine Netzwerkressourcengruppe enth lt einen oder mehrere Netzwerkstandort e Im Allgemeinen ist eine Netzwerkressourcengruppe eine Teilgruppe aller Netzwerkressourcen an die das Access Gateway Daten weiterleiten kann Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 113 So kann eine Ressourcengruppe z B den Zugriff auf eine einzelne Anwendung eine Gruppe von Anwendungen einen Bereich von IP Adressen oder das gesamte Intranet erm glichen Welche Elemente Sie in eine Netzwerkressourcengruppe aufnehmen h ngt in hohem Ma e von den verschiedenen Zugriffsanforderungen Ihrer Benutzer ab So kann es sein dass Sie einigen Benutzergruppen Zugriff auf viele Ressourcen gew hren m chten w hrend andere Benutzergruppen lediglich auf einen kleinen
75. unterschieden Zu den Gruppeneigenschaften geh ren Folgende Gruppen die die Eigenschaften der Standardgruppe bernehmen Neuanmeldung durch die Benutzer wenn es zu einer Netzwerkunterbrechung gekommen ist oder wenn der Computer im Standby Modus oder Ruhezustand war Aktivieren der Single Sign On Funktionalit t unter Windows Aktivieren von Single Sign On f r das Webinterface Ausf hren von Anmeldeskripten wenn Benutzer sich mit Dom nenanmeldeinformationen anmelden Verweigern des Zugriffs auf Anwendungen im Netzwerk ohne definierte Anwendungsrichtlinie Zugriffskonfiguration zum Festlegen der Zeitdauer fiir eine Sitzung Es gibt drei Arten von Sitzungstimeouts Benutzersitzungstimeout Hiermit wird festgelegt wie lange Benutzer angemeldet bleiben k nnen unabh ngig davon ob Aktivit t stattfindet Die angegebene Zeit ist absolut Wenn f r Benutzer ein Timeout von 60 Minuten festgelegt ist endet die Sitzung nach 60 Minuten 1 Minute vorher werden die Benutzer in einer Warnmeldung auf das nahende Sitzungsende hingewiesen e Netzwerkaktivit tstimeout Hierbei werden Benutzer nach einer bestimmten Zeitspanne abgemeldet wenn keine Netzwerkaktivit t vom Clientger t durch den VPN Tunnel festgestellt wurde Netzwerkaktivit t vom LAN wird nicht ber cksichtigt Timeout bei inaktiver Sitzung Hierbei wird Netzwerkaktivit t festgestellt aber keine Benutzeraktivit t Benutzeraktivit ten sind Tastatureingaben ode
76. von Adobe Systems Incorporated in den USA und oder anderen L ndern Java Sun und SunOS sind Marken oder eingetragene Marken von Sun Microsystems Inc in den USA und anderen L ndern Solaris ist eine eingetragene Marke von Sun Microsystems Inc die dieses Produkt nicht getestet oder anerkannt haben Teile dieser Software basieren partiell auf der Arbeit der Independent JPEG Group Teile dieser Software enthalten Imagingcode der Eigentum und Copyright von Pegasus Imaging Corporation Tampa FL ist Alle Rechte vorbehalten Macromedia und Flash sind Marken oder eingetragene Marken von Macromedia Inc in den USA und oder anderen L ndern Microsoft MS DOS Windows Windows Media Windows Server Windows NT Win32 Outlook ActiveX Active Directory und DirectShow sind eingetragene Marken oder Marken von Microsoft Corporation in den USA und oder anderen L ndern Netscape und Netscape Navigator sind eingetragene Marken von Netscape Communications Corp in den USA und anderen L ndern Lizenzierung Globetrotter Macrovision und FLEXIm sind Marken und oder eingetragene Marken der Macrovision Corporation Alle anderen Marken und eingetragenen Marken sind das Eigentum ihrer jeweiligen Inhaber Dokumentcode 1 Mai 2009 bp INHALT Inhalt Kapitel 1 Einf hrung Hinweise zur Benutzung dieses Handbuchs 0 000 cee cece eee 11 Typografische Konventionen 000 ccc eet nee eens 11 Service und technischer Support
77. wird dieses Paket an die Adresse des Standardgateways bermittelt Wenn der Load Balancer als Standardgateway konfiguriert ist sorgt das Access Gateway mit statischem Routing daf r dass die f r die internen Ziele bestimmten Pakete tats chlich ausgeliefert werden Falls das Access Gateway ein Paket empf ngt das f r eine interne Adresse bestimmt ist ohne dass die statische Routingtabelle eine geeignete Route f r das Paket aufweist geht das Paket unter Umst nden verloren Beispiel Der Load Balancer ist als Standardgateway konfiguriert und es gilt Folgendes Sie verwenden drei interne Netzwerke 10 10 0 0 10 20 0 0 und 10 30 0 0 Das Netzwerk 10 10 0 0 kann Pakete an die Netzwerke 10 20 0 0 und 10 30 0 0 weiterleiten Aber die Netzwerke 10 20 0 0 und 10 30 0 0 k nnen keine Pakete an andere Netzwerke weiterleiten Kapitel 11 Installieren zus tzlicher Access Gateway Ger te 211 In dieser Umgebung m ssen auf dem Access Gateway statische Routen f r Interface 1 erstellt werden Diese statischen Routen m ssen den gesamten Datenverkehr der f r die Netzwerke 10 20 0 0 und 10 30 0 0 bestimmt ist ber Interface 1 am Access Gateway an das Netzwerk 10 10 0 0 weiterleiten Weitere Informationen hierzu finden Sie unter Konfigurieren von dynamischen und statischen Routen auf Seite 60 Konfigurieren des Load Balancing mit Advanced Access Control Wenn Advanced Access Control gew hlt wurde wird mit dieser Option das Load B
78. zuerst den vorhandenen Standardbereich Default und erstellt dann sofort einen neuen Standardbereich der LDAP Authentifizierung unterst tzt Dieser neue Bereich enth lt die Adresse den Port und andere LDAP Verzeichnisinformationen die das Access Gateway zum Herstellen einer Verbindung zum LDAP Verzeichnisserver und zum Suchen nach Namen im Verzeichnis ben tigt Hinweis Der auf dem Access Gateway vorhandene Standardbereich wird f r die lokale Authentifizierung konfiguriert Durch das L schen des vorhandenen Standardbereichs und das Erstellen eines neuen Standardbereichs f r LDAP erleichtert der Administrator den Anmeldevorgang f r den Endbenutzer Benutzer die sich ber den Standardbereich authentifizieren m ssen den Bereichsnamen nicht als Bestandteil ihrer Anmeldeinformationen eingeben Weitere Informationen ber Bereiche realms Authentifizierung und Autorisierung finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 71 F r diesen Arbeitsschritt muss der Administrator die im vorigen Arbeitsschritt Sammeln der LDAP Verzeichnisinformationen gesammelten Informationen griffbereit haben So l schen Sie den vorhandenen Standardbereich Default und erstellen einen neuen Standardbereich der LDAP Authentifizierung und Autorisierung unterst tzt 1 Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Authentication 2 ffnen Sie das Fenster f r den Bereich Default
79. 0 Null ein um alle Ports zu verwenden Geben Sie einen einzelnen Port ein oder mehrere Ports die nicht in einem Bereich unmittelbar aufeinander folgen Wenn Sie mehrere Ports eingeben trennen Sie sie durch ein Komma Beispiel Wenn Sie Verbindungen ber die Ports 22 80 und 8088 zulassen m chten geben Sie Folgendes ein 22 80 8080 Geben Sie einen Portbereich ein Trennen Sie den ersten Port in der Reihenfolge mit einem Bindestrich vom letzten Port des Bereichs Beispiel Wenn Sie Verbindungen ber alle Ports von 110 bis 120 zulassen m chten geben Sie Folgendes ein 110 120 Sie k nnen auch eine Kombination aus einzelnen Ports und Portbereichen eingeben Beispiel Wenn Sie Verbindungen ber die Ports 22 80 8088 und 110 bis 120 zulassen m chten geben Sie Folgendes ein 22 80 8080 110 120 6 Wahlen Sie unter Protocol die Protokolle aus mit denen Verbindungen auf den angegebenen Ports hergestellt werden k nnen und klicken Sie auf OK So f gen Sie einer Gruppe eine Netzwerkressource hinzu Klicken Sie auf der Registerkarte Access Policy Manager im rechten Bereich unter Network Resources auf die Ressource die Sie hinzuf gen m chten und ziehen Sie sie auf die Benutzergruppe im linken Bereich Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 125 Zulassen und Verweigern von Netzwerkressourcen und Anwendungsrichtlinien Standardm ig sind alle Netzwerkressourcen und Anwendungsrichtlin
80. 000000 48 Herunterladen von Lizenzprotokollen 0 0c cece ce eee 49 Aktualisieren von Lizenzierungsinformationen 00 eee ee 49 Aktualisieren vorhandener Lizenzen 00 c eee eee eens 49 Kulanzzeitraum f r die Lizenzierung nn 00 cece eee 50 Testen der Lizenzinstallation 0 cece cence eee eens 50 Erstellen und Installieren von Zertifikaten 0 0 00 ccc eee 51 bersicht ber Zertifikatsignieranforderungen 00 00e0seee 52 Installieren eines Zertifikats und eines privaten Schl ssels von einem Windows Computer AUS us re de ed whch ee ee tia o 55 Installieren von Stammzertifikaten auf dem Access Gateway 56 Installieren mehrerer Stammzertifikate 22222222 c ccc eee 57 Konfigurieren weiterer Netzwerkeinstellungen 0 0 00 eee 58 Konfigurieren von Namensdienstanbietern 222ce2cceeecn 58 Bearbeiten der HOSTS Datei 2 0 ee ccc eee ens 59 Konfigurieren von dynamischen und statischen Routen 60 5 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Datum und Uhrzeit auf dem Access Gateway 66 Konfigurieren eines NTP Servers 000 cece cence cece e eee 66 Verwenden der Standardportalseite nunnan ccc eee 67 Konfigurieren des Netzwerkzugriffs 0 0 ccc cee es 69 Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung Vorauss
81. 2 Klicken Sie auf die Registerkarte Logging Settings 3 Geben Sie unter Syslog Settings im Feld Server die IP Adresse des Syslogservers ein 4 W hlen Sie im Feld Facility die gew nschte Systemprotokollstufe aus 5 Geben Sie in das Feld Broadcast interval minutes eine Sendefrequenz in Minuten ein Wenn Sie hier 0 eingeben erfolgt die Protokollierung fortlaufend Klicken Sie auf Submit Anhang A Uberwachen des Access Gateways 219 SNMP Protokolle Wenn SNMP Simple Network Management Protocol aktiviert ist meldet das Access Gateway die MIB II Systemgruppe 1 3 6 1 2 1 Das Access Gateway unterst tzt keine Access Gateway spezifischen SNMP Daten Sie k nnen ein SNMP Uberwachungstool z B Multi Router Traffic Grapher konfigurieren um vom Access Gateway gemeldete SNMP Daten grafisch darzustellen Ein Beispiel f r eine MRTG Ausgabe finden Sie unter Beispiel f r eine MRTG Ausgabe auf Seite 219 So aktivieren Sie die Protokollierung von SNMP Meldungen 1 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlieBend auf die Registerkarte Logging Settings 2 Wahlen Sie unter SNMP settings die Option Enable SNMP 3 Geben Sie unter Location den SNMP Speicherort ein Dieses Feld dient nur zur Information 4 Geben Sie unter Contact den Kontakt ein Dieses Feld dient nur zur Information 5 Geben Sie unter Community die Community ein Dieses Feld dient nur zur Information 6 Geben Sie unter Port die
82. 3 Testen 63 Statistik 221 Lizenzierung 45 Status Access Gateway Plug in 197 Subscription Advantage 13 Support 12 13 Sygate Personal Firewall 198 Syslog Server Systemprotokoll weiterleiten an 218 Systemanforderungen Access Gateway Plug in 138 USB Speicher 191 Systemkonfiguration Speichern 193 Wiederherstellen 193 Systemprotokoll Anzeige 216 Archiv 216 Download 216 Filtern 216 Weiterleiten an Syslog Server 218 Systemstatistik 221 T TCP Optionen erhalten Citrix Branch Repeater 136 TCP IP Einstellungen Double Hop DMZ 41 Konfigurieren in der seriellen Konsole 37 Konfigurieren mit Netzwerkkabel 38 Serielle Konsole 36 Technischer Support 12 Terminologie nderungen 14 Testzertifikate 233 Timeout Benutzersitzung 117 163 inaktive Sitzung 117 163 Netzwerkinaktivit t 117 163 Websitzung 164 Tiny Personal Firewall 199 TLS siehe Transport Layer Security Traceroute Tool 222 Training 13 Transport Layer Security 140 TransPorts Layer Security 224 U berpr fungsintervall Access Gateway Advanced Edition 31 berwachungstools 221 Umleitung Ports 41 Ungesicherte Verbindungen umleiten 41 Universelle Lizenz 44 286 Citrix Access Gateway Standard Edition Administratordokumentation Upgrades 13 18 Access Gateway Plug in 149 Access Gateway Software 186 USB Speicher Systemanforderungen fiir Installation 191 V Verbindungen Access Gateway Advanced Edition 17 einzelne DMZ 23 Hardware 35 keine Client
83. 81 Administration Tool 0 0 ec cee ene n eee nenn 182 Administration Portal 0 0 eee etn e nee eee 184 Aktualisieren der Access Gateway Software 00 0 cee cece eens 186 Installieren des Software Upgrades 0 ccc ccc eee eee 188 8 Citrix Access Gateway Standard Edition Administratordokumentation Neuinstallieren der Access Gateway Software 0 0 00 00 c cece cee eee 189 Neuinstallation der Software bei Model 2000 0 02 00 0 20s 190 Neuinstallation der Software bei Model 2010 0002 000 190 Speichern und Wiederherstellen der Access Gateway Konfiguration 192 Neustarten und Herunterfahren des Access Gateways 000 0000 ee 194 Neustarten des Access Gateways 0 0 cc ccc ce teen eee ee 194 Herunterfahren des Access Gateways 00 c cece eee cece eens 195 Initialisieren des Access Gateways 006 cece ccc cece eee nenn 195 Zulassen von ICMP Verkehr 0 2 eee tence EN 196 Konfigurieren pers nlicher Firewalls von Drittanbietern 196 McAfee Personal Firewall Plus 0 0 0 cece eee eee eee eens 198 Norton Personal Firewall 20 0 een 198 Sygate Personal Firewall kostenlose und Pro Version 198 Tiny Personal Firewall 0 0 cee cece eee eee nee nee 199 ZoneAlarm Pro 2 eres ca a ae gea ate ig see eter en Rn gels Se BE Sea 199 Kapitel 11 Installieren zus tzlicher Access Gateway Ger te Erstell
84. Access Gateway 100 Konfigurieren der Autorisierung mit SafeWord 2 22222200 101 Konfigurieren der Gemalto Protiva Authentifizierung 102 Konfigurieren der Gemalto Protiva Einstellungen 102 Konfigurieren von NTLM Authentifizierung und Autorisierung 103 Konfigurieren der NTLM Autorisierung 0 000 eee eee eee ee 105 Konfigurieren von erweiterten Optionen f r die Authentifizierung 106 Konfigurieren des Benutzernamenpr fixes 02 0 e ee eee eee 106 Konfigurieren der Authentifizierung ftir die Verwendung von Einmal Kennw rternin us Busen enge an ee ee 107 Verbergen der Aufforderung f r die Antwort berpr fung 108 Konfigurieren von Zweimethodenauthentifizierung 222 2 108 ndern der Beschriftung von Kennwortfeldern 0000 cee eeu 110 6 Citrix Access Gateway Standard Edition Administratordokumentation Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen Konfigurieren des Netzwerkrouting 00 c ec cece cece eens 112 Bereitstellen von Netzwerkzugriff f r Benutzer 00 0 0000 112 Aktivieren von Split Tunneling und zug nglichen Netzwerken 114 Konfigurieren von Benutzergruppen 2222222 ccc cee eee 115 Konfigurieren von Zugriffssteuerungslisten 22 22222 eee eee 116 Erstellen lokaler Benutzergruppen 2 222222 ec cece een 116 Ko
85. Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf End Point Resources und klicken Sie dann auf New End Point Resource 3 Geben Sie einen Namen ein und klicken Sie dann auf OK So erstellen Sie eine Prozessregel 1 Klicken Sie auf Process rule 2 Geben Sie unter Process name den Namen des Prozesses ein oder klicken Sie auf Browse um zu dem Prozess zu navigieren Wenn ein Prozessname eingegeben ist wird das Feld MD5 automatisch ausgef llt Klicken Sie auf OK 130 Citrix Access Gateway Standard Edition Administratordokumentation So erstellen Sie eine Dateiregel 1 Klicken Sie auf File rule 2 Geben Sie unter File name den Pfad und den Dateinamen ein oder klicken Sie auf Browse um zu der Datei zu navigieren Wenn ein Dateiname eingegeben wurde wird das Feld MDS5 automatisch ausgef llt 3 Geben Sie unter Date das Datum ein Verwenden Sie dazu das folgende Format MM TT JJJJ Dies ist das Datum an dem die Datei erstellt wurde Klicken Sie auf OK So erstellen Sie eine Registrierungsregel 1 Klicken Sie auf Registry rule 2 Geben Sie unter Registry path den Pfad ein und w hlen Sie einen Schl sseltyp aus 3 Geben Sie unter Registry entry den Schl sselnamen ein 4 Geben Sie unter Registry value den Wert ein auf den der Schl ssel gesetzt werden muss und klicken Sie auf OK So l schen Sie eine Endpunktressource 1 Klicken Sie auf die Registerkarte Access Polic
86. Adresse 10 10 25 50 jedoch nicht auf die E Mail Anwendung auf anderen E Mail Servern in den zugelassenen Netzwerken zugreifen N here Informationen dar ber worin der Zweck von lokalen Benutzern auf dem Access Gateway besteht und wie die Authentifizierung und Autorisierung f r lokale Benutzer zu erm glichen ist finden Sie unter Szenario f r das Erstellen von Gastkonten mit der Liste Local Users auf Seite 262 262 Citrix Access Gateway Standard Edition Administratordokumentation Szenario fur das Erstellen von Gastkonten mit der Liste Local Users Dieses Beispiel veranschaulicht die Funktionsweise von lokalen Benutzern auf dem Access Gateway und erl utert eine Methode mit der ein Administrator die Authentifizierung und Autorisierung fiir lokale Benutzer unterstiitzen kann In dem zuvor beschriebenen Beispiel wurden Benutzer anhand ihrer Anmeldeinformationen f r das LDAP Verzeichnis und ihrer Gruppenmitgliedschaft authentifiziert und autorisiert Administratoren k nnen auch eine Liste mit lokalen Benutzern auf dem Access Gateway erstellen und das Access Gateway so konfigurieren dass diesen Benutzern Authentifizierungs und Autorisierungsdienste zur Verf gung stehen Diese Liste lokaler Benutzer wird in einer Datenbank auf dem Access Gateway also nicht in einem externen Verzeichnis verwaltet Lokale Benutzer eignen sich insbesondere wenn der Administrator einen der folgenden Schritte ausf hren m chte e Gew hren
87. Anforderung an den konfigurierten RADIUS Server durch das Access Gateway eine Fehlermeldung erhalten wonach der Benutzername oder das Kennwort ung ltig ist w hlen Sie in den IAS RAS Richtlinien unter den Eigenschaften f r die jeweilige Richtlinie auf der Registerkarte Authentifizierung die Option Unverschl sselte Authentifizierung PAP SPAP 94 Citrix Access Gateway Standard Edition Administratordokumentation Auswahlen der RADIUS Authentifizierungsprotokolle Das Access Gateway unterst tzt Implementierungen von RADIUS die f r die Verwendung des Password Authentication Protocol PAP zur Benutzerauthentifizierung konfiguriert wurden Andere Authentifizierungsprotokolle wie Challenge Handshake Authentication Protocol CHAP werden nicht unterstiitzt Wenn Ihre Access Gateway Bereitstellung f r die Verwendung der RADIUS Authentifizierung und Ihr RADIUS Server fiir die Verwendung von PAP konfiguriert ist K nnen Sie eine st rkere Benutzerauthentifizierung erreichen indem Sie dem RADIUS Server einen starken gemeinsamen geheimen Schl ssel zuweisen Starke gemeinsame geheime RADIUS Schl ssel bestehen aus willk rlichen Folgen von Gro und Kleinbuchstaben Zahlen und Zeichen und sind mindestens 22 Zeichen lang Verwenden Sie m glichst ein Programm um die gemeinsamen geheimen RADIUS Schl ssel zu generieren Um den Datenverkehr auf dem RADIUS Server noch besser zu sch tzen k nnen Sie jedem Access Gateway Ger t einen
88. CP IP Einstellungen auf der Registerkarte General Networking konfiguriert Sie haben auf einem Access Gateway im Netzwerk eine Lizenz installiert dem Lizenzserver Ein Access Gateway im Netzwerk kann als Lizenzserver fungieren Die Lizenz ist auf einem der Ger te installiert Die anderen Ger te sind so konfiguriert dass sie ihre Lizenzen vom Lizenzserver abrufen Sie haben die anderen Ger te so konfiguriert dass sie eine Verbindung zum Lizenzserver herstellen und die notwendigen Lizenzen abrufen Die anderen im Netzwerk installierten Ger te k nnen auch dann Lizenzen abrufen wenn sie nicht zum Cluster geh ren Weitere Informationen zur Lizenzierung finden Sie unter Installieren von Lizenzen auf Seite 43 Sie haben auf jedem Access Gateway ein signiertes sicheres Zertifikat von einer Zertifizierungsstelle installiert Jedes Ger t im Cluster muss einen eindeutigen vollqualifizierten Dom nennamen FQDN haben Werden die Ger te in einem Cluster hinter einem Load Balancer bereitgestellt muss auf jedem Ger t dasselbe SSL Serverzertifikat mit demselben FQDN installiert sein Falls die Ger te in einem Cluster f r Failover konfiguriert sind ohne sich hinter einem Load Balancer zu befinden muss auf jedem Ger t ein eindeutiges SSL Serverzertifikat installiert sein Kapitel 11 Installieren zus tzlicher Access Gateway Ger te 203 Wenn die Ger te im Cluster angeordnet sind konfigurieren Sie die Einstellungen f
89. Citrix Access Gateway Standard Edition Administratordokumentation Citrix Access Gateway 4 6 Standard Edition Model 2000 Serie Hinweise zu Copyright und Marken Die Verwendung des in diesem Handbuch beschriebenen Produkts unterliegt der Annahme der Endbenutzerlizenzvereinbarung Eine druckbare Kopie der Endbenutzerlizenzvereinbarung finden Sie auf den Installationsmedien Die in diesen Unterlagen enthaltenen Angaben und Daten k nnen ohne vorherige Ank ndigung ge ndert werden Die in den Beispielen verwendeten Firmen sonstigen Namen und Daten sind frei erfunden sofern nichts anderes angegeben ist Ohne ausdr ckliche schriftliche Erlaubnis von Citrix Systems Inc darf kein Teil dieser Unterlagen f r irgendwelche Zwecke vervielf ltigt oder bertragen werden unabh ngig davon auf welche Art und Weise oder mit welchen Mitteln weder elektronisch noch mechanisch 2003 2009 Citrix Systems Inc Alle Rechte vorbehalten Citrix und ICA Independent Computing Architecture sind eingetragene Marken und Access Gateway ist eine Markevon Citrix Systems Inc in den USA und anderen L ndern RSA Encryption 1996 1997 RSA Security Inc Alle Rechte vorbehalten Dieses Produkt enth lt Software die von Expat XML Parser entwickelt wurde 1999 2009 Dieses Produkt enth lt Software die von Internet Systems Consortium entwickelt wurde 2001 2009 Dieses Produkt enth lt Software die von Free Software Foundation Inc entwickelt wurde
90. Die Gruppenmitgliedschaft eines Benutzers kann aus berechenbaren Attributen aus dem Benutzerobjekt hervorgehen wie das z B beim IBM Directory Server oder beim Sun ONE Verzeichnisserver der Fall ist Bei einigen LDAP Servern kann dieses Attribut verwendet werden um die dynamische Gruppenmitgliedschaft die verschachtelte Gruppenmitgliedschaft und die statische Gruppenmitgliedschaft eines Benutzers einzuschlie en sodass alle Gruppenmitgliedschaften anhand eines einzelnen Attributs gefunden werden k nnen So k nnen z B in IBM Directory Server alle Gruppenmitgliedschaften in statischen dynamischen und verschachtelten Gruppen ber das Attribut ibm allGroups zur ckgegeben werden In Sun ONE werden alle Rollen einschlie lich der verwalteten gefilterten und verschachtelten Rollen mit dem Attribut nsRole berechnet Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 87 Auswertung der Gruppenmitgliedschaft anhand von Gruppenobjekten ohne Access Gateway Autorisierung Einige LDAP Server die die Gruppenmitgliedschaft indirekt anhand von Gruppenobjekten auswerten verwenden die Access Gateway Autorisierung nicht Es gibt LDAP Server bei denen nur Gruppenobjekte Informationen tiber Benutzer enthalten k nnen z B der Lotus Domino LDAP Server Das Benutzerobjekt darf bei diesen LDAP Servern keine Informationen tiber Gruppen enthalten Bei solchen LDAP Servern erfolgt die Suche nach der Gruppenmitgliedschaft indem der B
91. Edition Administratordokumentation Konfigurieren von erweiterten Optionen fur die Authentifizierung F r die RADIUS SafeWord oder Gemalto Protiva Authentifizierung k nnen Sie erweiterte Authentifizierungsoption konfigurieren Zu den erweiterten Optionen geh ren Konfigurieren des Benutzernamenpr fixes Konfigurieren von Einmal Kennw rtern Verbergen der Aufforderung f r die Antwort berpr fung Diese Optionen werden im Authentifizierungsbereich f r jeden Authentifizierungstyp konfiguriert Konfigurieren des Benutzernamenpr fixes Sie k nnen die Authentifizierungsrichtlinie so konfigurieren dass Benutzer sich mit dem UPN user principle name anmelden der das Format benutzername dom ne com hat Wenn Sie den UPN f r die LDAP Authentifizierung konfigurieren geben Sie f r den LDAP Authentifizierungsbereich unter Administrator bind DN RADIUSkonto dom nenname com ein wobei dom nenname com der Name Ihrer Dom ne ist Geben Sie in das Feld Server logon name attribute den UPN ein Wenn Sie RADIUS SafeWord oder Gemalto Protiva verwenden geben Sie im Authentifizierungsbereich unter Advanced Options benutzername dom ne com Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 107 Konfigurieren der Authentifizierung fur die Verwendung von Einmal Kennwortern Wenn die Authentifizierung auf dem Access Gateway so konfiguriert ist dass Einmal Kennw rter beispielsweise von einem RSA SecurID Toke
92. Gateway anmelden m chten Zur Auswahl stehen Citrix Access Gateway Klicken auf dieses Symbol startet das Access Gateway Plug in Nach der Anmeldung des Benutzers wird das Webinterface angezeigt Citrix XenApp Klicken auf dieses Symbol leitet Benutzer zum Webinterface weiter Diese Portalseite wird nur dann angezeigt wenn auf der Registerkarte Gateway Portal die Optionen Redirect to Web Interface und Use the multiple logon option page aktiviert sind So konfigurieren Sie mehrere Anmeldeoptionen 1 Klicken Sie mit der rechten Maustaste im linken Bereich der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Properties Wahlen Sie auf der Registerkarte Gateway Portal die Option Redirect to Web Interface Geben Sie im Feld Path den Pfad des Servers ein auf dem das Webinterface gehostet wird Der Standardsitepfad f r Citrix Presentation Server 4 2 ist Citrix MetaFrame auth Login aspx Der Standardsitepfad f r Citrix Presentation Server 4 5 ist Citrix AccessPlatform Der Standardsitepfad f r Citrix XenApp 5 0 ist Citrix XenApp Geben Sie in das Feld Web server IP address or FODN die IP Adresse oder den FODN des Servers an auf dem das Webinterface gehostet wird Kapitel 9 Konfigurieren von Anmelde und Portalseiten fiir das Citrix Access Gateway Plug in 179 5 Wahlen Sie Use a secure connection um die Verbindung zu sichern 6 Um die Anmeldung f r das Access Gateway Plug in berei
93. In diesem Fall f gen Sie den Benutzer der lokalen Benutzerliste des Access Gateways hinzu Wenn Sie Benutzer einer anderen Gruppe hinzuf gen m chten klicken Sie unter Local Users auf den jeweiligen Benutzer und ziehen Sie ihn auf die entsprechende Benutzergruppe Wenn Benutzer keiner der von Ihnen auf dem Access Gateway definierten Gruppen angeh ren werden ihnen die Einstellungen der Standardbenutzergruppe zugewiesen Wenn Benutzer einer anderen Gruppe als der Standardgruppe angeh ren werden ihnen nur dann die Einstellungen der Standardgruppe zugewiesen wenn die Gruppe zur bernahme dieser Einstellungen konfiguriert wurde Weitere Informationen hierzu finden Sie unter Eigenschaften der Standardgruppe Default auf Seite 119 80 Citrix Access Gateway Standard Edition Administratordokumentation So erstellen Sie Benutzer auf dem Access Gateway 1 2 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste im linken Bereich auf Local Users und klicken Sie dann auf New User Geben Sie unter User Name einen Benutzernamen ein Benutzernamen k nnen Leerzeichen enthalten Hinweis Bei Benutzernamen muss die Gro und Kleinschreibung nicht beachtet werden Verwenden Sie keinen Schr gstrich oder Klammeraffen im Benutzernamen oder im Kennwort Kennw rter d rfen nicht mit einem Leerzeichen beginnen oder enden Geben Sie in die Felder Password und Verify Password das Ke
94. Kleinschreibung Hinweis Weitere Informationen zur Festlegung der LDAP Servereinstellungen finden Sie unter Bestimmen der Attribute in Ihrem LDAP Verzeichnis auf Seite 89 86 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der LDAP Autorisierung Im Folgenden werden die LDAP Gruppenmitgliedschaftsattribute beschrieben die mit der Access Gateway Autorisierung funktionieren und nicht funktionieren F r die LDAP Authentifizierung k nnen Sie die folgenden Autorisierungstypen verwenden Lokale Autorisierung LDAP Autorisierung Keine Autorisierung Wenn Sie die Zweimethodenauthentifizierung verwenden basiert die Autorisierung auf der prim ren nicht der sekund ren Authentifizierungsmethode Hinweis Wenn Sie die gleichen Benutzer der lokalen Gruppe auf dem Access Gateway und einer LDAP oder Active Directory Gruppe hinzugef gt haben verwendet Access Gateway die Eigenschaften beider Gruppen f r die Autorisierung Der verwendete Autorisierungstyp ist von der Gruppenprioritat abh ngig Auswertung der Gruppenmitgliedschaft anhand von Gruppenobjekten Einige LDAP Server die die Gruppenmitgliedschaft indirekt anhand von Gruppenobjekten auswerten k nnen die Access Gateway Autorisierung verwenden Es gibt LDAP Server bei denen die Benutzerobjekte Informationen zu den Gruppen enthalten k nnen zu denen sie geh ren Dazu geh ren z B Active Directory und eDirectory
95. Kontakt vom remoten Access Gateway her und leitet es an den Lizenzserver weiter Dann wird die Kommunikation vom Managerport and den Vendorport tibergeben Der Vendorport wird auf dem Lizenzserver ausgef hrt und gew hrt die Lizenz Dabei wird die Portnummer 27001 verwendet Die Portnummern lassen sich an die vorliegende Firewall Konfiguration anpassen Der Manager Port zeichnet die ausgecheckten Lizenzen und die Access Gateway Ger te auf denen sie Lizenzen verwendet werden auf Unter Umst nden m ssen Sie neue Firewall Regeln anlegen damit der Netzwerkzugriff auf die Lizenzserverports m glich wird Herunterladen von Lizenzprotokollen Sie k nnen Lizenzprotokolle mit ausf hrlichen Informationen zur Lizenznutzung herunterladen Die Protokolle sind nach dem Herunterladen in der komprimierten Datei license_logs zip So laden Sie Lizenzprotokolle herunter 1 Wahlen Sie auf der Registerkarte Access Gateway Cluster ein Access Gateway Ger t aus und klicken Sie auf die Registerkarte Licensing 2 Klicken Sie unter Information about this Access Gateway neben Download licensing logs auf Download All 3 Legen Sie den Ordner fest in den ZIP Datei heruntergeladen werden soll und klicken Sie auf Speichern Nachdem die ZIP Datei auf Ihrem Computer gespeichert ist k nnen Sie die Lizenzprotokolle mit einem Komprimierungsprogramm wie WinZip extrahieren Die Lizenzdateien mit der Dateierweiterung lic lassen sich in einem Texteditor ffnen
96. Legen Sie unter Subnet Mask die Subnetzmaske fiir das Gatewaygerat fest 6 Legen Sie unter Gateway als IP Adresse des Standardgateways 192 168 0 1 fest 7 Wahlen Sie unter Interface als Gateway Ger teadapter die Option Interface 1 und klicken Sie auf Add 66 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Datum und Uhrzeit auf dem Access Gateway Die Systemzeit wird auf der Registerkarte Date im Administration Tool angezeigt So andern Sie das Systemdatum und die Systemuhrzeit 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t Klicken Sie auf die Registerkarte Date Aktivieren Sie unter Synchronization mode die Option Manual Geben Sie unter Date das Datum und die Uhrzeit ein io E E W hlen Sie unter Time zone eine Zeitzone aus und klicken Sie auf Submit Konfigurieren eines NTP Servers Das Network Time Protocol NTP sendet und empf ngt Zeitinformationen ber TCP IP Netzwerke Es eignet sich daher fiir die Synchronisierung der internen Uhr von Computern im Netzwerk auf der Basis einer gemeinsamen Referenzzeit Wenn sich in Ihrem sicheren Netzwerk ein NTP Server befindet k nnen Sie das Access Gateway mit dem Administration Tool so konfigurieren dass die Uhrzeit des Ger ts mit der vom NTP Server bereitgestellten Zeit synchronisiert wird So synchronisieren Sie das Access Gateway mit einem NTP Server 1 ffnen Sie auf der Register
97. MZ 28 Citrix Access Gateway Standard Edition Administratordokumentation Wichtig Wird das Access Gateway in einem Double Hop Szenario bereitgestellt K nnen die Benutzer nur mit Citrix XenApp Plug ins auf Ressourcen in einer Serverfarm zugreifen Der Zugriff auf Ressourcen im internen Netzwerk tiber das Access Gateway Plug in ist in einem Double Hop DMZ Szenario nicht m glich Es wird lediglich der ICA Datenverkehr unterst tzt Bereitstellen weiterer Ger te f r Lastausgleich und Failover Sie k nnen mehrere Access Gateway Ger te in Ihrer Umgebung installieren um damit Folgendes zu erreichen Skalierbarkeit Wenn Sie viele Remotebenutzer haben installieren Sie zus tzliche Access Gateway Ger te um diese Arbeitsbelastung zu bew ltigen Hohe Verf gbarkeit Als Vorsichtsma nahme f r einen eventuellen Ausfall eines Access Gateways k nnen Sie zus tzliche Access Gateway Ger te installieren und so daf r sorgen dass das interne Netzwerk weiterhin f r die Remotebenutzer verf gbar bleibt Hinweis Soll lediglich eine hohe Verf gbarkeit erzielt werden k nnen Sie ein Access Gateway als prim res Access Gateway konfigurieren und ein oder mehrere weiteres Access Gateway Ger t als Failover Ger te deklarieren Bei einem Ausfall des prim ren Access Gateways werden die Clientverbindungen an das Failover Access Gateway weitergeleitet Weitere Informationen zu dieser Konfiguration finden Sie unter Instal
98. McAfee Personal Firewall Plus 198 Mehrere Anmeldeoptionen Portalseite 178 MSI Installation Access Gateway Plug in 19 145 MTU siehe Maximum Transmission Unit Multi Router Traffic Grapher 219 N Name Service Providers 58 278 Namensaufl sung Problembehandlung 277 NetMeeting 276 Network Time Protocol 66 Netzwerk Flooding 274 Routetracing 222 Spamming 274 Split Tunneling 114 Verbindungsfehler 275 etzwerkadapter TCP IP Einstellungen konfigurieren 39 Netzwerkaktivit tstimeout 117 Netzwerkgeschwindigkeit Einstellung 39 Netzwerkinaktivit tstimeout 163 Netzwerkkabel 34 Installation 38 TCP IP konfigurieren 38 Netzwerkressourcen 16 118 CIDR nicht erkannt 273 Erstellen 123 Gruppen hinzuf gen 124 Konfigurieren 122 Zulassen und Verweigern 125 Netzwerkrouting 112 Netzwerk berwachung Packet Capture 222 Portscan 222 Netzwerkunterbrechung Authentifizierung 158 Netzwerkzugriff Benutzern bereitstellen 112 Konfigurationsbeispiele 243 Konfigurieren 69 Routing 112 Neue Produktnamen 14 Neustart des Access Gateways 42 194 Neustarten des Access Gateways 275 Node Secret 98 Norton Personal Firewall 198 Z 284 Citrix Access Gateway Standard Edition Administratordokumentation NTLM Authentifizierung 26 104 139 277 NTLM Autorisierung 105 NTP siehe Network Time Protocol 0 Offentliche Zertifizierungsstellen 232 Optimierung Citrix Branch Repeater 136 P Packet Capture 222 Packliste 34 Ping Serielle Konso
99. Model 2010 l Speichern Sie die Access Gateway Konfigurationseinstellungen wie unter Speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 192 beschrieben 2 Stellen Sie sicher dass das Access Gateway mit einem Computer verbunden ist auf dem die Terminalemulationssoftware ausgef hrt werden kann Schalten Sie beide Systeme ein 192 Citrix Access Gateway Standard Edition Administratordokumentation 3 Laden Sie die Access Gateway Software von der Citrix Support Website auf Ihren Computer und kopieren Sie dann das Image auf einen USB Stick Verwenden Sie dazu das Appliance Software Imaging Tool das Sie auch auf der Support Website erhalten Achtung Nachdem Sie die Access Gateway Software auf den USB Stick kopiert haben sollten Sie sofort die Access Gateway CD aus dem Computer entfernen Wenn Sie den Computer neu starten w hrend der USB Stick angeschlossen oder die CD eingelegt ist werden m glicherweise die Informationen auf Ihrem Computer gel scht 4 Stecken Sie den USB Stick in den USB Port auf dem Access Gateway um das Installationsprogramm zu starten Wenn die Installation abgeschlossen ist zeigt die serielle Konsole eine entsprechende Meldung an 5 Entfernen Sie den USB Stick und schalten Sie das Access Gateway aus 6 Schalten Sie das Access Gateway ein 7 Stellen Sie die Konfigurationseinstellungen wieder her Informationen hierzu finden Sie unter Speichern und Wiederherstellen de
100. Portnummer an 1 Klicken Sie auf Submit Beispiel f r eine MRTG Ausgabe Multi Router Traffic Grapher MRTG ist ein Tool zur berwachung von SNMP Daten Verkehrslast usw MRTG generiert HTML Seiten mit PNG Bildern zur visuellen Darstellung des Verkehrs Das Tool funktioniert unter UNIX Windows 2000 Server und Windows Server 2003 Hinweis Die Informationen in diesem Abschnitt geben einen allgemeinen berblick ber das Arbeiten mit MRTG Informationen wie Sie dieses Tool bekommen und verwenden finden Sie auf der Website von Multi Router Traffic Grapher http people ee ethz ch oetiker webtools mrtg 220 Citrix Access Gateway Standard Edition Administratordokumentation So erfassen Sie SNMP Daten f r das Access Gateway ber MRTG in UNIX 1 Konfigurieren Sie das Access Gateway f r das Antworten auf SNMP Abfragen Informationen hierzu finden Sie unter So aktivieren Sie die Protokollierung von SNMP Meldungen auf Seite 219 2 Erstellen Sie die MRTG Konfigurationsdateien in etc mrtg Die Konfigurationsdateien enthalten Angaben dazu welche Objekt IDs vom MRTG Daemon tiberwacht werden sollen von welchem Ziel die SNMP Daten bezogen werden sollen und wie die MRTG Ausgabe aussehen soll WorkDir var www html metg Options _ nopercent gauge noinfo growright Target vpn myorg com tepCurrEstab 1 3 6 1 2 1 6 9 08 1 3 6 1 2 1 6 9 0 mypswd 10 10 0 30 Xsize vpn myorg com tcepCurrEstab 600 Ysize vpn
101. Prozess der Authentifizierung genannt wird Wie F hrerscheine P sse oder sonstige Identit tsnachweise erm glichen Zertifikate die gegenseitige Authentifizierung von Servern und Clients bevor eine sichere Verbindung hergestellt wird 228 Citrix Access Gateway Standard Edition Administratordokumentation Zertifikate sind nur f r die Dauer eines bestimmten Zeitraums g ltig Bei Ablauf der G ltigkeitsdauer muss ein neues Zertifikat ausgestellt werden Die Zertifizierungsstelle kann Zertifikate auch sperren Zur Herstellung einer SSL TLS Verbindung ist an einem Ende der Verbindung ein Serverzertifikat und am anderen Ende der Verbindung ein Stammzertifikat der Zertifizierungsstelle erforderlich die das Serverzertifikat ausgestellt hat e Serverzertifikat Mit einem Serverzertifikat wird die Identit t eines Servers best tigt Das f r das Access Gateway erforderliche digitale Zertifikat wird Serverzertifikat genannt e Stammzertifikat Ein Stammzertifikat dient zur Identifizierung der Zertifizierungsstelle die das Serverzertifikat signiert hat Das Stammzertifikat geh rt der Zertifizierungsstelle Anhand dieses digitalen Zertifikats berpr ft ein Clientger t das Serverzertifikat Beim Herstellen einer SSL Verbindung mit einem Webbrowser auf einem Clientger t leitet der Server sein Zertifikat an das Clientger t weiter Bei Eingang eines Serverzertifikats pr ft der Webbrowser z B Internet Explorer auf dem Clientger t we
102. Standardbenutzername und kennwort sind root und rootadmin 3 Klicken Sie auf der Registerkarte Downloads unter Access Gateway Administration Tool auf Install the Access Gateway Administration Tool Folgen Sie den Anweisungen um die Installation abzuschlie en Nachdem das Administration Tool installiert ist K nnen Sie die Netzwerkeinstellungen konfigurieren So konfigurieren Sie die Netzwerkeinstellungen mit dem Administration Tool 1 Melden Sie sich am Administration Tool mit dem Standardbenutzernamen und kennwort an 2 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 3 Geben Sie auf der Registerkarte General Networking unter Interface 0 und Interface 1 neben IP Address die neue IP Adresse des Ger ts ein Citrix empfiehlt dass Sie Use both interfaces ausw hlen 4 Geben Sie in das Feld Subnet mask die Subnetzmaske f r die IP Adresse an die Sie f r die beiden Netzwerkkarten eingegeben hatten 5 Geben Sie unter External FQDN den vollqualifizierten Dom nennamen ein Wichtig Der FQDN muss mit dem bereinstimmen der auf dem digitalen Zertifikat und der Lizenz f r Access Gateway angegeben wurde 6 Unter Duplex Mode w hlen Sie die Richtung der bertragungsdaten Die Standardeinstellung ist Auto Sie k nnen auch Vollduplex und Halbduplex w hlen 7 Unter Speed Mode w hlen Sie die Netzwerkgeschwindigkeit der Karte Die Standardeinstellung ist Auto Sie
103. Testen der Lizenzinstallation Testen Sie ob die Lizenzierung richtig konfiguriert wurde indem Sie einen Testbenutzer erstellen und sich dann mit dem Citrix Access Gateway Plug in und den Anmeldeinformationen anmelden die Sie f r diesen Benutzer eingerichtet haben So testen Sie Ihre Konfiguration 1 ffnen Sie das Administration Tool 2 Klicken Sie auf die Registerkarte Access Policy Manager 3 Klicken Sie mit der rechten Maustaste im linken Bereich auf den Ordner Local Users und klicken Sie dann auf New User 4 Geben Sie im Dialogfeld New User in das Feld User Name einen Benutzernamen ein und in das Feld Password entsprechend das Kennwort Wiederholen Sie die Eingabe des Kennworts im Feld Verify Password und klicken Sie auf OK 5 Geben Sie in einem Webbrowser die Adresse des Access Gateways in Form der IP Adresse oder als FODN ein um eine Verbindung zur internen oder externen Schnittstelle herzustellen Folgende Formate werden akzeptiert https IP Adresse oder https FODN 6 Geben Sie auf der Seite Citrix Access Gateway die Anmeldeinformationen ein 7 Klicken Sie auf der Portalseite auf Citrix Access Gateway Wenn sich ein Benutzer das erste Mal verbindet wird das Access Gateway Plug in heruntergeladen und auf dem Clientger t installiert Nachdem die Installation abgeschlossen ist m ssen Benutzer sich noch einmal ber die Webportalseite oder das Startmen anmelden Kapitel 5 Konfigurieren des Access Gateway
104. Um Silvio Branco und Lisa Marth Zugriff auf den Webkonferenzserver zu gewahren fiihrt der Administrator die folgenden drei Schritte aus Erstellen eines Authentifizierungsbereichs f r Gastbenutzer Erstellen von lokalen Benutzern Erstellen und Zuweisen einer Netzwerkressource f r die Standardbenutzergruppe Default auf dem Access Gateway Erstellen eines Authentifizierungsbereichs f r Gastbenutzer Das Erstellen eines Authentifizierungsbereichs f r Gastbenutzer ist der erste von drei Arbeitsschritten die der Administrator beim Szenario f r das Erstellen von Gastkonten mit der Liste Local Users ausf hrt Beim vorigen Szenario f r die Konfiguration von LDAP Authentifizierung und Autorisierung hat der Administrator einen Standardauthentifizierungsbereich Default erstellt um die Authentifizierung und Autorisierung der in einem LDAP Verzeichnis aufgef hrten Benutzer zu unterst tzen Da Silvio Branco und Lisa Marth nicht im LDAP Verzeichnis aufgef hrt sind erstellt der Administrator einen separaten Authentifizierungsbereich f r sie der Folgendes unterst tzt Lokale Authentifizierung Diese Option in einem Authentifizierungsbereich gew hrleistet dass Benutzer anhand einer Liste Local Users auf dem Access Gateway und nicht auf Basis eines externen Verzeichnisses authentifiziert werden Keine Autorisierung Diese Option in einem Authentifizierungsbereich gew hrleistet dass Benutzern dieses Bereichs die mit de
105. alancing f r Anmeldeanfragen aktiviert bzw deaktiviert Das Kontrollk stchen ist standardm ig aktiviert wenn auf zwei Servern Advanced Access Control ausgef hrt wird Das Load Balancing wird nach dem Round Robin Prinzip durchgef hrt wobei das System eingehende Anfragen reihum an die Server verteilt unabh ngig von der Serverlast Wenn es nur einen Server mit Advanced Access Control gibt ist das Kontrollk stchen nicht verf gbar So konfigurieren Sie das Load Balancing mit Advanced Access Control 1 Erweitern Sie im Administration Tool auf der Registerkarte Access Gateway Cluster das Fenster fiir das Access Gateway und klicken Sie auf Advanced Options 2 Klicken Sie auf Load Balance initial Logon requests und dann auf Submit Hinweis Das Access Gateway Ger t muss f r die Access Gateway Advanced Edition konfiguriert werden um die Einstellung zu aktivieren 212 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Access Gateway Failover Um hohe Verfiigbarkeit des internen Netzwerks fiir Remotebenutzer zu gew hrleisten k nnen Sie zwei oder mehrere Access Gateway Ger te bereitstellen und f r gegenseitiges Failover konfigurieren In dieser Bereitstellung steht stets ein alternatives Access Gateway zur Verf gung wenn ein Access Gateway ausf llt Da das Access Gateway Failover aktiv aktiv ist kann jedes Access Gateway als prim res Gateway f r eine andere Gruppe von Benutzern ver
106. allation von Windows angegeben haben 12 Citrix Access Gateway Standard Edition Administratordokumentation Konvention Bedeutung Nichtproport Text der in einer Textdatei angezeigt wird ional geschweifte Eine Reihe von Elementen von denen eines in Befehlsanweisungen Klammern erforderlich ist Beispiel Ja Nein bedeutet dass Sie Ja oder Nein eingeben m ssen Die geschweiften Klammern selbst m ssen nicht eingegeben werden eckige Optionale Elemente in Befehlsanweisungen Zum Beispiel bedeutet Klammern ping dass Sie ping zusammen mit dem Befehl eingeben k nnen Geben Sie die eckigen Klammern selbst nicht mit ein vertikaler Strich Ein Trennzeichen zwischen Elementen in geschweiften oder eckigen Klammern in Befehlsanweisungen Beispiel hold release delete bedeutet dass Sie hold oder release oder delete eingeben Auslassung Sie k nnen das vorherige Element bzw die vorherigen Elemente in Befehlsanweisungen wiederholen Zum Beispiel bedeutet route Ger tenamel dass Sie zus tzliche Ger tenamen eingeben k nnen die durch Kommas getrennt werden Service und technischer Support Citrix bietet technischen Support haupts chlich durch das CSN Netzwerk Citrix Solutions Network an Unsere CSN Partner verf gen ber entsprechendes Training und bieten unseren Kunden ein hohes Niveau an Support Wenden Sie sich zuerst an Ihren Vertragsh ndl
107. ame geheime Schl ssel muss mit dem auf dem RADIUS Server konfigurierten Schl ssel bereinstimmen 6 Wenn ein zweiter SafeWord Server vorhanden ist konfigurieren Sie die Einstellungen unter Secondary SafeWord Server Settings Konfigurieren der Autorisierung mit SafeWord Wenn die Authentifizierung mit SafeWord erfolgt k nnen Sie die folgenden Autorisierungsverfahren verwenden LDAP Lokale Benutzerliste RADIUS e Keine Autorisierung Informationen zum Konfigurieren der LDAP Autorisierung finden Sie unter Konfigurieren der LDAP Autorisierung auf Seite 86 Informationen zum Konfigurieren der RADIUS Autorisierung finden Sie unter Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 90 Durch entsprechende Konfiguration des SafeWord Servers kann eingestellt werden dass SafeWord die Gruppenmitgliedschaftsattribute zur ckgibt Weitere Informationen finden Sie in der Produktdokumentation 102 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der Gemalto Protiva Authentifizierung Protiva ist eine Plattform fiir eine starke Authentifizierung die entwickelt wurde um die St rken der Gemalto Smartcard Authentifizierung zu nutzen Mit Protiva melden sich Benutzer mit einem Benutzernamen einem Kennwort und einem zweiten Kennwort an das nur einmal gilt und von dem Protiva Ger t generiert wird hnlich wie bei RSA SecurID wird die Authentifizierungsanfrage an den Protiva
108. anced Access Control die IP Adresse oder den vollqualifizierten Dom nennamen FQDN des Servers ein auf dem die Access Management Console ausgef hrt wird 4 Wenn die Kommunikation zwischen dem Access Gateway und dem Server auf dem Advanced Access Control ausgef hrt wird verschl sselt werden soll w hlen Sie Secure server communication 5 Klicken Sie auf Submit Kapitel 3 Planen der Bereitstellung 31 Die Server die so konfiguriert sind dass sie eine Verbindung zum Access Gateway herstellen werden unter Servers Running Advanced Access Control aufgelistet Wenn Sie einen Server aus dieser Liste entfernen m chten w hlen Sie den Server aus und klicken Sie dann auf Remove Konfigurieren mehrerer Server in einer Access Serverfarm Ist in der Konfiguration des Access Gateways festgelegt dass Verbindungen mit mehreren Servern mit Access Gateway Advanced Edition aufgebaut werden sollen wird berpr ft ob die Server tats chlich aktiv sind bevor das Access Gateway eine Anforderung an die Server sendet Stellt das Access Gateway fest dass ein Server nicht aktiv ist wird in regelm igen Zeitabst nden berpr ft ob der Server wieder online ist Sie k nnen die Zeitabst nde in Sekunden angeben in denen das Access Gateway den Server berpr ft Der Mindestzeitraum betr gt 60Sekunden So legen Sie das berpr fungsintervall f r einen Server mit Advanced Access Control fest 1 Klicken Sie auf die Registerkarte Access
109. anderen gemeinsamen geheimen Schl ssel zuweisen Wenn Sie auf dem RADIUS Server Benutzer definieren k nnen Sie auch jedem Benutzer einen separaten gemeinsamen geheimen Schl ssel zuweisen Dazu m ssen Sie jeden Access Gateway Bereich der die RADIUS Authentifizierung verwendet einzeln konfigurieren Wenn Sie die Konfigurationen mehrerer Access Gateway Ger te in einem Cluster synchronisieren wird allen Ger ten der gleiche geheime Schl ssel zugewiesen Gemeinsame geheime Schl ssel werden auf dem Access Gateway konfiguriert wenn ein RADIUS Bereich erstellt wird Hinweis Wenn Sie Access Gateway Advanced Edition verwenden m ssen Sie vor der Zuweisung von gemeinsamen geheimen RADIUS Schl sseln auf den Servern auf denen die Advanced Access Control ausgef hrt wird und die zum Authentifizieren der Benutzer RADIUS verwenden ein RADIUS Authentifizierungsprofil konfigurieren Weitere Informationen zu Authentifizierungsprofilen finden Sie im Administratorhandbuch f r Access Gateway Advanced Edition Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 95 Konfigurieren der RSA SecurlD Authentifizierung Wenn Ihre Site einen RSA ACE Server und RSA SecurlD f r die Authentifizierung verwendet k nnen Sie das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit dem RSA ACE Server konfigurieren Das Access Gateway agiert dann als RSA Agenthost der sich im Namen der Benutzer authentifiziert die sich mit Citr
110. anmelden Sie verwenden dazu das Symbol oder das Startmen Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 153 So melden Sie sich mit dem Access Gateway Plug in am Access Gateway an l Klicken Sie auf Start gt Alle Programme gt Citrix gt Citrix Access Clients gt Citrix Access Gateway Geben Sie im Dialogfeld Citrix Access Gateway die Anmeldeinformationen ein Wenn das Access Gateway mit mehreren Authentifizierungsbereichen konfiguriert ist und eine Verbindung zu einem anderen Bereich als dem Bereich Default hergestellt werden soll geben Sie vor dem Benutzernamen den Bereichsnamen ein Bereichsname Benutzername Falls SafeWord Produkte von Secure Computing verwendet werden geben Sie den Passcode ein Wenn das Access Gateway die Zweimethodenauthentifizierung erfordert geben Sie f r jedes Authentifizierungsverfahren den entsprechenden Benutzernamen und das zugeh rige Kennwort ein Wenn Ihre Site die RSA SecurID Authentifizierung verwendet setzt sich Ihr Kennwort aus Ihrer PIN und der auf dem RSA SecurID Token angezeigten Zahl zusammen 8 Citrix Access Gateway CITRIX Access Gateway Erweiterte Optionen Rechtsklick Benutzername Kennwort Sekundares Kennwort Falls erforderlich Verbinden mit admore ag gsblre2 com 443 Das Access Gateway Dialogfeld f r die Zweimethodenauthentifizierung 154 Citrix Access Gateway Standard Edition Administ
111. ateway Plug in 149 Verbinden mit fruheren Versionen des Access Gateway Plug ins Sie k nnen das Access Gateway so konfigurieren dass auch Verbindungen von fr heren Versionen des Access Gateway Plug ins akzeptiert werden Beispielsweise k nnen Sie Access Gateway Version 4 6 so konfigurieren dass Verbindungen vom Access Gateway Plug in Version 4 5 angenommen werden Wenn Sie Verbindungen mit fr heren Versionen des Access Gateway Plug ins zulassen m chten stellen Sie den Verschl sselungstyp f r Clientverbindungen auf 3DES oder RC4 ein Fr here Versionen des Access Gateway Plug ins unterst tzen keine AES Verschliisselung und k nnen keine Verbindung aufbauen wenn AES aktiviert ist So aktivieren Sie fr here Versionen des Access Gateway Plug ins f r Verbindungen mit dem Access Gateway 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 W hlen Sie Allow connections using earlier versions of Access Gateway Plug in 3 Klicken Sie auf Submit Aktualisieren von fr heren Versionen des Access Gateway Plug ins Sie steuern wie das Upgrade des Access Gateway Plug ins von einer fr heren Version geschehen soll Sie k nnen w hlen ob das Access Gateway Plug in aktualisiert wird Wenn die aktuelle Version des Plug ins auf dem Clientger t installiert werden soll k nnen Sie das Upgrade erzwingen oder Benutzer auffordern das Upgrade zuzulassen Wenn Benutzer das Upgrade nicht machen sollen w hlen Sie die Einste
112. ationen finden Sie auf der Website von Citrix unter http www citrix com Klicken Sie auf der Homepage auf Support gt Subscription Advantage Weitere Informationen erhalten Sie auch von Ihrem Vertragsh ndler Citrix Customer Care oder einem Mitglied des Citrix Solutions Advisors Programms Knowledge Center Benachrichtigungen Im Citrix Knowledge Center k nnen Sie Benachrichtigungen konfigurieren sodass Sie eine Nachricht erhalten wenn ein Bereich aktualisiert wird der Sie interessiert Sie k nnen Benachrichtigungen f r Produktkategorien einstellen Wenn es ein Update f r das Produkt gibt erhalten Sie eine Nachricht Melden Sie sich daf r bei der Citrix Support Website unter http support citrix com an W hlen Sie nach dem Anmelden unter Products ein Produkt aus Klicken Sie unter Alerts auf Add to your Alerts Um die Benachrichtigung anzuhalten klicken Sie f r das Product im Knowledge Center auf Remove from your Alerts Schulung und Zertifizierung Citrix bietet eine Reihe von unterrichteten ILT engl instructor led training und webbasierten Kursen WBT engl web based training Die von einem Schulungsleiter durchgef hrten ILT Kurse werden von Citrix Authorized Learning Centers CALCs angeboten CALCs bieten hochwertige Schulungen mit den professionellen Schulungsmaterialien von Citrix Viele dieser Kurse bereiten auf eine Zertifizierung vor Webbasierte Schulungskurse werden von CALCs Wiederverk ufern und ber d
113. auf dem kein Node Secret mehr sodass jeder Versuch der Authentifizierung mit dem RSA ACF Server fehlschl gt Nachdem Sie den gemeinsamen geheimen Schl ssel auf dem RSA ACE Server zur ckgesetzt haben wird der RSA ACE Server beim n chsten Authentifizierungsversuch aufgefordert ein Node Secret an das Access Gateway zu senden Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 99 Konfigurieren der Authentifizierung mit Secure Computing SafeWord Die Secure Computing SafeWord Produktlinie bietet sichere Authentifizierung mit tokenbasierten Passcodes Nach einmaliger Verwendung wird der Passcode von SafeWord sofort ungiiltig gemacht und kann nicht mehr verwendet werden Wenn das Access Gateway das Secure Gateway w hrend einer Secure Gateway und Webinterface Bereitstellung ersetzt k nnen Sie die Authentifizierung auf dem Access Gateway deaktivieren und dem Webinterface weiterhin erlauben f r den eingehenden HTTP Verkehr die SafeWord Authentifizierung bereitzustellen Weitere Informationen ber die Konfiguration des Webinterface finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Das Access Gateway unterst tzt SafeWord Authentifizierung f r die folgenden Secure Computing Produkte SafeWord PremierAccess SafeWord for Citrix SafeWord RemoteAccess Es gibt mehrere M glichkeiten das Access Gateway f r die Authentifizierung mit de
114. ay Plug in berpr ft alle vom Clientger t bertragenen Pakete und vergleicht die Adressen in den Paketen mit der Liste der zug nglichen Netzwerke Ist die Zieladresse im Paket in einem der zug nglichen Netzwerke sendet das Access Gateway Plug in das Paket durch den VPN Tunnel an das Access Gateway Ist die Zieladresse nicht in einem zug nglichen Netzwerk wird das Paket nicht verschl sselt und das Plug in leitet das Paket dementsprechend weiter Hinweis Wenn Benutzer mit Citrix XenApp Plug ins eine Verbindung zu in der Serverfarm ver ffentlichten Anwendungen herstellen muss Split Tunneling nicht aktiviert werden So aktivieren Sie Split Tunneling und zug ngliche Netzwerke l Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie im Bereich Access options die Option Enable split tunneling 3 Geben Sie im Feld Accessible networks die Liste der Netzwerke ein die Netzwerkressourcen enthalten auf die Benutzer mit dem Access Gateway Plug in zugreifen m ssen Trennen Sie dabei die einzelnen Netzwerkeintr ge durch ein Leerzeichen oder einen Zeilenumbruch voneinander 4 Klicken Sie auf Submit Konfigurieren von Benutzergruppen Benutzergruppen definieren die Ressourcen auf die der Benutzer zugreifen darf wenn er ber das Access Gateway eine Verbindung zum gesicherten Netzwerk herstellt Gruppen sind mit der Liste der lokalen Benutzer verkn pft Nach dem Hinzuf gen lokaler Benutzer zu einer Gruppe
115. ay Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop 78 Citrix Access Gateway Standard Edition Administratordokumentation Entfernen von Bereichen Wenn Sie einen Authentifizierungsserver au er Betrieb nehmen oder einen Dom nenserver entfernen k nnen Sie jeden Bereich mit Ausnahme des Bereichs Default entfernen Den Bereich Default k nnen Sie nur entfernen wenn Sie sofort wieder einen neuen Bereich mit diesem Namen erstellen Weitere Informationen hierzu finden Sie unter Konfigurieren des Bereichs Default auf Seite 75 So entfernen Sie einen Bereich 1 ffnen Sie auf der Registerkarte Authentication den Bereich der entfernt werden soll 2 Klicken Sie im Men Action auf Remove Bereichsname realm Der Bereich wird entfernt Konfigurieren der lokalen Authentifizierung Bei einer Neuinstallation wird f r den Bereich Default die lokale Authentifizierung festgelegt Auf diese Weise k nnen sich die Benutzer am Access Gateway anmelden ohne einen Bereichsnamen eingeben zu m ssen Wenn einige Benutzer sich ausschlie lich anhand der lokalen Benutzerliste des Access Gateways authentifizieren k nnen Sie f r den Bereich Default die lokale Authentifizierung beibehalten Sie k nnen alternativ dazu auch einen neuen Bereich f r die lokale Authentifizierung erstellen und den Bereich Default dann f r einen anderen Authentifizierungstyp verwenden Wenn sich alle Benutzer unter
116. ber auch VPN Software eines Drittanbieters installiert ist und die Verbindungen nicht korrekt ber das Access Gateway ausgef hrt werden vergewissern Sie sich dass die Drittanbieteranwendung deaktiviert oder ausgeschaltet ist Testen Sie anschlie end die Access Gateway Plug in Verbindung noch einmal Index A Access Gateway Administration Tools 181 Betriebsmodi 16 Herunterfahren 195 Initialisieren 195 Lizenzierung f r mehrere Ger te 48 Neustart 42 194 Software neu installieren 189 Statistik 221 berwachung 221 Upgrades 186 Verbindungen 16 Wartung 181 Access Gateway Advanced Edition 17 30 Clientzertifikate 167 inaktive Server 31 Access Gateway Plug in 16 Anmelden 152 178 automatische Aktualisierung 277 Firewalls verwenden 141 Installation 152 Installation mit Gruppenrichtlinie 146 IP Pooling 159 Konfigurieren eines Proxyservers 144 Linux Unterst tzung 156 MSI Installation 145 MSI Paket 19 Proxies verwenden 141 Proxyserver einrichten 154 Split DNS 161 Status 197 Systemanforderungen 138 Upgrade erzwingen 150 Upgrade verhindern 150 Upgradeaufforderung 150 Upgrades von fr heren Versionen 149 Verbinden mit fr heren Versionen 149 Verbindungsprotokolle 217 Verwenden mit Proxyservern 144 VPN Software von Drittanbietern 278 Windows 2003 Server 277 Windows XP 277 Zugriffssteuerungsliste 156 Access Gateway Plug in f r Linux 19 156 ACL siehe Zugriffssteuerungsliste Administration Desktop 18 19 215 Admi
117. bereich ein Wenn Ihre Site mehrere Authentifizierungsbereiche besitzt sollten Sie einen Namen verwenden aus dem deutlich der LDAP Bereich hervorgeht f r den Sie die Einstellungen festlegen Bei Bereichsnamen ist auf die Gro und Kleinschreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten Hinweis Wenn der Bereich Default die LDAP Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 75 beschrieben W hlen Sie One Source und klicken Sie auf Add W hlen Sie im Dialogfeld Select Authentication Type unter Authentication Type die Option LDAP authentication und klicken Sie auf OK Das Dialogfeld Realm mit dem Namen des Bereichs wird ge ffnet Konfigurieren Sie nach der Erstellung des Bereichs die LDAP Authentifizierung 84 Citrix Access Gateway Standard Edition Administratordokumentation So konfigurieren Sie die LDAP Authentifizierung 1 Geben Sie unter IP Address or FQDN die IP oder Webadresse des LDAP Servers ein Geben Sie im Feld Port die Portnummer ein Die Standardeinstellung f r den LDAP Serverport ist 389 Wenn Sie eine indexierte Datenbank verwenden wie z B Microsoft Active Directory mit einem globalen Katalog k nnen Sie durch ndern des LDAP Serverports zu 3268 die Geschwindigkeit der LDAP Abfragen deutlich erh hen Wenn Ihr Verzeichnis nicht indexiert ist empfiehlt Cit
118. ccess Gateway Ger te in die Failoverliste eintragen Kapitel 11 Installieren zus tzlicher Access Gateway Ger te 213 So konfigurieren Sie Failover 1 Klicken Sie auf die Registerkarte Access Gateway Cluster und anschlie end auf die Registerkarte Failover Servers 2 Geben Sie in den Feldern First failover appliance Second failover appliance und oder Third failover appliance die externen IP Adressen oder die vollqualifizierten Dom nennamen der Access Gateways ein die f r Failover verwendet werden sollen Die Access Gateway Ger te werden in der Reihenfolge f r das Failover herangezogen in der sie in der Liste aufgef hrt sind 3 Geben Sie im Feld Port die Portnummer ein Standardwert ist 443 Klicken Sie auf Submit Hinweis In diesem Fall m ssen Sie jeweils ein anderes SSL Serverzertifikat auf den einzelnen Access Gateway Ger ten installieren Sie k nnen die SSL Zertifikatsanforderung f r die Access Gateway Failoverger te mit der Funktion Certificate Signing Request im Administration Tool erstellen Weitere Informationen hierzu finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 51 214 Citrix Access Gateway Standard Edition Administratordokumentation Uberwachen des Access Gateways Das Administration Tool erm glicht den Zugriff auf die Access Gateway Uberwachungstools Tools die in fr heren Versionen im Administration Desktop des Access Gateways waren sind jetzt in das Admi
119. ccess Gateway hat zwei Netzwerkkarten Eine Netzwerkkarte kommuniziert mit dem Internet und Clientger ten die nicht im gesicherten Netzwerk sind Die andere Netzwerkkarte kommuniziert mit dem internen Netzwerk Citrix empfiehlt dass beide Netzwerkkarten konfiguriert werden um maximale Sicherheit zu erzielen Wenn nur eine Netzwerkkarte verwendet wird muss sie f r interne Ressourcen mit Netzwerkadressen bersetzung NAT erreichbar sein Au erdem wird bei Verwendung nur eines Netzwerkadapters der Datendurchsatz des Netzwerks halbiert was zu Engp ssen bei der Daten bertragung f hren kann Sie k nnen Access Gateway installieren und die TCP IP Einstellungen konfigurieren indem Sie Netzwerkkabel wie zwei RJ 45 Ethernet Netzwerkkabel oder Kreuzkabel verwenden Die Ethernetkabel werden mit einem Netzwerkswitch und Access Gateway verbunden Die Kreuzkabel werden mit einem Windows Computer und Access Gateway verbunden Um das Access Gateway mit Kreuz oder Ethernetkabeln zu konfigurieren installieren Sie zuerst das Administration Tool und konfigurieren dann die Einstellungen Kapitel 4 Erstmalige Installation des Access Gateways 39 So installieren Sie das Administration Tool 1 Schalten Sie das Access Gateway ein Nach etwa drei Minuten ist das Access Gateway fiir die Erstkonfiguration in Ihrem Netzwerk bereit 2 Offnen Sie einen Webbrowser und geben Sie https 10 20 30 40 9001 ein um das Administration Portal zu ffnen
120. cess Gateway Ger ts ist erst notwendig wenn Sie alle Konfigurationsschritte vollst ndig ausgef hrt haben Dazu geh rt die Konfiguration des Netzwerkzugriffs f r das Ger t und die Installation der Zertifikate und Lizenzen Weitere Informationen ber die Konfiguration zus tzlicher Netzwerkeinstellungen finden Sie unter Konfigurieren des Access Gateways f r die Netzwerkumgebung auf Seite 43 Kapitel 4 Erstmalige Installation des Access Gateways 41 Umleiten von Verbindungen auf Port 80 an einen sicheren Port Standardm ig l sst das Access Gateway keine unsicheren Verbindungen auf Port 80 zu Wenn ein Benutzer versucht mit HTTP auf Port 80 eine Verbindung zum Access Gateway herzustellen kommt die Verbindung nicht zustande Sie k nnen das Access Gateway so konfigurieren dass HTTP Verbindungsversuche auf Port 80 automatisch an sichere Verbindungen auf Port 443 oder einem anderen sicheren Port umgeleitet werden Wenn ein Benutzer versucht eine unsichere Verbindung auf Port 80 herzustellen konvertiert das Access Gateway diesen Verbindungsversuch automatisch in eine sichere mit SSL verschl sselte Verbindung auf Port 443 So leiten Sie unsichere Verbindungen um 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte General Networking 3 Klicken Sie auf Advanced 4 Aktivieren Sie die Option Redirect any requests for port 80 to a secure
121. cess Gateway kann Anmeldeskripte ausf hren die im Windows Profil des Benutzers definiert sind Anmeldeskripts die in Active Directory definiert sind werden nicht unterst tzt und folglich auch nicht ausgef hrt Wenn kein Kontakt zum Dom nencontroller hergestellt werden kann wird zwar die Access Gateway Verbindung hergestellt die Anmeldeskripte werden aber nicht ausgef hrt Wichtig Das Clientger t muss ein Mitglied der Dom ne sein damit Dom nenanmeldeskripte ausgef hrt werden k nnen Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 163 So aktivieren Sie Anmeldeskripte 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options die Option Run logon scripts Klicken Sie auf OK Hinweis Die Anmeldeskriptunterst tzung ist beschr nkt auf Skripte die von der Befehlsverarbeitung ausgef hrt werden wie z B EXE und BAT Dateien Visual Basic und JavaScript Anmeldeskripte werden nicht unterst tzt Aktivieren von Sitzungstimeouts f r Access Gateway Plug ins Sie k nnen das Access Gateway Plug in so konfigurieren dass die Trennung der Verbindung zum Access Gateway erzwungen wird falls w hrend eines bestimmten Zeitraums in Minuten keinerlei Aktivit ten ber die Verbindung zu verzeic
122. ch den Eintrag User Groups und dann die Benutzergruppe Vertriebsau endienst 3 Erweitern Sie im rechten Bereich den Eintrag Network Resources 4 Klicken Sie auf die Netzwerkressource Vertriebsressource und ziehen Sie diese im linken Bereich auf den Knoten Network Policies unter der Benutzergruppe VertriebsauBendienst Hierdurch gew hrt der Administrator den mit dieser Benutzergruppe verkn pften Benutzern Zugriff auf die Systeme die in der Netzwerkressource Vertriebsressource definiert sind Hinweis Im obigen Arbeitsschritt hat der Administrator die Netzwerkressource Vertriebsressource der Zugriffssteuerungsliste der Benutzergruppe VertriebsauBendienst zugewiesen Zugriffssteuerungslisten werden vom Administrator auf dem Access Gateway durch Hinzuf gen der mit der Benutzergruppe verkn pften Netzwerk Anwendungs und Endpunktrichtlinien erstellt Die Zugriffssteuerungsliste besteht aus allen Richtlinien die einer Benutzergruppe auf dem Access Gateway zugewiesen sind Erstellen und Zuweisen von Netzwerkressourcen f r die Benutzer im Bereich Technik In diesem Abschnitt wird kurz erl utert wie der Administrator eine Netzwerkressource f r die Benutzer im Bereich Technik erstellt und diesen Benutzern zuweist Abgesehen davon dass der Administrator den Benutzern im Bereich Technik keinen Zugriff auf die Webanwendung f r Vertrieb in Netzwerk 10 60 10 0 24 gew hrt ist die Vorgehensweise im Wesentlichen ide
123. chrieben Alle Konfigurations nderungen werden automatisch bernommen und f hren f r die mit dem Access Gateway verbundenen Benutzer zu keinerlei Betriebsunterbrechungen Richtlinien nderungen treten sofort in Kraft Wenn eine Verbindung gegen eine neue Richtlinie verst t wird sie geschlossen Dieses Kapitel enth lt Access Gateway Verwaltungstools Aktualisieren der Access Gateway Software Neuinstallieren der Access Gateway Software Speichern und Wiederherstellen der Access Gateway Konfiguration Neustarten und Herunterfahren des Access Gateways Zulassen von ICMP Verkehr Konfigurieren pers nlicher Firewalls von Drittanbietern Access Gateway Verwaltungstools F r die Administration von Access Gateway wird eine Kombination von Administration Portal und Administration Tool verwendet um das Ger t zu verwalten und die Netzwerkverbindungen zu berwachen Das Administration Tool enth lt s mtliche Steuerelemente f r die Access Gateway Konfiguration Nur das Administratorkonto kann ausschlie lich ber das Administration Portal und die serielle Konsole verwaltet werden Im Administration Portal finden Sie Downloads und Sie k nnen einige Access Gateway Einstellungen verwalten 182 Citrix Access Gateway Standard Edition Administratordokumentation Administration Tool Mit dem Administration Tool k nnen Sie globale Einstellungen konfigurieren und diese dann auf die verschiedenen Access Ga
124. cken Sie die Eingabetaste und melden sich mit dem Standardbenutzernamen und den Standardkennwort root und rootadmin an 6 Um das Zertifikat auf das Standardzertifikat zur ckzusetzen geben Sie 5 ein und dr cken Sie die Eingabetaste Installieren eines Zertifikats und eines privaten Schl ssels von einem Windows Computer aus Wenn Sie einen Load Balancer einsetzen oder ein signiertes digitales Zertifikat mit einem privaten Schl ssel besitzen das auf einem Windows Computer gespeichert ist k nnen Sie dieses Zertifikat auf das Access Gateway hochladen Befindet sich das Access Gateway nicht hinter einem Load Balancer muss das Zertifikat den vollqualifizierten Dom nennamen des Access Gateways aufweisen Falls das Access Gateway hinter einem Load Balancer bereitgestellt ist m ssen alle Ger te dasselbe Zertifikat und denselben privaten Schl ssel enthalten Weitere Informationen hierzu finden Sie unter Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers auf Seite 206 So installieren Sie ein Zertifikat und einen privaten Schl ssel von einem Windows Computer aus 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Administration 3 Klicken Sie neben Upload a pem private key and signed certificate auf Browse 4 Gehen Sie zum Zertifikat und klicken Sie auf ffnen Beim Hochladen des Zertifikats auf das Access Gateway werden Sie aufgef
125. cksenden von Paketen an den Client 142 Unterst tzen des Access Gateway Plug ins 0 0 0 cece 143 Konfigurieren von Proxyservern fiir das Access Gateway Plug in 144 Installieren des Access Gateway Plug ins mit dem MSI Paket 145 Installation des MSI Pakets mit einer Gruppenrichtlinie 146 Installieren des MSI Pakets durch Anktindigen 00005 146 Konfigurieren von Single Sign on f r Windows Betriebssysteme 148 Verbinden mit fr heren Versionen des Access Gateway Plug ins 149 Aktualisieren von fr heren Versionen des Access Gateway Plug ins 149 7 Citrix Access Gateway Standard Edition Administratordokumentation Herstellen einer Verbindung mit einer Webadresse 2222222000 150 Anmelden mit dem Access Gateway Plug in 2 222222 e cee eee 152 Installieren des Access Gateway Plug ins f r Linux 2222222200 156 Konfigurieren der Authentizierungsanforderungen nach einer Netzwerkunterbrechung cc cece eee eee ences 158 Konfigurieren weiterer Gruppeneigenschaften 22222222020 159 Aktivieren von IP Pooling 2 ccc cee eens 159 Split DNS aktivieren 0 0 eect ences 161 Aktivieren von internem Failover 0 cee cee eee eens 161 Aktivieren von Dom nenanmeldeskripten 00 e cee eee 162 Aktivieren von Sitzungstimeouts ftir Access Gateway Plug ins
126. crosoft Management Console MMC F hren Sie den Installationsassistenten aus und wahlen Sie dabei die folgenden Einstellungen Wahlen Sie Lokalen Computer Wahlen Sie RAS Richtlinien und erstellen Sie eine benutzerdefinierte Richtlinie Wahlen Sie fiir die Richtlinie Windows Groups Wahlen Sie Verschl sselte Authentifizierung CHAP und Unverschl sselte Authentifizierung PAP SPAP Wahlen Sie nicht MS CHAP v2 und MS CHAP Wahlen Sie als Attributnamen Vendor Specifc aus Access Gateway ben tigt das herstellerspezifische Attribut um die in der Gruppe auf dem Server definierten Benutzer mit den Benutzern auf dem Access Gateway abzugleichen Dies erfolgt durch Senden der herstellerspezifischen Attribute an das Access Gateway Als Hersteller muss RADIUS Standard ausgew hlt werden Die RADIUS Standardeinstellung ist 0 Verwenden Sie diese Zahl als Herstellercode Die vom Hersteller zugewiesene Attributnummer ist 0 Dies ist der zugewiesene Wert f r das Attribut CTSXUserGroups Das Attribut hat das Format einer Zeichenfolge W hlen Sie als Attributformat Zeichenfolge aus Geben Sie unter Attributwert den Attributnamen und die Gruppen ein F r das Access Gateway ist der Attributwert CTXSUserGroups Gruppenname Wenn zwei Gruppen definiert sind z B die Gruppen Vertrieb und Finanzen ist der Attributwert CTXSUserGroups Vertrieb Finanzen Die Gruppen sind dabei jeweils durch ein Semikolon zu trennen Entfernen Sie i
127. d die optionalen Parameter definieren die auf den Benutzercomputern beim Anmelden vorhanden sein m ssen Wenn Benutzer zu mehreren Gruppen geh ren werden die Gruppenrichtlinien nach den auf der Registerkarte Group Priority festgelegten Gruppenpriorit t angewendet Informationen zum Festlegen der Gruppenpriorit ten finden Sie unter Festlegen der Priorit t von Gruppen auf Seite 134 Erstellen von Benutzergruppen Benutzergruppen werden auf der Registerkarte Access Policy Manager erstellt Es ist m glich mehrere Benutzergruppen zu erstellen und zu konfigurieren Beim Erstellen einer neuen Gruppe wird die Eigenschaftenseite angezeigt auf der Sie die Einstellungen f r die Gruppe konfigurieren k nnen Wenn alle Einstellungen festgelegt sind k nnen der Gruppe Ressourcen hinzugef gt werden Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 119 So erstellen Sie eine lokale Benutzergruppe auf dem Access Gateway 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf User Groups und klicken Sie dann auf New Group Geben Sie unter Group Name einen aussagekr ftigen Namen f r die Gruppe ein z B Temp Mitarbeiter oder Buchhaltung und klicken Sie dann auf OK Wichtig Wenn die Eigenschaften der Gruppe f r die Authentifizierung bei Authentifizierungsservern verwendet werden sollen muss der Gruppenname mit dem Gruppennamen auf dem Authenti
128. das Citrix Access Gateway Plug in 155 5 Sie k nnen das zweite Kennwortfeld ein und ausblenden F hren Sie hierzu einen der folgenden Schritte aus Wird das Feld f r das sekund re Kennwort angezeigt klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Dialogfeld und w hlen Sie im Men die Option Sekund res Kennwort ausblenden Wird das Feld f r das sekund re Kennwort nicht angezeigt klicken Sie mit der rechten Maustaste auf eine beliebige Stelle im Dialogfeld und w hlen Sie im Men die Option Sekund res Kennwort anzeigen Hinweis Die Kennwortbeschriftungen im Dialogfeld Citrix Access Gateway k nnen im Administration Tool auf der Registerkarte Authentication ge ndert werden Falls Sie die Kennwortbeschriftungen ge ndert haben wird dieser Text im Citrix Access Gateway Dialogfeld und auf der Anmeldewebseite angezeigt Die Men option zum Ein und Ausblenden der Kennwortbeschriftungen bleibt unver ndert Weitere Informationen hierzu finden Sie unter ndern der Beschriftung von Kennwortfeldern auf Seite 110 6 Klicken Sie auf Verbinden Hinweis Wenn das auf dem Access Gateway installierte digitale Zertifikat nicht von einer Zertifizierungsstelle signiert ist wird eine Sicherheitswarnung angezeigt Weitere Informationen finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 51 und Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 223 Wenn die Verbindung
129. das Netzwerk 10 0 x x Aktivieren von Split Tunneling und zug nglichen Netzwerken Auf der Registerkarte Global Cluster Policies k nnen Sie Split Tunneling aktivieren um zu verhindern dass das Access Gateway Plug in unn tige Netzwerkdaten an das Access Gateway sendet Wenn Split Tunneling nicht aktiviert ist empf ngt das Access Gateway Plug in den gesamten vom Clientger t ausgehenden Datenverkehr und leitet ihn durch den VPN Tunnel an das Access Gateway weiter Wenn Sie Split Tunneling aktivieren sendet das Access Gateway Plug in nur solche Daten durch den VPN Tunnel die f r durch das Access Gateway gesicherte Netzwerke bestimmt sind Das Access Gateway Plug in sendet keine Daten die f r ungesicherte Netzwerke bestimmt sind an das Access Gateway Wenn Sie Split Tunneling aktivieren m ssen Sie eine Liste zug nglicher Netzwerke auf der Registerkarte Global Cluster Policies angeben Die Liste der zug nglichen Netzwerke muss alle internen Netzwerke und Subnetzwerke enthalten auf die Benutzer eventuell mit dem Access Gateway Plug in zugreifen m ssen Das Access Gateway Plug in verwendet die Liste der zug nglichen Netzwerke als Filter um zu bestimmen ob vom Clientger t gesendete Pakete an das Access Gateway gesendet werden sollen Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 115 Beim Start des Access Gateway Plug ins erh lt er die Liste zug nglicher Netzwerke vom Access Gateway Das Access Gatew
130. ddress or FODN die IP Adresse des Windows NT 4 0 Dom nencontrollers ein Geben Sie im Feld Port die Nummer des Ports ein den der Windows NT 4 0 Dom nencontroller nach NTLM Authentifizierungsverbindungen abh rt Der Standardport f r NTLM Authentifizierungsverbindungen ist 139 Hinweis Wenn als Port 0 Null eingegeben wird versucht das Access Gateway automatisch eine Portnummer f r die Verbindung zu ermitteln Geben Sie im Feld Time out in seconds die Zeitspanne in Sekunden ein innerhalb derer die Authentifizierung abgeschlossen sein muss Wird die Authentifizierung nicht innerhalb dieses Zeitraums abgeschlossen schl gt sie fehl Klicken Sie auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 105 Konfigurieren der NTLM Autorisierung Ein Windows NT 4 0 Dom nencontroller unterh lt Gruppenkonten Ein Gruppenkonto besteht aus mehreren Dom nenkonten einzelner Benutzer und anderen Konten Zum Konfigurieren der NTLM Autorisierung klicken Sie im Authentifizierungsbereich auf die Registerkarte Authorization und geben die Adresse und den Port ein den das Access Gateway zum Herstellen einer Verbindung zum Windows NT 4 0 Dom nencontroller verwendet Au erdem geben Sie einen Timeoutwert an der festlegt in welcher Zeit eine Autorisierung am Windows NT Server abgeschlossen sein muss Wenn ein Benutzer erfolgreich authentifiziert wurde gibt der Dom nencontroller eine Liste aller globalen Grupp
131. dem Access Gateway Konfigurieren der Authentifizierung auf dem Access Gateway Konfigurieren des Bereichs Default Konfigurieren der lokalen Authentifizierung Konfigurieren lokaler Benutzer Konfigurieren von LDAP Authentifizierung und Autorisierung e Konfigurieren von RADIUS Authentifizierung und Autorisierung Konfigurieren der RSA SecurID Authentifizierung Konfigurieren der Authentifizierung mit Secure Computing SafeWord Konfigurieren der Gemalto Protiva Authentifizierung e Konfigurieren von NTLM Authentifizierung und Autorisierung Konfigurieren von erweiterten Optionen f r die Authentifizierung Konfigurieren von Zweimethodenauthentifizierung ndern der Beschriftung von Kennwortfeldern 72 Citrix Access Gateway Standard Edition Administratordokumentation Voraussetzungen fur die Authentifizierung auf dem Access Gateway Wenn fiir die Gruppe des Benutzers keine dieser Authentifizierungsmethoden konfiguriert ist erfolgt die Authentifizierung anhand der lokalen Benutzerauthentifizierungsdatenbank des Access Gateways Die Authentifizierung wird in den folgenden Fallen auf dem Access Gateway konfiguriert Das Access Gateway wird in der DMZ oder im sicheren Netzwerk bereitgestellt und die Benutzer stellen eine direkte Verbindung zum Ger t her Das Access Gateway wird in der DMZ bereitgestellt und das Webinterface ist ebenfalls in der DMZ hinter dem Access Gatewa
132. dem er das erste Mal eine vom Access Gateway stammende Anforderung authentifiziert Danach ist die Option Node Secret Created aktiviert Durch Deaktivieren der Option und Generieren und Hochladen einer neuen Konfigurationsdatei k nnen Sie den RSA ACE Server dazu zwingen ein neues Node Secret an das Access Gateway zu senden Es gibt zwei M glichkeiten festzulegen welche Benutzer sich ber das Access Gateway authentifizieren k nnen Konfigurieren Sie das Access Gateway als offenen Agenthost der f r alle lokal bekannten Benutzer offen ist e Legen Sie die zu authentifizierenden Benutzer fest indem Sie den Agenthost bearbeiten und die zu aktivierenden Benutzer ausw hlen Nachdem Sie die Einstellungen auf dem RSA Server vorgenommen haben erstellen Sie die Datei sdconf rec Die von Ihnen erstellte Datei sdconf rec wird auf das Access Gateway hochgeladen Weitere Informationen zum Konfigurieren der Einstellungen auf dem RSA Server finden Sie in der Dokumentation des Herstellers Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 97 So konfigurieren Sie RSA SecurlD Authentifizierung 1 2 Klicken Sie auf die Registerkarte Authentication Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen der auf den RSA ACE Server hinweist ein W hlen Sie One Source und klicken Sie auf Add Hinweis Wenn der Bereich Default RSA Authentifizierung verwenden soll entfernen Sie den Ber
133. den Benutzer an Nach der erfolgreichen Authentifizierung pr ft das Access Gateway ein Attribut im Personeneintrag des LDAP Verzeichnisses des Benutzers um festzustellen welchen LDAP Verzeichnisgruppen dieser Benutzer angeh rt Wenn das Access Gateway beispielsweise mit Microsoft Active Directory arbeitet pr ft das Access Gateway das Attribut memberOf im Personeneintrag um festzustellen welchen Gruppen ein Benutzer angeh rt In diesem Beispiel wird angenommen dass der Benutzer Mitglied der LDAP Verzeichnisgruppe VertriebsauBendienst ist Dann sucht das Access Gateway nach einer auf der Registerkarte Access Policy Manager im Administration Tool konfigurierten Benutzergruppe deren Name mit dem Namen einer LDAP Verzeichnisgruppe bereinstimmt der dieser Benutzer angeh rt In diesem Beispiel sucht das Access Gateway nach der auf dem Access Gateway konfigurierten Benutzergruppe Vertriebsau endienst Wenn das Access Gateway eine solche Benutzergruppe findet erh lt der Benutzer die der Benutzergruppe auf dem Access Gateway zugewiesenen Zugriffsberechtigungen Autorisierung In diesem Beispiel gew hrt das Access Gateway Benutzern den Zugriff der mit der Benutzergruppe Vertriebsau endienst auf der Registerkarte Access Policy Manager im Administration Tool verkn pft sind Bevor der Administrator den Benutzern aus den Abteilungen Vertrieb und Technik den Zugriff auf interne Netzwerkressourcen ber das Access Gateway
134. den Typ der Authentifizierung fest Weitere Informationen hierzu finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 71 Wenn auf dem Access Gateway Zweimethodenauthentifizierung konfiguriert ist und die Benutzer sich mit vollen Zugriffsberechtigungen anmelden m ssen sie f r jedes Authentifizierungsverfahren den entsprechenden Benutzernamen und das zugeh rige Kennwort eingeben So k nnte z B festgelegt werden dass die Benutzer die LDAP Authentifizierung und RSA SecurID verwenden m ssen In diesem Fall m ssten die Benutzer ihr Kennwort ihre RSA SecurID PIN und den RSA SecurlD Code eingeben Hinweis Wenn Sie das Citrix Access Gateway Plug in f r Linux verwenden stehen die im Folgenden beschriebenen Optionen nicht im Verbindungsfenster zur Verf gung Das Access Gateway Plug in wird installiert sobald Benutzer sich das erste Mal an der Portalwebseite anmelden So installieren Sie das Access Gateway Plug in 1 Geben Sie in einem Webbrowser die Webadresse des Access Gateways ein z B https fwww meinefirma com 2 Wenn f r das Access Gateway eine Anmeldung erforderlich ist geben Sie den Benutzernamen und das Kennwort ein und klicken Sie auf Anmelden 3 Auf der Portalseite des Citrix Access Gateways klicken Sie auf Citrix Access Gateway und folgen den Anweisungen auf dem Bildschirm um das Access Gateway Plug in zu installieren Nach der Installation mtissen Benutzer sich noch einmal
135. den Zugriff auf die Netzwerkressourcen auf dieselbe Weise unterst tzen ber den Load Balancer k nnen Benutzer mit jedem Access Gateway im Cluster eine Verbindung herstellen und erhalten dabei jeweils dieselben Zugriffsrechte Weitere Informationen hierzu finden Sie unter Erstellen eines Clusters mit Access Gateway Ger ten auf Seite 203 Erstellen Sie ein einzelnes SSL Serverzertifikat im PEM Format und den zugeh rigen privaten Schl ssel und laden Sie dieses Zertifikat und den Schl ssel auf alle Access Gateway Ger te hoch Weitere Informationen hierzu finden Sie unter Erstellen eines Zertifikats f r Ger te hinter einem Load Balancer auf Seite 208 Erstellen eines Zertifikats f r Ger te hinter einem Load Balancer Wenn Sie Access Gateway Ger te hinter einem Load Balancer bereitstellen m ssen dasselbe SSL Serverzertifikat und derselbe private Schl ssel auf jedem einzelnen Ger t zur Verf gung gestellt werden Wichtig Erstellen Sie die SSL Serverzertifikatsanforderung nicht mit der Funktion Certificate Signing Request auf der Registerkarte Access Gateway Cluster im Administration Tool Diese Funktion erzeugt einen eigenen privaten Schl ssel auf dem Access Gateway auf dem sie ausgef hrt wird Wenn Access Gateway Ger te hinter einem Load Balancer bereitgestellt sind muss jedes Access Gateway denselben privaten Schl ssel und dasselbe SSL Zertifikat verwenden Kapitel 11 Installieren zus tzlicher Access Gateway Ge
136. der Registerkarte Gateway Portal die Option Use the multiple logon option page aktiviert Wenn Sie Benutzern keinen Zugriff auf das Access Gateway Plug in geben m chten deaktivieren Sie dieses Kontrollk stchen Weitere Informationen hierzu finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 178 So deaktivieren Sie die Seite mit mehreren Anmeldeoptionen 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Properties 2 Deaktivieren Sie auf der Registerkarte Gateway Portal die Option Use the multiple logon option page und klicken Sie auf OK Sonstige Probleme In diesem Abschnitt werden bekannte Probleme die im Zusammenhang mit dem Access Gateway auftreten sowie entsprechende L sungsvorschl ge beschrieben Lizenzdatei stimmt nicht mit dem Access Gateway berein Wenn Sie versuchen eine Lizenzdatei auf dem Access Gateway zu installieren wird die Fehlermeldung License file does not match any Access Gateway s angezeigt Auf dem Access Gateway ist dann bereits eine Lizenzdatei installiert Wenn Sie eine neue Lizenzdatei hochladen m chten muss die alte Lizenz entfernt werden So installieren Sie eine neue Lizenzdatei auf dem Access Gateway 1 Wahlen Sie auf der Registerkarte Access Gateway Cluster das Access Gateway aus dem Sie die Lizenz hinzuf gen m chten 2 Klicken Sie auf der Registerkarte Licensing neben Re
137. der TCP IP Einstellungen fiir Access Gateway Vorbereitung f r die Installation von Access Gateway berpr fen Sie vor dem Installieren von Access Gateway ob der Inhalt des Kartons mit der Packliste bereinstimmt Sollte ein auf der Packliste genannter Gegenstand im Karton fehlen wenden Sie sich an Citrix Customer Care Wenn Sie das Access Gateway in einem Rack installieren finden Sie eine Anleitung daf r in der nstallations bersicht f r Citrix Access Gateway Standard Edition 34 Citrix Access Gateway Standard Edition Administratordokumentation Zubehor und erforderliche Informationen fur die Installation Besorgen Sie vor dem Installieren des Access Gateways alles was fiir die Erstkonfiguration und den Anschluss an Ihr Netzwerk n tig ist Verwenden Sie f r die Erstkonfiguration eines der folgenden Setups Ein Kreuzkabel und einen Windows Computer Zwei Netzwerkkabel einen Netzwerkswitch und einen Windows Computer Ein serielles Kabel und einen Computer mit Terminalemulationssoftware F r den Anschluss an ein LAN ben tigen Sie Folgendes Ein Netzwerkkabel zum Anschluss des Access Gateways innerhalb einer Firewall oder an einen SLB Zwei Netzwerkkabel zum Anschluss des Access Gateways in der demilitarisierten Zone DMZ an das Internet und das private Netzwerk Citrix empfiehlt dass Sie mit der Access Gateway Standard Edition Pre Installation Checklist die folgenden Netzwerkinformationen f r die Ger
138. des Netzwerkzugriffs f r Gruppen Konfigurieren Sie den Netzwerkzugriff f r die erstellten Benutzergruppen Hierzu geh ren die Netzwerkressourcen auf die die Benutzer in der Gruppe zugreifen k nnen au erdem die Anwendungsrichtlinien und die Endpunktrichtlinien 70 Citrix Access Gateway Standard Edition Administratordokumentation Weitere Informationen zum Konfigurieren von zug nglichen Netzwerken Benutzergruppen und Netzwerkzugriff f r Benutzer finden Sie unter Konfigurieren von Netzwerkzugriff und Gruppenressourcen auf Seite 111 Citrix empfiehlt sich mit den Szenarien unter Beispiele f r die Konfiguration des Netzwerkzugriffs auf Seite 241 vertraut zu machen bevor Sie den Netzwerkzugriff f r das Ger t konfigurieren Konfigurieren der Authentifizierung und Autorisierung Das Access Gateway unterst tzt verschiedene Authentifizierungstypen f r die Authentifizierung der Benutzer Sie k nnen Authentifizierungsbereiche authentication realms auf dem Access Gateway konfigurieren die die Einstellungen fiir den Authentifizierungstyp enthalten Der Bereich Default ist automatisch f r die lokale Authentifizierung konfiguriert Sie k nnen ihn anpassen sodass andere Authentifizierungstypen unterst tzt werden Au erdem k nnen Sie Autorisierungstypen f r Benutzer konfigurieren Dazu geh ren lokale NTLM LDAP und RADIUS Autorisierung Dieses Kapitel enth lt Voraussetzungen f r die Authentifizierung auf
139. dministration Tool die fiir das interne Netzwerk geltenden Grundeinstellungen konfigurieren Dazu geh ren die IP Adresse die Subnetzmaske die IP Adresse des Standardgateways und die DNS Adresse Sobald die Grundeinstellungen konfiguriert wurden und eine Verbindung mit dem Netzwerk hergestellt wurde k nnen Sie die Einstellungen konfigurieren die f r den Einsatz dieses konkreten Access Gateway Ger ts gelten sollen Dazu geh ren die Optionen f r die Authentifizierung die Autorisierung und die gruppenbasierte Zugriffssteuerung die Endpunktressourcen und richtlinien die Portalseiten sowie die IP Pools Weitere Informationen zum Installieren des Access Gateways finden Sie in der Installations bersicht f r Citrix Access Gateway Standard Edition oder unter Erstmalige Installation des Access Gateways auf Seite 33 Access Gateway Betriebsmodi Das Access Gateway kann auf verschiedene Arten verwendet werden Verbindungen nur ber das Ger t In diesem Szenario wird das Access Gateway als eigenst ndiges Ger t in der DMZ installiert Benutzer stellen mit dem Citrix Access Gateway Plug in direkt eine Verbindung zum Access Gateway her und erhalten so Zugriff auf Netzwerkressourcen z B E Mail und Webserver Verbindungen ber das Webinterface Citrix XenApp oder Citrix XenDesktop In diesem Szenario melden sich Benutzer am Webinterface an und werden dann mit den ver ffentlichten Anwendungen in XenApp oder den ver ffentlichten Des
140. dungen werden die folgenden Portnummern verwendet 389 f r unsichere LDAP Verbindungen 636 f r sichere LDAP Verbindungen 3268 f r unsichere LDAP Verbindungen unter Microsoft 3269 f r sichere LDAP Verbindungen unter Microsoft Citrix Access Gateway Standard Edition Administratordokumentation LDAP Verbindungen die den Befehl StartTLS verwenden nutzen die Portnummer 389 Wenn die Portnummern 389 oder 3268 auf dem Access Gateway konfiguriert sind wird versucht die Verbindung mit StartTLS herzustellen Bei Verwendung einer anderen Portnummer erfolgen die Verbindungsversuche mittels SSL TLS K nnen StartTLS oder SSL TLS nicht verwendet werden kann die Verbindung nicht hergestellt werden Hinweis Wenn das Access Gateway jedoch neu installiert wurde oder wenn Sie einen neuen LDAP Bereich erstellen sind die LDAP Verbindungen standardm ig sicher Beim Konfigurieren des LDAP Servers muss die Gro und Kleinschreibung mit der Schreibung auf dem Server und auf dem Access Gateway identisch sein Wenn das Stammverzeichnis des LDAP Servers festgelegt wird wird auch in allen Unterverzeichnissen nach dem Benutzerattribut gesucht In gro en Verzeichnissen kann sich dies negativ auf die Arbeitsgeschwindigkeit auswirken Citrix empfiehlt daher die Verwendung einer spezifischen Organisationseinheit Die folgende Tabelle enth lt Beispiele f r Benutzerattributfelder f r LDAP Server LDAP Server Benutze
141. e k nnen benutzerdefinierte Portalseiten auf das Access Gateway laden Informationen hierzu finden Sie unter Installieren benutzerdefinierter Portalseitendateien auf Seite 176 und dann f r jede Gruppe eine Portalseite ausw hlen So k nnen Sie steuern welche Access Gateway Clientsoftware f r welche Gruppe verf gbar ist Hinweis Das Deaktivieren der Anmeldeseitenauthentifizierung auf der Registerkarte Global Cluster Policies berschreibt die Anmeldeseiteneinstellung f r alle Gruppen Weitere Informationen hierzu finden Sie unter Aktivieren der Anmeldeseitenauthentifizierung auf Seite 172 So legen Sie eine Portalseite f r eine Gruppe fest 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager unter User Groups auf eine Gruppe und klicken Sie dann auf Properties 2 Klicken Sie auf der Registerkarte Gateway Portal unter Portal configuration auf Use custom portal page und w hlen Sie dann die Seite aus und klicken Sie auf OK 178 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen Benutzer k nnen auf einer Webseite die Option haben sich ber das Access Gateway Plug in oder das Webinterface anzumelden Diese Portalseite kann im Gegensatz zur Standardportalseite nicht konfiguriert werden Benutzern werden zwei Symbole angezeigt und sie k nnen dann w hlen mit welchem der folgenden Verfahren sie sich am Access
142. e 1 US 3 CA Intermediate 2 Eoo company com Typische Kette digitaler Zertifikate Zertifikatsperrlisten Gelegentlich ver ffentlichen Zertifizierungsstellen Zertifikatsperrlisten Zertifikatsperrlisten enthalten Informationen ber nicht mehr vertrauensw rdige Zertifikate Beispiel Frau Meier verl sst das Unternehmen XYZ Das Unternehmen kann das Zertifikat von Frau Meier auf eine Zertifikatsperrliste setzen damit sie keine Nachrichten mehr mit diesem Schl ssel signieren kann Auf hnliche Weise k nnen Sie ein Zertifikat sperren wenn ein privater Schl ssel ffentlich bekannt geworden ist oder wenn dieses Zertifikat abgelaufen und ein neues Zertifikat g ltig ist Bevor Sie einem ffentlichen Schl ssel trauen sollten Sie sich vergewissern dass das Zertifikat in keiner Zertifikatsperrliste aufgef hrt ist Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 231 Ablaufen und Erneuern von Zertifikaten Zertifikate werden mit einer geplanten Lebensdauer G ltigkeitsdauer und einem ausdr cklichen Ablaufdatum ausgestellt Nach dem Ausstellen werden Zertifikate bis zum Erreichen ihres Ablaufdatums als g ltig angesehen Nach dem Ablaufdatum kann ein Zertifikat nicht mehr zum Validieren einer Benutzersitzung verwendet werden Diese Richtlinie dient zur Erh hung der Sicherheit da das Gef hrdungspotenzial solcher Zertifikate eingeschr nkt wird Diese Ablaufdaten werden von der ausstellenden Zertifizierungsstelle
143. e im Feld File title den Titel der Datei ein die Sie hinzuf gen ber die Dateititel k nnen Sie die Portalseite leicht mit einer Gruppe verkn pfen Es kann z B vorkommen dass Sie eine Hauptportalseite haben die von vielen Gruppen verwendet wird und eine separate Portalseite die nur G sten angezeigt wird In diesem Fall k nnen Sie die Dateien Hauptanmeldung und Gastanmeldung nennen Wenn Sie mehrere Portalseiten haben die bestimmten Benutzergruppen entsprechen nn bieten sich Namen wie Adminanmeldung Studentenanmeldung oder TT Anmeldung an Wahlen Sie unter File Type ein Dateiformat aus Portalseiten mtissen HTML Dateien sein Bilder auf die auf einer HTML Seite verwiesen wird m ssen entweder im GIF oder im JPG Format vorliegen Klicken Sie auf Upload File Gehen Sie zur Datei und klicken Sie auf ffnen Die Datei wird auf das Access Gateway installiert So entfernen Sie eine Portaldatei vom Access Gateway Wahlen Sie auf der Registerkarte Portal Pages den Seitennamen aus der Liste und klicken Sie auf Remove Selected File Kapitel 9 Konfigurieren von Anmelde und Portalseiten fiir das Citrix Access Gateway Plug in 177 Ausw hlen einer Portalseite f r eine Gruppe In der Standardeinstellung melden sich alle Benutzer ber die Standardportalseite mit dem Access Gateway Plug in am Access Gateway an oder indem sie das Access Gateway Plug in auf das Clientger t herunterladen und installieren Si
144. e und die Public Key Infrastructure PKI Einfuhrung in Sicherheitsprotokolle SSL und TLS sind f hrende Internetprotokolle die Sicherheit f r E Commerce Webdienste und viele andere Netzwerkfunktionen bieten Das SSL Protokoll ist der aktuelle Standard fiir den sicheren Informationsaustausch im Internet Dieses ursprtinglich von Netscape entwickelte Protokoll wurde enorm wichtig fiir den Internetbetrieb Daher tibernahm die IETF Internet Engineering Taskforce die Aufgabe SSL als offenen Standard zu entwickeln Um SSL von anderen Entwicklungsarbeiten zu unterscheiden wurde SSL von der IETF in TLS umbenannt Das TLS Protokoll stammt von der dritten SSL Version ab wobei TLS1 0 SSL3 1 entspricht Einige Organisationen u a amerikanische Regierungsstellen verlangen das Sichern der Datenkommunikation mit TLS Diese Organisationen verlangen u U auch die Verwendung verifizierter Kryptografie Mit dem SSL TLS Protokoll k nnen sicherheitskritische Daten ber ffentliche Netzwerke wie das Internet bertragen werden Dieses Protokoll bietet die folgenden wichtigen Sicherheitsfunktionen Authentifizierung Ein Client kann die Identit t eines Servers ermitteln und feststellen dass der Server kein Betr ger ist Optional kann ein Server auch die Identit t des Clients authentifizieren der Verbindungen anfordert Datenschutz Die zwischen dem Client und dem Server bertragenen Daten werden verschl sselt damit sie nicht entsch
145. earbeiten der HOSTS Datei Auf der Registerkarte Name Service Providers k nnen Sie Eintr ge in die HOSTS Datei des Access Gateways einf gen Mit den Eintr gen in der HOSTS Datei l st das Access Gateway die vollqualifizierten Dom nennamen in IP Adressen auf Beim Umwandeln eines vollqualifizierten Dom nennamen in eine IP Adresse berpr ft das Access Gateway zun chst die HOSTS Datei bevor eine Verbindung zum DNS Server aufgebaut wird um die Adress bersetzung durchzuf hren Wenn der vollqualifizierte Dom nenname schon mit den Angaben in der HOSTS Datei in eine IP Adresse aufgel st werden kann wird der DNS Server gar nicht erst aufgerufen F r den Fall dass das Access Gateway aufgrund der Netzwerkkonfiguration nicht auf den DNS Server zugreifen kann sollten Sie die entsprechenden Eintr ge in die HOSTS Datei aufnehmen damit die Adressaufl sung reibungslos abl uft Dies kann sich au erdem positiv auf die Leistung auswirken weil das Access Gateway keine Verbindung zu einem anderen Server aufbauen muss um die Adressen zu bersetzen So f gen Sie der HOSTS Datei einen Eintrag hinzu 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Name Service Providers 3 Geben Sie unter Edit the HOSTS file in das Feld IP address die IP Adresse ein die einem bestimmten vollqualifizierten Dom nennamen zugewiesen werden soll 4 Geben Sie in das Feld FQDN d
146. eben Sie f r die Adresse 0 0 0 0 0 0 0 0 statt 0 0 0 0 0 an Internes Failover Wenn das interne Failover aktiviert ist und der Administrator eine Verbindung zum Access Gateway hergestellt hat ist das Administration Tool ber diese Verbindung nicht erreichbar Aktivieren Sie zum Beseitigen dieses Problems das IP Pooling und stellen Sie dann eine Verbindung zur niedrigsten IP Adresse im IP Pool auf Port 9001 her Wenn der IP Pool z B bei 10 10 3 50 beginnt stellen Sie die Verbindung zum Administration Tool unter Verwendung von 10 10 3 50 9001 her Informationen zum Konfigurieren von IP Pools finden Sie unter Aktivieren von IP Pooling auf Seite 159 274 Citrix Access Gateway Standard Edition Administratordokumentation Zertifikatsignierung Zahlreiche Citrix Serverkomponenten unterstiitzen SSL TLS z B Access Gateway Secure Gateway und SSL Relay Alle diese Komponenten unterst tzen Serverzertifikate die von einer 6ffentlichen oder einer privaten Zertifizierungsstelle CA Certificate Authority ausgegeben wurden Beispiele f r ffentliche Zertifizierungsstellen sind Organisationen wie Verisign und Thawte Private Zertifizierungsstellen werden durch Produkte wie z B Microsoft Zertifikatdienste implementiert Zertifikate die von einer privaten Zertifizierungsstelle signiert wurden werden mitunter als Unternehmenszertifikate oder selbst signierte Zertifikate bezeichnet Der Begriff selbst signiertes Zertifikat ist in d
147. eben Sie unter Administrator Password das neue Kennwort ein 3 Klicken Sie auf Change Password Anzeigen von Protokollinformationen Auf der Seite Logging wird das Protokoll f r das Access Gateway angezeigt Die hier angezeigten Informationen sind mit denen identisch die im Administration Tool auf der Registerkarte Access Gateway Cluster gt Logging Settings angezeigt werden Sie k nnen au erdem die Buildversion des Access Gateways auf dieser Registerkarte sehen Ausf hren von Wartungsaufgaben Auf der Seite Maintenance k nnen Sie Verwaltungsaufgaben ausf hren Dazu geh ren folgende Einstellungen e Hochladen signierter Zertifikate crt e Hochladen privater Schl ssel und Zertifikate pem Eingeben des Kennworts f r einen privaten Schl ssel Hochladen gespeicherter Konfigurationen oder Upgrades Suchen nach Ger teaktualisierungen Speichern der Ger tekonfiguration Neustarten und Herunterfahren des Ger ts Durch Klicken auf Log Out k nnen Sie sich vom Administration Portal abmelden 186 Citrix Access Gateway Standard Edition Administratordokumentation Verwalten externer Verbindungen mit dem Administration Portal Wenn Sie das Access Gateway so konfigurieren dass beide Netzwerkadapter verwendet werden kann der externe Adapter standardm ig f r den Zugriff auf das Administration Portal vom Internet aus verwendet werden Sie k nnen den Zugriff vom Internet auf das Administration Portal blocki
148. ehmen soll sowie das mit diesem Konto verkn pfte Kennwort kennen LDAP Basis DN Das Basisobjekt des Verzeichnisses oder die Verzeichnisebene in dem Benutzernamen gespeichert werden Auf dieser Verzeichnisebene m ssen alle Remotebenutzer einen Personeneintrag haben Nachstehend einige Beispielwerte ou Benutzer dc ace dc com cn Users dc ace dc com LDAP Attribut fiir Serveranmeldung Das Attribut eines Personeneintrags im LDAP Verzeichnis das einen Benutzernamen enth lt Die folgende Tabelle enth lt Beispiele f r die Benutzernamen Attributfelder f r verschiedene LDAP Verzeichnisse LDAP Server Benutzerattribut Gro Kleinschreibung relevant Microsoft Active Directory Server sAMAccountName Nein Novell eDirectory cn Ja IBM Directory Server uid Lotus Domino CN Sun ONE Verzeichnis uid oder cn Ja fr her iPlanet LDAP Gruppenattribut Das Attribut des Personeneintrags eines Benutzers das eine Liste der Gruppen enth lt denen dieser Benutzer angeh rt z B memberOf Das LDAP Gruppenattribut wird nur bei der LDAP Autorisierung verwendet 250 Citrix Access Gateway Standard Edition Administratordokumentation Jetzt hat der Administrator alle notwendigen Vorbereitungsschritte fiir die Konfiguration der LDAP Authentifizierung und Autorisierung abgeschlossen Danach stehen dem Administrator die folgenden Informationen zur Verftigung Die exakten Netzwerkpfade aller Netzwerkre
149. eich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 75 beschrieben Aktivieren Sie im Dialogfeld Select Authentication Type unter Authentication type die Option RSA SecurID Authentication und klicken Sie auf OK Achtung Wenn die auf das Access Gateway hochgeladene Datei sdconf rec ung ltig ist sendet das Access Gateway u U Meldungen an nicht vorhandene IP Adressen Netzwerk berwachungseinrichtungen k nnten dies als Netzwerkspamming einstufen Klicken Sie zum Hochladen der soeben generierten Datei sdconf rec auf der Registerkarte Authentication auf Upload sdconf rec File gehen Sie zu der Datei und klicken Sie dann auf ffnen Die Datei sdconf rec wird normalerweise unter ace data config_files und windows system32 gespeichert Aus der Dateistatusmeldung geht hervor ob die Datei sdconf rec bereits hochgeladen wurde Wenn dies der Fall ist und Sie diese Datei ersetzen m ssen klicken Sie auf Upload sdconf rec File Gehen Sie zu der Datei und klicken Sie auf ffnen um die Datei hochzuladen Wenn Benutzer sich das erste Mal authentifizieren schreibt der RSA ACE Server einige Konfigurationsdateien auf das Access Gateway Wird anschlie end die IP Adresse des Access Gateways ge ndert klicken Sie auf Remove ACE Configuration Files f hren Sie nach entsprechender Aufforderung einen Neustart durch und laden Sie dann eine neue Datei sdconf rec hoch Es werden die Dateien
150. eigt Wenn Sie ein Stylesheet verwenden k nnen Sie unter Style sheet entweder das aktuelle Stylesheet herunterladen oder ein neues Stylesheet hochladen Um eine Fu zeile zu erstellen geben Sie im Bereich HTML footer den Text ein und zum Schluss klicken Sie dann im oberen Bereich der Seite auf Apply 174 Citrix Access Gateway Standard Edition Administratordokumentation Wahlen Sie nach der Installation der angepassten Portalseite die Portalseite fiir die Benutzer aus Weitere Informationen finden Sie an folgenden Stellen Informationen zur Verwendung der Portalseite die Teil des Ger ts ist finden Sie unter Access Gateway Portalseitenvorlagen auf Seite 174 Informationen wie Sie Benutzern die Wahl geben sich entweder mit dem Access Gateway Plug in oder mit dem Webinterface anzumelden finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 178 e Informationen dar ber ob eine Vorauthentifizierungsrichtlinie konfiguriert ist finden Sie unter Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind auf Seite 179 Access Gateway Portalseitenvorlagen Wenn Benutzer das Access Gateway Plug in ber einen Webbrowser starten wird die Anmeldeseite des Citrix Access Gateways angezeigt Nachdem sich Benutzer angemeldet haben werden Sie an eine Portalseite weitergeleitet auf der sie die Wahl haben sich mit dem Access Gateway Plug in oder ber das Webinterface anzumelden
151. eispielen und den Grundkenntnissen zum Konfigurieren des Benutzerzugriffs vertraut gemacht haben k nnen Sie den Benutzerzugriff auf das Access Gateway in Ihrer Produktionsumgebung anhand der in den folgenden Kapiteln enthaltenen Informationen konfigurieren Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung In diesem Kapitel werden die verschiedenen Authentifizierungs und Autorisierungsoptionen und deren Konfiguration erl utert Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen In diesem Kapitel wird die Arbeit mit Benutzergruppen Netzwerkressourcen und verschiedenen Richtlinien zum Definieren von Zugriffssteuerungslisten auf dem Access Gateway beschrieben Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in In diesem Kapitel werden Clientverbindungen zum Access Gateway beschrieben Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 243 Konfigurationsbeispiele Bevor Sie sich die Beispiele in diesem Kapitel durchlesen sollten Sie sich mit den Einstellungen auf drei Registerkarten des Administration Tools vertraut machen Mit den Einstellungen auf diesen Registerkarten wird der Benutzerzugriff auf interne Netzwerkressourcen gesteuert Global Cluster Policies Authentifizierung Access Policy Manager Nachstehend finden Sie eine Liste der in diesem Kapitel beschriebenen Konfigurationsbeispiele f r den Benutzerzugriff Konfig
152. ellt NIE Dateiserver Pa un SES N N Ee ei f ae x NL u TE A Clientger t hat eine Internet Access Gateway E Mail Server IP Adresse in diesem Netzwerk Web oder Anwendungsserver Clientverbindung durch zweite interne Firewalls NAT Firewalls verf gen ber eine Tabelle mit deren Hilfe sie sichere Pakete vom Access Gateway zum Clientger t zur cksenden k nnen F r schaltungsorientierte Verbindungen unterh lt das Access Gateway eine portzugeordnete Reverse NAT bersetzungstabelle Die Reverse NAT bersetzungstabelle versetzt das Access Gateway in die Lage Verbindungen zuzuordnen und Pakete mit den richtigen Portnummern ber den Tunnel zur ck an das Clientger t zu senden sodass die Pakete zur korrekten Anwendung zur ckkehren Der Access Gateway Tunnel wird mit Industriestandardmethoden f r Verbindungen hergestellt wie HTTPS Proxy HTTPS und SOCKS Auf diese Weise wird sichergestellt dass das Access Gateway firewall zug nglich ist und Remotecomputer k nnen auf private Netzwerke hinter der Firewall anderer Unternehmen zugreifen ohne dass es dabei zu Problemen kommt 142 Citrix Access Gateway Standard Edition Administratordokumentation So kann die Verbindung beispielsweise tiber einen Zwischenproxy wie einen HTTP Proxy hergestellt werden indem ein CONNECT HTTPS Befehl an den Zwischenproxy gesendet wird Alle Anmeldeinformationen die der Zwischenproxy ben tigt werden wiede
153. elt Frau Meier seine Nachricht mit ihrem privaten Schl ssel Der wesentliche Vorzug der asymmetrischen Verschl sselung im Vergleich zur symmetrischen Verschl sselung besteht darin dass sich Absender und Empf nger keine Schl ssel im Voraus mitteilen m ssen Sofern der private Schl ssel geheim gehalten wird erm glichen ffentliche Schl ssel die Weiterleitung vertraulicher Informationen Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 227 Kombinieren der Kryptografieverfahren mit ffentlichen und geheimen Schl sseln Der gr te Nachteil der Kryptografie mit einem ffentlichen Schl ssel besteht darin dass die Verschl sselung mit den in der PKI blichen sehr langen Schl sseln bei den meisten Computersystemen zu Leistungsproblemen f hren kann Aus diesem Grund werden bei der Kryptografie h ufig ffentliche und private Schl ssel kombiniert verwendet Das folgende Beispiel veranschaulicht die Arbeitsweise Herr M ller m chte geheime Informationen mit Frau Meier austauschen und erh lt daher ihren ffentlichen Schl ssel Au erdem erstellt er nur f r diese Sitzung eine beliebige Ziffernfolge auch Sitzungsschl ssel genannt Herr M ller verwendet den ffentlichen Schl ssel von Frau Meier zum Chiffrieren des Sitzungsschl ssels Herr M ller leitet die verschl sselte Nachricht und den chiffrierten Sitzungsschl ssel an Frau Meier weiter e Frau Meier verwendet ihren privaten Schl ssel um d
154. en denen der authentifizierte Benutzer angeh rt an das Access Gateway zur ck Das Access Gateway pr ft dann ob auf dem Access Gateway ein Benutzergruppenname existiert der mit einer globalen Windows NT 4 0 Gruppe bereinstimmt der der Benutzer angeh rt Wenn das Access Gateway eine bereinstimmung findet erh lt der Benutzer die Zugangsrechte zu den internen Netzwerken die der Benutzergruppe auf dem Access Gateway zugeordnet sind So konfigurieren Sie NTLM Autorisierung 1 Klicken Sie auf die Registerkarte Authentication und ffnen Sie den Bereich f r den Sie NTLM Autorisierung aktivieren m chten 2 Klicken Sie auf die Registerkarte Authorization 3 Wahlen Sie unter Authorization type die Option NTLM authorization 4 Geben Sie im Feld Server IP Address or FQDN den vollqualifizierten Dom nennamen oder die IP Adresse des Windows NT 4 0 Dom nencontrollers ein der die NTLM Autorisierung durchf hren wird 5 Geben Sie im Feld Server Port die Portnummer ein Der Standardport f r NTLM Authentifizierungsverbindungen ist 139 Hinweis Wenn als Port 0 Null eingegeben wird versucht das Access Gateway automatisch eine Portnummer f r die Verbindung zu ermitteln 6 Geben Sie im Feld Time out in seconds die Zeitspanne in Sekunden ein innerhalb derer die Autorisierung abgeschlossen sein muss bevor der Authentifizierungsversuch abgebrochen wird 7 Klicken Sie auf Submit 106 Citrix Access Gateway Standard
155. en Netzwerke die gew nschten Ressourcen enthalten Zum Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung muss der Administrator zuerst festlegen welche internen Netzwerke die gew nschten Ressourcen enthalten Dabei legt der Administrator die Netzwerkpfade der Ressourcen fest auf die Remotebenutzer Zugriff haben m ssen Im Folgenden werden noch einmal die Anforderungen wiederholt Remotebenutzer die f r die Vertriebsabteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver eine Webanwendung f r den Vertrieb und mehrere Dateiserver im internen Netzwerk haben Remotebenutzer die f r die technische Abteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver und mehrere Dateiserver im internen Netzwerk haben Im internen Netzwerk sind zwar drei E Mail Server vorhanden der Administrator m chte Remotebenutzern jedoch nur den Zugriff auf einen dieser E Mail Server gew hren 246 Citrix Access Gateway Standard Edition Administratordokumentation F r diesen Arbeitsschritt wird angenommen dass der Administrator die folgenden Informationen gesammelt hat Der Webkonferenzserver die E Mail Server und die Dateiserver auf die Remotebenutzer aus den Abteilungen Vertrieb und Technik zugreifen m ssen befinden sich im Netzwerk 10 10 0 0 24 Der Server auf dem die Webanwendung f r den Vertrieb installiert ist befindet sich im Netzwerk 10 60
156. en Sie ggf die Hardwareflusssteuerung fest Schalten Sie das Access Gateway ein Nach etwa drei Minuten wird auf dem Computerterminal die serielle Konsole angezeigt Wenn Sie HyperTerminal verwenden dr cken Sie nun die Eingabetaste Geben Sie an der seriellen Konsole die Standardanmeldeinformationen f r den Administrator ein Der Benutzername ist root und das Kennwort ist rootadmin Wichtig Citrix empfiehlt das Administratorkennwort zu ndern Sie k nnen hierzu das Administration Portal oder die serielle Konsole verwenden 38 Citrix Access Gateway Standard Edition Administratordokumentation 7 Geben Sie zum Festlegen der IP Adresse der Subnetzmaske und des Standardgatewayger ts f r die Schnittstelle 0 0 ein und dr cken Sie dann die Eingabetaste um das Express Setup zu starten Die an den einzelnen Eingabeaufforderungen eingegebenen Informationen werden angezeigt Geben Sie zum Best tigen Ihrer nderungen y ein Access Gateway wird neu gestartet 8 Um zu berpr fen ob das Access Gateway ein angeschlossenes Netzwerkger t pingen kann geben Sie 1 und die IP Adresse des Ger ts ein 9 Entfernen Sie das serielle Kabel und verbinden Sie das Access Gateway ber ein Kreuzkabel mit einem Windows Computer oder ber ein Netzwerkkabel mit einem Netzwerkswitch Weitere Access Gateway Einstellungen werden mit dem Administration Tool konfiguriert Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln Das A
157. en Sie sie dann auf Application network policies Andere konfigurierte Netzwerkressourcen m ssen bereits einer Benutzergruppe zugeordnet sein und f r sie muss die Option Deny festgelegt sein Klicken Sie dazu im linken Bereich unter Network Policies in der Gruppe mit der rechten Maustaste auf die entsprechende Netzwerkressource und klicken Sie dann auf Deny und dann auf OK 8 Klicken Sie auf die Anwendungsrichtlinie und ziehen Sie sie auf die Benutzergruppe f r die sie gilt Benutzer k nnen Zugriff auf alle internen Netzwerke erhalten die zugewiesen wurden Der Anwendung wird der Zugriff auf das Netzwerk jedoch verweigert Sie k nnen auch den Zugriff aller Anwendungen auf das Netzwerk verweigern dabei aber den Zugriff auf einen bestimmten Netzwerkpfad zulassen um so einen eingeschr nkten Zugriff zu erzielen Die Vorgehensweise ist mit der unter So verweigern Sie einer Anwendung den Zugriff auf das Netzwerk auf Seite 128 beschriebenen Vorgehensweise identisch Der einzige Unterschied ist dass die Option Deny applications without policies nicht deaktiviert sondern aktiviert werden muss Durch Aktivieren dieser Option wird der gesamte Anwendungszugriff auf das gesicherte Netzwerk verweigert Wenn Sie einen Anwendungsnetzwerkzugriff zulassen m chten konfigurieren Sie die Anwendungsrichtlinie so dass die Anwendung akzeptiert wird F hren Sie dazu die in der vorherigen Schrittanweisung genannten Schritte aus Kapitel 7 Konfigurie
158. en am Webportal m ssen Benutzer die richtigen Anwendungen installieren So erstellen Sie Vorauthentifizierungsrichtlinien l Klicken Sie auf die Registerkarte Access Policy Manager 2 W hlen Sie unter End Point Policies die konfigurierte Richtlinie aus und ziehen Sie sie in den linken Bereich auf Pre Authentication Policies unter dem Richtlinienknoten Global Policies Informationen zum Erstellen und Konfigurieren von Endpunktressourcen und richtlinien finden Sie unter Konfigurieren von Endpunktrichtlinien und ressourcen auf Seite 129 136 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren des Access Gateways fur Citrix Branch Repeater Das Access Gateway kann mit Citrix Branch Repeater verwendet werden um die Anwendungsbeschleunigung zu unterst tzen Citrix Branch Repeater verbessert CIFS Common Internet File System und HTTP Verbindungen und beschleunigt den Datenverkehr ber das Access Gateway Das Access Gateway wird in der DMZ installiert und das Citrix Branch Repeater Ger t wird hinter dem Access Gateway im gesicherten Netzwerk platziert Benutzer verbinden sich ber das Access Gateway und Citrix Branch Repeater mit Ressourcen im gesicherten Netzwerk Zwei Einstellungen m ssen konfiguriert werden um die Citrix Branch Repeater Beschleunigung zu unterst tzen Best ndigkeit der TCP Optionen f r jedes Netzwerk das auf dem Access Gateway konfiguriert ist Sie konfigurieren Net
159. en aus 1 Klicken Sie auf die Registerkarte Global Cluster Policies Z W hlen Sie unter Select security options im Feld Select encryption type for client connections die gew nschte Verschl sselungssammlung f r sichere Verbindungen aus und klicken Sie auf Submit 170 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Anmelde und Portalseiten fur das Citrix Access Gateway Plug in Das Access Gateway kann so konfiguriert werden dass Benutzer die Anmeldeseite und die Portalseite verwenden Auf der Anmeldeseite mtissen Benutzer erst ihre Anmeldeinformationen eingeben und werden dann mit der Portalseite verbunden auf der sich Benutzer mit dem Access Gateway Plug in oder dem Webinterface anmelden k nnen Dieses Kapitel enth lt Konfigurieren der Access Gateway Anmeldeseiten Access Gateway Portalseitenvorlagen d Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind 172 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der Access Gateway Anmeldeseiten Benutzer m ssen sich an der Access Gateway Anmeldeseite anmelden bevor sie sich mit dem Access Gateway Plug in oder tiber das Webinterface verbinden k nnen Sie haben die Wahl zwischen der Standardanmeldeseite die Teil des Access Gateways ist oder Sie k nnen die Anmeldeseite mit Ihrem Firmenlogo einem Cascading St
160. en dem Access Gateway Plug in und dem Access Gateway werden mit SSL verschl sselt Mit dem SSL Protokoll sind zwei Computer in der Lage Verschl sselungssammlungen f r die symmetrische Verschl sselung von Daten ber eine sichere Verbindung auszuhandeln Sie k nnen die Verschl sselungssammlung festlegen die das Access Gateway f r die symmetrische Datenverschl sselung bei einer SSL Verbindung verwendet Die Auswahl einer starken Verschl sselungssammlung senkt die Gefahr b swilliger Angriffe Je nach den Sicherheitsrichtlinien Ihres Unternehmens m ssen Sie au erdem ggf eine bestimmte Verschl sselungssammlung f r die symmetrische Verschl sselung ber sichere Verbindungen festlegen Hinweis Wenn Sie ber das Access Gateway Zugriff auf Citrix XenApp bereitstellen wird auch der ICA Datenverkehr an das Access Gateway mit diesen Verschl sselungssammlungen verschl sselt F r SSL Verbindungen stehen RC4 3DES und AES Verschl sselungssammlungen zur Auswahl Die Standardeinstellung ist RC4 128 Bit Der MD5 oder SHA Hash Algorithmus wird zwischen dem Client und dem Server ausgehandelt Bei der Verschl sselung sicherer Verbindungen mit ffentlichem Schl ssel wird RSA verwendet F r die symmetrische Verschl sselung stehen dabei die folgenden Verschl sselungssammlungen und Hash Algorithmen bereit RC4 128 Bit MD5 SHA 3DES SHA AES 128 256 Bit SHA So w hlen Sie eine Verschl sselungsart f r Clientverbindung
161. en eines Clusters mit Access Gateway Geraten 000 203 Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers 206 Konfigurieren des Lastausgleichs 0 cece eee eee eee eee 207 Konfigurieren von Access Gateway Ger ten f r den Betrieb hinter einem Load Bal ncer 1 ee edb ee Roe a e 208 Konfigurieren des Load Balancing mit Advanced Access Control 211 Konfigurieren von Access Gateway Failover 0 0 e eee eee eens 212 Anhang A Uberwachen des Access Gateways Anzeigen und Herunterladen von Systemmeldungsprotokollen 216 Anzeigen der Access Gateway Plug in Verbindungsprotokolle 217 Weiterleiten von Systemmeldungen an einen Syslogserver 218 SNMP Pro tok lle 2 2 8a Noa A aa ate 219 Beispiel f r eine MRTG Ausgabe 0 cece eee eee 219 Anzeigen von Systemstatistiken 2 0 cee cece cece nee 221 berwachen der Access Gateway Operationen 00 00 cece eee eee 221 Anhang B Sichern von Verbindungen mit digitalen Zertifikaten Einf hrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate 224 Einf hrung in Sicherheitsprotokolle 0 0 0 ce cece eee eee 224 Einf hrung in die Kryptografie 2 0 0 eee ee eee eee 225 Digitale Zertifikate und Zertifizierungsstellen 0002200 227 9 Citrix Access Gateway Standard Edition Administratordokumentation Beantragen von Zertifikaten
162. en k nnen erstellt der Administrator eine Anwendungsrichtlinie auf dem Access Gateway nach der die Benutzer nur auf die E Mail Anwendung auf dem E Mail Server 10 10 25 50 32 zugreifen k nnen Hinweis Mit Anwendungsrichtlinien legen Administratoren fest dass eine Clientanwendung auf einen bestimmten internen Server zugreifen oder ein Clientger t bestimmte Anforderungen erf llen muss bevor der Zugriff auf einen internen Server zul ssig ist Um eine Anwendungsrichtlinie zu erstellen die den E Mail Clientzugriff auf einen Server einschr nkt muss der Administrator drei Schritte ausf hren Erstellen einer Netzwerkressource die nur den E Mail Server umfasst Erstellen einer Anwendungsrichtlinie mit der die E Mail Anwendung auf dem E Mail Server angegeben wird und Zuweisen der Netzwerkressource mit dem E Mail Server zu dieser Anwendungsrichtlinie Zuweisen der Anwendungsrichtlinie zu den Benutzergruppen im Access Gateway In diesem Beispiel erstellt der Administrator eine Netzwerkressource E Mail Server die nur die IP Adresse 10 10 25 50 32 den E Mail Server enth lt Dann erstellt der Administrator eine Anwendungsrichtlinie E Mail Anwendungsrichtlinie in der die E Mail Anwendung angegeben ist auf die Remotebenutzer zugreifen k nnen Der Administrator weist dieser Anwendungsrichtlinie die Netzwerkressource E Mail Server zu Danach f gt der Administrator den Gruppen VertriebsauBendienst und Au endiens
163. en vollqualifizierten Dom nennamen ein den Sie mit der im vorigen Schritt eingegebenen IP Adresse verkn pfen m chten und klicken Sie auf Add Die Gruppe aus IP Adresse und HOSTS Name wird in der Hosttabelle aufgef hrt So entfernen Sie einen Eintrag aus der HOSTS Datei 1 Klicken Sie unter Host Table auf die Gruppe aus IP Adresse und HOSTS Name die Sie l schen m chten 2 Klicken Sie auf Remove 60 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von dynamischen und statischen Routen Sie k nnen das Access Gateway f r das dynamische oder statische Routing konfigurieren Das Access Gateway unterst tzt das dynamische Routing mit dem Routing Information Protocol RIP und RIP2 Aktivieren von dynamischem Routing Wenn Sie dynamisches Routing f r das Access Gateway konfigurieren passiert Folgendes Das Access Gateway h rt Routinginformationen ab die in Form von RIP UDP Paketen ver ffentlicht werden Das Access Gateway f llt die Routingtabelle mit den RIP Daten Alle vorhandenen statischen Routen werden deaktiviert Beim dynamischen Routing k nnen Sie festlegen dass das dynamische Gateway die Festlegung des vom Access Gateway verwendeten Standardgateways durch RIP zulassen soll Ist es aktiviert verwendet das Access Gateway nicht das Standardgateway das auf der Registerkarte General Networking f r das ausgew hlte Ger t unter Access Gateway Cluster im Administration To
164. endet das Zertifikat bereits ein Textformat k nnte es das PKCS Format sein Zu PKCS formatierten Zertifikaten kommt es wenn Sie angeben dass das Zertifikat in einem Microsoft und nicht in einem Apache Betriebssystem verwendet werden wird Wenn das Zertifikat nicht im PEM Format vorliegt wird bei Eingabe des folgenden Befehls eine Fehlermeldung ausgegeben Zertifikatdatei darf bei der Ausf hrung dieses Befehls nicht den privaten Schl ssel enthalten 236 Citrix Access Gateway Standard Edition Administratordokumentation openssl verify verbose CApath tmp Zertifikatdatei Wenn dieser Befehl zur Ausgabe der folgenden Fehlermeldung f hrt hat die Datei nicht das PEM Format certFile unable to load certificate file 4840 error 0906D064 PEM routines PEM read bio bad base64decode pem_lib c 781 So wandeln Sie das Zertifikat vom PKCS7 in das PEM Format um 1 F hren Sie den folgenden Befehl aus openssl pkcs7 in Zertifikatdatei print_certs Das Ergebnis sieht in etwa wie folgt aus subject BEGIN CERTIFICATE Server Certificate END CERTIFICATE subject BEGIN CERTIFICATE Intermediate Cert END CERTIFICATE 2 Kombinieren Sie die Serverzertifikatsdaten und die Zwischenzertifikatsdaten sofern vorhanden der Ausgabe mit dem privaten Schl ssel Informationen hierzu finden Sie unter Kombinieren des privaten Schl ssels mit
165. eneigenschaften enthalten zusatzliche Einstellungen die sich auf den Benutzerzugriff auswirken Weitere Informationen zu Gruppeneigenschaften und zum Erstellen von lokalen Gruppen finden Sie unter Konfigurieren von Benutzergruppen auf Seite 115 Erstellen und Zuweisen von Netzwerkressourcen fur die Benutzergruppen Das Erstellen und Zuweisen von Netzwerkressourcen fiir die Benutzergruppen ist der vierte von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigurationsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Schritt gibt der Administrator an auf welche Netzwerkressourcen Netzwerksegmente oder einzelne Computer Benutzer zugreifen d rfen und weist diese Ressourcen dann den Benutzergruppen auf dem Access Gateway zu Dabei f hrt der Administrator folgende Schritte aus Erstellen der Netzwerkressource Vertriebsressource und Zuweisen dieser Ressource zur Benutzergruppe Vertriebsau endienst Erstellen der Netzwerkressource Technische Ressource und Zuweisen dieser Ressource zur Benutzergruppe Au endiensttechniker 256 Citrix Access Gateway Standard Edition Administratordokumentation Erstellen und Zuweisen von Netzwerkressourcen fur die Benutzer im Vertrieb In diesem Abschnitt wird kurz erl utert wie der Administrator eine Netzwerkressource f r die Benutzer im Vertrieb erstellt und diesen Benutzern zuweis
166. entger t ohne Administratorrechte installieren k nnen Benutzer die Firewallregeln nicht ndern um den Zugriff zuzulassen Benutzer m ssen mit Administratorrechten angemeldet sein um die Firewallregeln zu ndern Bei Clientger ten mit Windows Firewall versucht das Installationsprogramm f r das Access Gateway Plug in automatisch eine Ausnahme f r die Firewallregeln hinzuzuf gen Wenn das Clientger t eine Firewall von Drittanbietern verwendet m ssen Sie die Ports manuell konfigurieren So zeigen Sie die Access Gateway Plug in Statuseigenschaften an Doppelklicken Sie im Infobereich auf das Access Gateway Verbindungssymbol Sie k nnen stattdessen auch mit der rechten Maustaste auf das Symbol klicken und im Kontextmen den Befehl Eigenschaften w hlen Das Citrix Access Gateway Dialogfeld wird angezeigt Die Verbindungseigenschaften enthalten n tzliche Informationen f r die Problembehandlung Hierzu geh ren z B folgende Eigenschaften Die Registerkarte Allgemein enth lt Verbindungsinformationen Auf der Registerkarte Details finden Sie Serverinformationen und eine Liste der gesicherten Netzwerke auf die Benutzer zugreifen k nnen Die Registerkarte Zugriffslisten enth lt die Zugriffssteuerungslisten ACLs die f r die Benutzerverbindung konfiguriert sind Diese Registerkarte wird nur f r Benutzer angezeigt die Mitglied einer Gruppe sind Wenn f r eine Gruppe keine Zugriffssteuerungsliste konfiguriert ist w
167. enutzer in der Mitgliederliste der Gruppen gesucht wird Gruppenattributfelder fur die LDAP Autorisierung Die folgende Tabelle enth lt Beispiele f r LDAP Gruppenattributfelder Microsoft Active Directory Server memberOf Novell eDirectory groupMembership IBM Directory Server ibm allGroups Sun ONE Verzeichnis fr her iPlanet nsRole So konfigurieren Sie die LDAP Autorisierung 1 Klicken Sie auf die Registerkarte Authorization 2 W hlen Sie unter Authorization type die Option LDAP authorization 3 Geben Sie unter IP address or FODN die IP oder Webadresse des LDAP Servers ein 4 Geben Sie im Feld Port die Portnummer ein Der Standardport ist 389 5 Tun Sie Folgendes Um unsichere LDAP Verbindungen zuzulassen aktivieren Sie die Option Allow unsecure connection Um LDAP Verbindungen zu sichern deaktivieren Sie die Option Allow unsecure connection Wenn diese Option nicht aktiviert ist sind alle LDAP Verbindungen sicher 88 Citrix Access Gateway Standard Edition Administratordokumentation 10 Geben Sie unter Administrator bind DN den Administrator Bind DN fiir Abfragen ein die an Ihr LDAP Verzeichnis gerichtet sind Beispielsyntax ftir Bind DN dom ne benutzername ou administrator dc ace dc com benutzer dom ne name f r Active Directory cn Administrator cn Benutzer dc ace dc com F r Active Directory muss der Gruppenname wie folgt angegeben werden cn Gruppenname D
168. er Access Gateway CD in einer E Mail von Citrix oder auf MyCitrix Wenn Sie ein Upgrade von einer lteren Version des Access Gateways durchf hren k nnen Sie weiterhin die vorhandene Lizenz verwenden sofern die Lizenz ber das Subscription Advantage Management Renewal Information System SAMRI bezogen wurde und das Subscription Advantage Datum noch nicht abgelaufen ist Die Benutzer ID und das Kennwort f r MyCitrix Sie k nnen sich auf MyCitrix f r dieses Kennwort registrieren Hinweis Wenn Sie diese Informationen nicht haben wenden Sie sich bitte an Citrix Customer Care Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 47 FQDN des Access Gateways Das Eingabefeld f r diesen Namen auf MyCitrix unterscheidet zwischen Gro und Kleinschreibung achten Sie daher darauf den Namen genau von der Registerkarte Access Gateway Cluster gt General Networking zu bertragen Anzahl der Lizenzen in der Lizenzdatei Sie m ssen nicht alle Lizenzen auf die Sie Anspruch haben gleichzeitig herunterladen Wenn Ihr Unternehmen 100 Lizenz gekauft hat k nnen Sie beispielsweise nur 50 herunterladen Sie k nnen sp ter den Rest in einer anderen Lizenzdatei zuweisen Aufdem Access Gateway k nnen mehrere Lizenzdateien installiert werden So rufen Sie Ihre Lizenzdatei ab 1 Gehen Sie zu http www citrix com und klicken Sie auf My Citrix 2 Geben Sie Ihren Benutzernamen und Ihr Kennwort ein Bei de
169. er auf dem Access Gateway definierte Gruppenname muss identisch mit dem auf dem LDAP Server definierten Gruppennamen sein Bei anderen LDAP Verzeichnissen ist der Gruppenname entweder nicht erforderlich oder er muss sofern er doch n tig ist in folgender Form angegeben werden ou Gruppenname Das Access Gateway registriert sich mit den Administratoranmeldeinformationen beim LDAP Server und sucht dann nach dem Benutzer Wenn der Benutzer gefunden ist hebt das Access Gateway die Registrierung mit den Administratoranmeldeinformationen auf und registriert sich mit den Benutzeranmeldeinformationen erneut Geben Sie unter Administrator password das Kennwort ein Geben Sie unter Base DN location of users den Basis DN fir die Benutzer ein Der Basis DN wird normalerweise vom Bind DN abgeleitet indem der Benutzername entfernt und die Gruppe angegeben wird in der sich die Benutzer befinden Beispielsyntax fiir Bind DN ou Benutzer dc ace dc com cn Benutzer dc ace dc com Geben Sie unter Server logon name attribute das Attribut ein unter dem das Access Gateway nach den Benutzeranmeldenamen fiir den LDAP Server suchen soll den Sie gerade konfigurieren Das Standardattribut ist cn Bei Verwendung von Active Directory ist das Attribut cn einzugeben Geben Sie unter Group attribute den Namen des Attributs ein Standard ist memberOf Mit diesem Attribut kann das Access Gateway bei der Autorisierung die Gruppen abrufen bei denen der Benu
170. er dem Befehl cagvpn login mit dem Sie den Anmeldevorgang f r das Access Gateway Plug in f r Linux starten k nnen Sie mit cagvpn help eine Liste der anderen Befehlzeilenoptionen anzeigen Wenn die Verbindung getrennt wird wird der VPN D mon u U gestoppt F r das Secure Access Plug in f r Linux ist ein VPN Daemon f r die Verbindung mit dem Access Gateway erforderlich Wenn Sie den Status des VPN D mons pr fen m chten geben Sie an einer Eingabeaufforderung Folgendes ein ete init d cagvpnd status Wenn der Daemon nicht ausgef hrt wird geben Sie Folgendes ein ete init d cagvpnd start Zum Neustarten eines gestoppten D mons geben Sie Folgendes ein etc init d cagvpnd start So entfernen Sie das Access Gateway Plug in f r Linux 1 Geben Sie an einer Eingabeaufforderung Folgendes ein cagvpn_uninstall Hiermit werden alle Bin rdateien sowie andere Datei des Access Gateway Plug ins f r Linux entfernt Weitere Informationen finden Sie in der Datei CitrixVPN_ReadMe txt im Stammverzeichnis Wenn auf dem Clientger t eine Firewall ausgef hrt wird m ssen Benutzer sie eventuell deaktivieren oder die Einstellungen ndern Firewallregeln beeintr chtigen m glicherweise den Paketbehandlungsmechanismus des Access Gateway Plug ins f r Linux Weitere Informationen finden Sie in der Dokumentation des Firewallherstellers Hinweis Das ICMP Protokoll wird derzeit nicht vom Access Gateway Plug in f r Linux unterst tzt
171. er oder suchen Sie unter http support citrix com nach dem n chstgelegenen CSN Partner Zus tzlich zum CSN Programm bietet Citrix im Knowledge Center eine Reihe von webbasierten Selbstbedienungstools f r den technischen Support Das Knowledge Center finden Sie unter http support citrix com Es bietet Folgendes Eine Knowledge Base mit technischen L sungen zur Unterst tzung der Citrix Umgebung Eine Onlinebibliothek der Produktdokumentation Interaktive Support Foren f r jedes Citrix Produkt Zugang zu den neuesten Hotfixes und Service Packs Security Bulletins Onlineproblemmeldung und verfolgung f r Organisationen mit g ltigen Supportvertr gen Kapitel 1 Einf hrung 13 Eine andere Supportquelle Citrix Preferred Support Services bietet eine Reihe von Optionen sodass Sie den Grad und die Art von Support f r die Citrix Produkte in Ihrer Organisation anpassen k nnen Subscription Advantage Ihr Produkt schlie t das Abonnement Subscription Advantage f r ein Jahr ein Citrix Subscription Advantage bietet eine einfache M glichkeit stets aktuelle Softwareversionen und Informationen f r Ihre Citrix Produkte zu haben Abonnenten erhalten nicht nur automatisch Zugriff auf den Download der neuesten Feature Releases Softwareupgrades und Erweiterungen die w hrend der Laufzeit des Abonnements verf gbar werden sondern haben auch bevorzugten Zugang zu wichtigen technischen Informationen von Citrix Weitere Inform
172. eren indem Sie die Option deaktivieren So blockieren Sie den externen Zugriff auf das Administration Portal l Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Deaktivieren Sie auf der Registerkarte Administration unter Access management die Option Enable external administration 3 Klicken Sie auf Apply Change Aktualisieren der Access Gateway Software Die Software auf dem Access Gateway kann bei Ver ffentlichung neuer Releases ber ein Upgrade aktualisiert werden Ob neue Aktualisierungen zur Verf gung stehen erfahren Sie im Administration Portal Ein Upgrade auf ein neues Release ist nur dann m glich wenn Ihre Access Gateway Lizenzen zum Zeitpunkt der Ver ffentlichung der Aktualisierung am Subscription Advantage Programm teilnehmen Das Subscription Advantage Abonnement kann jederzeit erneuert werden Weitere Informationen finden Sie auf der Citrix Support Website unter http support citrix com Wichtig Das Linux Betriebssystem f r Access Gateway Version 4 6 wurde auf eine neuere Version aktualisiert Um Version 4 6 auf dem Access Gateway zu installieren m ssen Sie ein neues Image auf das Ger t spielen und dann die Software installieren Weitere Informationen ber das berspielen eines neuen Images finden Sie unter Neuinstallieren der Access Gateway Software auf Seite 189 Kapitel 10 Wartung des Access Gateways 187 So
173. eren 62 63 Routing Netzwerkzugriff 112 RSA ACF Server Upload der sdconf rec Datei 97 Zur cksetzen des Node Secrets 98 RSA SecurID Authentifizierung 26 95 139 Cluster 98 IP Adresse einrichten 97 Konfigurieren 97 S SafeWord Authentifizierung 26 99 139 Konfiguration 100 unterst tzte Produkte 99 SafeWord Autorisierung 101 Schulung 13 sdconf rec ung ltige Datei 274 Index 285 sdconf rec Datei Cluster 98 Ersetzen 97 Upload 97 Secure Socket Layer 140 224 Verschl sselungsart ausw hlen 169 Secure Ticket Authority 27 Serielle Konsole Administration Portal aktivieren oder deaktiveren 36 Administratorkennwort 36 Optionen 36 Problembehandlung 275 TCP IP Einstellungen konfigurieren 36 37 Serielles Kabel 34 Serverzertifikat 228 Installation 233 Service 12 Sicherheit 25 Zertifikatverwaltung 25 Sicherheitskonzepte 223 Single Sign on Windows 148 Sitzungstimeout 117 163 SNMP 219 Einstellungen 219 MIB Gruppen 219 Protokolle aktivieren und anzeigen 219 Software neu installieren 189 Speichern Systemkonfiguration 193 Split DNS 118 161 Split Tunneling 114 Citrix XenApp 115 Konfigurieren 115 SSL siehe Secure Socket Layer Stammzertifikate 167 228 Erstellen tiber Befehlszeile 57 Installation 56 168 Installation mehrerer 57 Standardbereich 75 Standardgateway konfigurieren 40 Standardlizenz 44 Standardportalseite 67 Standardzertifikat zuriicksetzen 54 Statisches Routing 62 Beispiel 64 Entfernen 64 Hinzuf gen 6
174. eren des Netzwerkzugriffs legen Sie auf der Registerkarte Global Cluster Policies die Netzwerke fest zu denen die Clients eine Verbindung herstellen sollen Schritt 2 Konfigurieren der Authentifizierung und Autorisierung Mit der Authentifizierung wird definiert wie die Benutzer sich anmelden die Konfiguration erfolgt mit Bereichen realms Zu den Authentifizierungstypen geh ren lokal NTLM LDAP RADIUS RSA SecurID Gemalto Protiva und Secure Computing SafeWord Bei der Autorisierung stehen die folgenden Optionen zur Verf gung lokal LDAP RADIUS NTLM keine Autorisierung Weitere Informationen zur Konfiguration der Authentifizierung und Autorisierung finden Sie unter Konfigurieren der Authentifizierung und Autorisierung auf Seite 71 Schritt 3 Konfigurieren von Benutzergruppen Benutzergruppen kommen im Zusammenhang mit Authentifizierung und Autorisierung zum Einsatz Wenn die Benutzer ihre Verbindungen beispielsweise ber LDAP herstellen legen Sie einen LDAP Autorisierungsbereich an und erstellen Sie dann eine Gruppe Die Namen der Benutzergruppen m ssen mit den Namen dieser Gruppen auf dem LDAP Server bereinstimmen Dar ber hinaus k nnen Sie lokale Benutzer zur lokalen Authentifizierung auf dem Access Gateway anlegen Die lokalen Benutzer werden dann Benutzergruppen hinzugef gt Weitere Informationen zum Konfigurieren lokaler Benutzer finden Sie unter Konfigurieren lokaler Benutzer auf Seite 79 Schritt 4 Konfigurieren
175. ernet lAccess Gateway Web oder computer Anwendungsserver _ AP SA Dateiserver Firmen _ SS computer IP Telefone Access Gateway in der DMZ Kapitel 3 Planen der Bereitstellung 23 Installieren des Access Gateways in der DMZ In dieser Konfiguration wird das Access Gateway in der DMZ installiert und so konfiguriert dass eine Verbindung sowohl zum Internet als auch zum internen Netzwerk hergestellt wird Zur Installation und Konfiguration folgen Sie den Anweisungen unter Erstmalige Installation des Access Gateways auf Seite 33 Access Gateway Konnektivitat in der DMZ Wenn Sie das Access Gateway in der DMZ bereitstellen miissen die Clientverbindungen die Firewall tiberwinden um eine Verbindung zum Access Gateway herstellen zu k nnen Standardm ig erfolgt diese Verbindung mit SSL Secure Sockets Layer an Port 443 Damit diese Verbindung m glich ist m ssen Sie die Verwendung von SSL an Port 443 durch die erste Firewall zulassen Hinweis Sie k nnen den Port ndern ber den die Clientger te eine Verbindung zum Access Gateway aufbauen Bearbeiten Sie hierzu die Porteinstellung im Administration Tool Weitere Informationen zu dieser Porteinstellung finden Sie unter Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln auf Seite 38 Das Access Gateway entschl sselt die SSL Verbindungen vom Ger t und baut stellvertretend f r den Client eine Verbindung zu den Netzwerkressourcen hinter der zwe
176. erung Alternativ k nnen Sie Stammzertifikate im PEM Format ber eine DOS Eingabeaufforderung erstellen Wenn Sie drei PEM Stammzertifikate besitzen k nnen Sie beispielsweise mit dem nachstehenden Befehl eine einzige Datei mit allen drei Zertifikaten erstellen type rootl pem root2 pem root3 pem gt current roots pem Sollen weitere Stammzertifikate in eine vorhandene Datei eingef gt werden verwenden Sie folgenden Befehl type root4 pem root5 pem gt gt current roots pem Nach der Ausf hrung dieses Befehls befinden sich alle f nf Stammzertifikate in der Datei current roots pem Mit dem zweifachen Gr er als Zeichen gt gt wird der Inhalt der Dateien root4 pem und root5 pem an den bereits vorhandenen Inhalt der Datei current roots pem angeh ngt 58 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren weiterer Netzwerkeinstellungen Nach der Installation der Lizenzen und Zertifikate auf dem Access Gateway fallen ggf weitere Konfigurationsschritte an mit denen das Access Gateway auf die Arbeit im Netzwerk vorbereitet wird Dazu geh ren folgende Einstellungen Konfigurieren von Namensdienstanbietern mit denen bis zu drei DNS Server und ein WINS Server konfiguriert werden k nnen Bearbeiten der HOSTS Datei zum Umgehen des DNS und zum Aufl sen bestimmter IP Adressen in bestimme Hostnamen Konfigurieren des dynamischen und statischen Routing f r das Abh ren von Routen die von den Rout
177. erver Windows Server 2003 Windows Vista 32 Bit Webbrowser Das Access Gateway Plug in wird von folgenden Webbrowsern unterst tzt Microsoft Internet Explorer Versionen 6 x und 7 x Mozilla Firefox Version 1 5 und h her Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 139 Funktionsweise von Benutzerverbindungen Das Access Gateway funktioniert folgenderma en Wenn Benutzer sich zum ersten Mal ber eine Webadresse verbinden melden sie sich an und w hlen dann das Access Gateway Plug in aus das heruntergeladen und auf dem Clientger t installiert wird Nachdem das Access Gateway Plug in heruntergeladen und installiert wurde melden sich Benutzer noch einmal an Wenn die Authentifizierung erfolgreich war richtet das Access Gateway einen sicheren Tunnel ein Ist das Access Gateway Plug in bereits auf dem Clientger t installiert und Benutzer melden sich ber die Webadresse an pr ft das Access Gateway Plug in ob Updates vorliegen und dann werden die Benutzer angemeldet Sobald Remotebenutzer versuchen ber das Ger t auf die Netzwerkressourcen zuzugreifen verschl sselt das Access Gateway Plug in den gesamten Netzwerkverkehr der f r das interne Netzwerk der Organisation bestimmt ist und leitet die Pakete an das Access Gateway weiter Das Access Gateway fungiert als Endpunkt des SSL Tunnels terminiert den Tunnel akzeptiert den eingehenden Verkehr der f r das priva
178. erver vorzunehmen Ist ein Benutzer nicht auf den RADIUS Servern oder schl gt die Authentifizierung fehl berpr ft das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzerinformationen sofern auf der Registerkarte Settings des Bereichs die Option Use the local user database on the Access Gateway aktiviert ist Die Access Gateway Software enth lt au erdem die RADIUS Autorisierung die mit der RAS Richtlinie im Microsoft Internetauthentifizierungsdienst IAS konfiguriert wird W hrend der Konfiguration des Access Gateways m ssen die folgenden Informationen bereitgestellt werden Vendor Code entspricht dem im IAS eingegebenen Herstellercode Vendor assigned atttribute number entspricht der vom Hersteller zugewiesenen Attributnummer Attribute Value Prefix entspricht dem im IAS definierten Attributwert Der Standardname ist CTXSUserGroups Das Trennzeichen Separator muss angegeben werden wenn in der RADIUS Konfiguration mehrere Benutzergruppen enthalten sind Als Trennzeichen kann ein Leerzeichen ein Punkt ein Semikolon oder ein Doppelpunkt verwendet werden Wenn IAS nicht auf dem RADIUS Server installiert ist k nnen Sie es ber die Systemsteuerung installieren Weitere Informationen finden Sie in der Windows Onlinehilfe Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 91 Zum Konfigurieren des IAS installieren Sie das Snap In fiir IAS tiber die Mi
179. ese Frage zu kl ren und n here Anweisungen zu erhalten wie Sie Zertifikate erhalten Wenn Sie nicht sicher sind ob Ihre Organisation ber eine eigene Zertifizierungsstelle verf gt sollten Sie sich mit der Sicherheitsabteilung oder dem Sicherheitsexperten Ihrer Organisation in Verbindung setzen Ihre Organisation hat keine eigene Zertifizierungsstelle Wenn Ihre Organisation keine eigene Zertifizierungsstelle hat m ssen Sie Ihre Zertifikate bei einer ffentlichen Zertifizierungsstelle wie beispielsweise VeriSign beantragen Das Beantragen eines digitalen Zertifikats bei einer ffentlichen Zertifizierungsstelle schlie t den folgenden Verifizierungsprozess ein Auf Basis der von Ihrer Organisation vorgelegten Informationen kann die Zertifizierungsstelle die vermeintliche Identit t Ihrer Organisation berpr fen Dabei k nnen andere Organisationsabteilungen in den Verifizierungsprozess eingebunden werden wie beispielsweise die Buchhaltung Unter Umst nden muss die Gr ndungsurkunde oder ein hnliches Rechtsdokument vorgelegt werden Personen mit der entsprechenden Bevollm chtigung in Ihrer Organisation m ssen die von der Zertifizierungsstelle vorgelegten rechtsverbindlichen Vereinbarungen unterzeichnen Da die Zertifizierungsstelle Ihre Organisation als K ufer pr ft ist die Einkaufsabteilung bei diesem Prozess vermutlich involviert Sie legen der Zertifizierungsstelle die Kontaktinformationen der jeweilige
180. ess Gateway startet nicht und die serielle Konsole ist leer Uberpriifen Sie die folgenden Elemente auf ihre korrekte Einrichtung Die serielle Konsole verwendet den richtigen Port und der physische Port stimmt mit dem logischen Port berein Das Kabel ist ein Nullmodemkabel Die COM Einstellungen der seriellen Kommunikationssoftware sind wie folgt festgelegt 9600Bit s 8 Datenbits keine Parit t und 1 Stoppbit Zugriff auf das Administration Tool nicht m glich Wenn das Access Gateway offline ist ist das Administration Tool nicht verf gbar Zum Ausf hren von Aufgaben wie dem Anzeigen des Systemprotokolls und dem Neustarten des Access Gateways k nnen Sie das Administration Portal verwenden Kommunikation zwischen Ger ten und dem Access Gateway nicht m glich berpr fen Sie die folgenden Elemente auf ihre korrekte Einrichtung Der auf der Registerkarte General Networking im Access Gateway Administration Tool angegebene vollqualifizierte Dom nenname ist au erhalb Ihrer Firewall verf gbar S mtliche nderungen die in der seriellen Konsole des Access Gateways oder im Administration Tool vorgenommen wurden wurden gesendet Verwenden von Strg Alt Entf zum Neustarten des Access Gateways nicht m glich Die Neustartfunktion auf dem Access Gateway ist deaktiviert Sie m ssen das Ger t mit dem Administration Tool neu starten und herunterfahren 276 Citrix Access Gateway Standard Edition Administratordoku
181. et den Verkehr an das private Netzwerk weiter Das Access Gateway sendet den Verkehr ber einen sicheren Tunnel zum Remotecomputer zur ck Neue Features in diesem Release Diese Version von Access Gateway Standard Edition enth lt folgende neue Funktionen Neues Betriebssystem Das Betriebssystem auf dem Access Gateway wurde aktualisiert Wichtig Mit diesem Update wird eine Upgrade von fr heren Versionen des Access Gateways nicht unterst tzt Sie m ssen eine vollst ndige Neuinstallation von Version 4 6 auf dem Access Gateway Ger t durchf hren Weitere Informationen hierzu finden Sie unter Neuinstallieren der Access Gateway Software auf Seite 189 Verbesserte Verwaltung des Access Gateways Administration Desktop ist in das Administration Tool integriert und erm glicht so eine bequemere und schnellere berwachung der Clientverbindungen Unterst tzung f r Citrix XenDesktop Sie k nnen das Access Gateway f r den Benutzerzugriff auf ver ffentlichte Desktops konfigurieren Sie konfigurieren das Access Gateway auf die gleiche Weise wie f r Citrix XenApp und geben dabei die Webinterface Informationen an die Sie in XenDesktop konfiguriert haben Weitere Informationen finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Unterst tzung f r Gemalto Protiva Authentifizierung Sie k nnen einen Authentifizierungsbereich authentication realm konfigur
182. etzungen fiir die Authentifizierung auf dem Access Gateway 72 Konfigurieren der Authentifizierung auf dem Access Gateway 72 Konfigurieren des Bereichs Default 0 2 eee cee eee 75 Erstellen von zus tzlichen Bereichen 0 0 c cee eee eee eens 76 Konfigurieren der lokalen Authentifizierung 0 00 e eee eee ee 78 Konfigurieren lokaler Benutzer 0 0 00 nes 79 Zuweisen von Benutzern zu mehreren Gruppen 000 0 e eee 80 ndern von Kennw rtern f r Benutzer 20 0 0 00000 cece cence eens 81 Konfigurieren von LDAP Authentifizierung und Autorisierung 81 Konfigurieren der LDAP Autorisierung 0 00 eee eee eee 86 Gruppenattributfelder f r die LDAP Autorisierung 0 87 Verwenden von Zertifikaten fiir sichere LDAP Verbindungen 89 Bestimmen der Attribute in Ihrem LDAP Verzeichnis 89 Konfigurieren von RADIUS Authentifizierung und Autorisierung 90 RADIUS Autorisierung 2 0 cette een ene 93 Ausw hlen der RADIUS Authentifizierungsprotokolle 94 Konfigurieren der RSA SecurlD Authentifizierung 2222200 95 Konfigurieren der RSA Einstellungen f r einen Cluster 98 Zur cksetzen des Node Secrets 0 0 eee eect eens 98 Konfigurieren der Authentifizierung mit Secure Computing SafeWord 99 Konfigurieren der SafeWord Einstellungen auf dem
183. f mit der n chsten Anmeldung so lange zu warten bis der n chste Tokencode aktiv ist Der RSA Server kann so konfiguriert werden dass das Konto eines Benutzers der sich zu oft mit einem falschen Kennwort anmeldet deaktiviert wird F r die Kontaktaufnahme mit dem RSA ACE Server muss das Access Gateway eine Kopie der ACE Agent Host Konfigurationsdatei sdconf rec enthalten die vom RSA ACE Server angelegt wird Im Folgenden wird beschrieben wie diese Datei anzulegen und hochzuladen ist 96 Citrix Access Gateway Standard Edition Administratordokumentation Hinweis In den folgenden Schritten werden die unbedingt erforderlichen Einstellungen f r das Access Gateway beschrieben Dar ber hinaus k nnen sitespezifische Zusatzeinstellungen vorgenommen werden Weiterf hrende Informationen finden Sie in der RSA ACE Server Produktdokumentation W hlen Sie beim Erstellen der Datei sdconf rec die folgenden Einstellungen aus e Erstellen Sie einen Agenthost Geben Sie einen beschreibenden Namen f r das Access Gateway ein das als der Agenthost fungiert f r den Sie die Konfigurationsdatei erstellen Verwenden Sie als Netzwerkadresse die interne IP Adresse des Access Gateways Der Agenttyp ist UNIX Agent Stellen Sie sicher dass bei der Erstellung des Agenthosts die Option Node Secret Created auf dem RSA ACE Server deaktiviert ist Der RSA ACE Server sendet das Node Secret zu dem Zeitpunkt an das Access Gateway zu
184. f der Registerkarte Primary Authentication LDAP konfiguriert haben m ssen die Benutzer beim Anmelden in das erste Kennwortfeld ihr LDAP Kennwort und in das zweite Kennwortfeld die RSA SecurID PIN und den Passcode eingeben Wenn Benutzer auf Connect klicken nimmt das Access Gateway die Authentifizierung zuerst anhand des LDAP Kennworts und dann anhand von RSA SecurID PIN und des Passcode vor 110 Citrix Access Gateway Standard Edition Administratordokumentation Andern der Beschriftung von Kennwortfeldern Die Beschriftung der Kennwortfelder kann an den Authentifizierungstyp angepasst werden mit dem sich Benutzer anmelden damit sie genau wissen welches Kennwort sie eingeben m ssen Dies ist besonders dann n tig wenn das Access Gateway f r die Unterst tzung von Authentifizierungstypen von Drittanbietern konfiguriert ist Wenn Benutzer sich z B mit LDAP und dem starken Authentifizierungssystem Gemalto Protiva RADIUS authentifizieren m ssen k nnen Sie die Kennwortfelder mit diesen Typen beschriften damit die Benutzer wissen was sie eingeben m ssen Statt mit Kennwort und Sekund res Kennwort k nnten die Felder z B mit Windows Dom nenkennwort und Gemalto Protiva Passcode beschriftet werden Die Beschriftungen k nnen je nach Verwendung einzelner Authentifizierungsmethoden oder Zweimethodenauthentifizierung ge ndert werden So ndern Sie die Beschriftungen der Kennwortfelder 1 Klicken Sie auf die Registerkarte Authentica
185. fehle traceroute und ping in einem Netzwerkdiagnosetool Wenn Traceroute gestartet wird untersucht das Tool die Netzwerkverbindung zwischen dem Access Gateway und dem von Ihnen festgelegten Zielhost Nachdem das Tool die Adresse der einzelnen Netzwerkhops zwischen den Ger ten bestimmt hat sendet es eine ICMP ECHO Sequenzanforderung an alle um die Qualit t der einzelnen Verbindungen zu den Ger ten festzustellen Dabei druckt es fortlaufende Statistiken zu den einzelnen Ger ten Port Scan Zum Ermitteln der DNS Server im Netzwerk und der ge ffneten Ports Packet Capture Interaktives Abfangen von Paketdaten aus einem aktiven Netzwerk oder aus einer zuvor gespeicherten Erfassungsdatei Wenn Sie Netzwerk berwachungstools auf einem Clientger t verwenden k nnen Sie m glicherweise eingehende TCP Verbindungen auf verschiedenen hohen Portnummern beobachten Diese Verbindungen finden nicht wirklich statt Sie werden von der NDIS shim Komponente initiiert Aus diesem Grund m ssen IP Firewall Regeln auf dem Clientger t so konfiguriert sein dass Datenverkehr vom und zum Access Gateway sowie zu Ziel IP Adressen erlaubt ist Lokal also auf dem Clientger t wird der gesamte verbindungsspezifische Verkehr wie SYN ACK PUSH ACK und FIN Pakete vom Access Gateway Plug in neu erstellt damit es so aussicht als k me er vom privaten Server Der Client sendet physischen Datenverkehr nur ber Port 443 an das Gateway Bei der Client
186. festgelegt Normalerweise m ssen Sie ein Zertifikat vor Erreichen seines Ablaufdatums erneuern Die meisten Zertifizierungsstellen bieten einen gut dokumentierten Prozess f r das Erneuern von Zertifikaten Auf der Website Ihrer Zertifizierungsstelle finden Sie detaillierte Anweisungen zum Erneuern von Zertifikaten Beantragen von Zertifikaten Beim Ermitteln der f r Ihre Access Gateway Bereitstellung erforderlichen Anzahl und Art von Zertifikaten m ssen Sie entscheiden bei welcher Stelle die Zertifikate zu beantragen sind Diese Entscheidung h ngt von mehreren Faktoren ab wie u a Ob Ihre Organisation eine Zertifizierungsstelle ist Dies ist vermutlich nur bei sehr gro en Unternehmen der Fall Ob Ihre Organisation bereits Gesch ftsbeziehungen zu einer ffentlichen Zertifizierungsstelle hat Das Windows Betriebssystem unterst tzt mehrere ffentliche Zertifizierungsstellen e Zertifikatkosten Ruf einer bestimmten ffentlichen Zertifizierungsstelle USW 232 Citrix Access Gateway Standard Edition Administratordokumentation Ihre Organisation hat eine eigene Zertifizierungsstelle Wenn Ihre Organisation eine eigene Zertifizierungsstelle hat m ssen Sie entscheiden ob die organisationseigenen Zertifikate f r die Sicherung der Daten bertragung in der Access Gateway Umgebung verwendet werden sollen Citrix empfiehlt dass Sie sich mit Ihrer organisationseigenen Sicherheitsabteilung in Verbindung setzen um di
187. fizierungsserver identisch sein auch hinsichtlich der Gro und Kleinschreibung und der verwendeten Leerzeichen Ein Dialogfeld f r die hinzugef gte Gruppe wird ge ffnet 3 Informationen zum Konfigurieren der Gruppe finden Sie unter Konfigurieren von Ressourcen f r eine Benutzergruppe auf Seite 120 So entfernen Sie eine Benutzergruppe Klicken Sie mit der rechten Maustaste im linken Bereich der Registerkarte Access Policy Manager auf eine Gruppe und klicken Sie dann auf Delete Eigenschaften der Standardgruppe Default Wenn die einzige auf dem Access Gateway konfigurierte Gruppe die Standardbenutzergruppe ist erhalten alle lokalen Benutzer die f r diese Gruppe konfigurierten Einstellungen Sie k nnen den Zugriff einschr nken indem Sie zus tzliche Gruppen auf dem Access Gateway konfigurieren und dann entscheiden ob sie denselben Zugriff wie die Standardbenutzergruppe erhalten sollen Beispiel Zwei Benutzer geh ren einer Gruppe tempor rer Mitarbeiter an Sie d rfen Verbindungen zu bestimmten internen Ressourcen z B einem Exchange Server und einem Dateiserver herstellen Wenn sie die Einstellungen der Standardgruppe erben erhalten sie dadurch unter Umst nden Zugriff auf Ressourcen die nur f r festangestellte Mitarbeiter bestimmt sind In den Benutzergruppeneigenschaften k nnen Sie festlegen ob Benutzer die Einstellungen der Standardgruppe erben sollen F r die Standardgruppe ist diese Option nicht verf
188. ge wahlweise als einfachen Text versenden oder auch mit MD5 verschl sseln Falls der RIP Server die Authentifizierungs Zeichenfolge mit MD5 verschl sselt muss entsprechend die Option f r MD5 auf dem Access Gateway aktiviert werden Sie k nnen das Access Gateway so konfigurieren dass es Interface 0 und oder Interface 1 nach der Zeichenfolge f r die RIP Authentifizierung abh rt So aktivieren Sie die RIP Authentifizierung f r dynamisches Routing l ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Legen Sie die Schnittstelle n fest die das Access Gateway nach der Zeichenfolge f r die RIP Authentifizierung abh ren soll W hlen Sie hierzu unter Routing Interface die Option Interface 0 Interface 1 oder Both 4 Wahlen Sie RIP Authentication String for Interface 5 Geben Sie in das Textfeld die Authentifizierungs Zeichenfolge ein die der RIP Server bermittelt Achten Sie dabei auf die exakte Schreibweise und auf die Gro und Kleinschreibung 6 Falls der RIP Server die Authentifizierungs Zeichenfolge mit MD5 verschl sselt aktivieren Sie Enable RIP MD5 Authentication for Interface Aktivieren Sie diese Option nicht wenn der RIP Server die Authentifizierungs Zeichenfolge als reinen Text bermittelt 7 Klicken Sie auf Submit 62 Citrix Access Gateway Standard Edition Administratordokumentation Wechseln von dynamischem
189. gen Das Zertifikat kann daher aus dem Zertifikatspeicher in Windows oder von einer Smartcard stammen So legen Sie fest dass Clientzertifikate erforderlich sein sollen 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Wahlen Sie unter Select security options die Option Require secure client certificates und klicken Sie auf Submit Definieren von Clientzertifikatskriterien Verwenden Sie zum Festlegen der Kriterien die die Clientzertifikate erf llen m ssen einen booleschen Ausdruck Damit Benutzer einer Gruppe angeh ren k nnen m ssen sie nicht nur alle anderen f r die jeweilige Gruppe konfigurierten Authentifizierungsregeln einhalten sondern auch die Zertifikatskriterien erf llen So erfordern z B die folgenden Kriterien dass im Betreff Feld des vom jeweiligen Benutzer bereitgestellten Clientzertifikats f r die Organisationseinheit Organizational Unit OU Buchhaltung und f r den gemeinsamen Namen Common Name CN ein Wert festgelegt ist der mit dem lokalen Benutzernamen des Benutzers auf dem Access Gateway bereinstimmt 166 Citrix Access Gateway Standard Edition Administratordokumentation client_cert_end_user_subject_organizational_unit Buchhaltung und username client_cert_end_user_subject_common_name Folgende Operatoren k nnen verwendet werden and logisches UND bereinstimmungspr fung G ltige Konstanten f r die Kriterien true logisches WAHR G ltige Variablen f r die Kri
190. gisches ODER logisches NICHT Bei Benutzern ohne Administratorrechte schlagen die Endpunktrichtlinien fehl wenn die Richtlinie eine Datei in einer eingeschr nkten Zone wie z B C Dokumente und Einstellungen Administrator oder einen eingeschr nkten Registrierungsschl ssel enth lt Wenn ein Benutzer mehreren Gruppen angeh rt besteht die f r den Benutzer geltende Endpunktrichtlinie aus der Kombination der Ausdr cke f r die einzelnen Gruppen des Benutzers So konfigurieren Sie eine Endpunktrichtlinie f r eine Gruppe 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf End Point Policies und klicken Sie dann auf New End Point Policy 3 Geben Sie einen Namen ein und klicken Sie auf OK Nachdem die Richtlinie erstellt wurde ziehen Sie die Endpunktressourcen per Drag amp Drop auf den Expression Builder um den Ausdruck zu erhalten 132 Citrix Access Gateway Standard Edition Administratordokumentation So konstruieren Sie einen Endpunktrichtlinienausdruck l 2 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste im rechten Bereich auf eine Endpunktrichtlinie und klicken Sie auf Properties Die Eigenschaftenseite wird ge ffnet und der Ressourcenbereich wird nach links verschoben Klicken Sie unter End point policy expression auf Automatically build expression Ziehen Sie eine Re
191. he Route 1 ffnen Sie im Administration Tool auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Geben Sie auf der Registerkarte Net Tools gt Ping in das Feld Host address die IP Adresse des Netzwerks oder Ger ts ein dass Sie testen m chten und klicken Sie auf Ping Wenn eine erfolgreiche Kommunikation mit dem anderen Ger t zustande kommt wird eine entsprechende Meldung eingeblendet dass die gleiche Anzahl von Paketen gesendet und empfangen wurde und keine Pakete verloren gegangen sind Wenn keine Kommunikation mit dem anderen Ger t zustande kommt erhalten Sie Statusmeldungen aus denen hervorgeht dass keine Pakete empfangen wurden und dass alle Pakete verloren gegangen sind Zur Behebung dieses Problems f gen Sie erneut eine statische Route hinzu 64 Citrix Access Gateway Standard Edition Administratordokumentation So entfernen Sie eine statische Route 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 W hlen Sie in der Tabelle Static Routes alle Routen aus die Sie l schen m chten 4 Klicken Sie auf Remove Route Beispiel f r eine statische Route Angenommen die IP Adresse f r das Interface 0 am Access Gateway ist 10 0 16 20 und es liegt eine Anforderung f r den Zugriff auf Daten auf 129 6 0 20 vor wof r derzeit kein Pfad vorhanden ist Vom Netzwerkadapter aus der nicht als Access Gatewa
192. hen Angaben bieten einen berblick ber das Access Gateway und enthalten folgende Informationen Die Version des Access Gateways Dauer der Ausf hrung des Access Gateways Speichernutzung Maximale und verwendete Verbindungen Die Angabe der maximalen Verbindungen steht f r die Anzahl der Lizenzen die f r die Verwendung mit dem Access Gateway verf gbar sind Anmeldeinformationen f r Administratoren Access Gateway Plug in und ICA Verbindungen Aktuell angemeldete Benutzer Lizenzinformationen f r das Access Gateway Ger t dass Sie anzeigen berwachen der Access Gateway Operationen Das Access Gateway enth lt eine Reihe berwachungsanwendungen sodass Sie bequem von einem zentralen Standort aus auf die Anwendungen zugreifen k nnen Die berwachungsanwendungen sind im dem Administration Tool Wenn Sie die Registerkarte Net Tools auf der Registerkarte Access Gateway Cluster w hlen k nnen Sie Netzwerkverbindungen berwachen So ffnen Sie die Netzwerk berwachung ffnen Sie im Access Gateway Administration Tool auf der Registerkarte Access Gateway Cluster das Access Gateway Fenster und klicken Sie auf die Registerkarte Net Tools 222 Citrix Access Gateway Standard Edition Administratordokumentation Auf der Registerkarte Net Tools k nnen Sie folgende Funktionen verwenden Ping Testen der Verf gbarkeit von Web und IP Adressen e Traceroute Kombiniert die Funktionalit t der Be
193. hl sselten Inhalts angeben Es gibt zwei M glichkeiten ein sicheres Zertifikat und einen privaten Schl ssel auf dem Access Gateway zu installieren e Erstellen Sie mit dem Administration Tool eine Zertifikatsignier anforderung Certificate Signing Request CSR Daraufhin werden ein Zertifikat und ein privater Schl ssel erstellt Der private Schl ssel verbleibt auf dem Access Gateway w hrend das Zertifikat zum Signieren an die Zertifizierungsstelle gesendet wird Nachdem das Zertifikat zur ckgesendet wurde wird es auf dem Ger t installiert W hrend der Installation wird das Zertifikat mit dem kennwortgesch tzten privaten Schl ssel zusammenge f hrt Citrix empfiehlt dieses Verfahren zum Erstellen und Installieren sicherer Zertifikate zu verwenden 52 Citrix Access Gateway Standard Edition Administratordokumentation Installieren Sie ein PEM Zertifikat und einen privaten Schl ssel von einem Windows Computer aus Bei diesem Verfahren werden ein signiertes Zertifikat und ein privater Schl ssel gemeinsam hochgeladen Das Zertifikat wird von einer Zertifizierungsstelle signiert und dann mit dem privaten Schl ssel zusammengef hrt bersicht ber Zertifikatsignieranforderungen Bevor Sie ein Zertifikat auf das Access Gateway hochladen k nnen m ssen Sie eine CSR Certificate Signing Request Zertifikatsignieranforderung und einen privaten Schl ssel generieren Die CSR wird mit Certificate Signing Request im Adminis
194. hnen sind Eine Minute vor dem Timeout also der Trennung der Sitzung erhalten Benutzer eine Warnmeldung dass die Sitzung in K rze geschlossen wird Falls die Sitzung tats chlich geschlossen wird m ssen Benutzer sich neu anmelden Beim Konfigurieren eines Werts f r ein Sitzungstimeout stehen drei Optionen zur Auswahl User session time out Benutzersitzungstimeout Mit dieser Einstellung trennt das Access Gateway Plug in die Verbindung nach Ablauf der Timeoutfrist unabh ngig von den aktuellen Aktivit ten des Benutzers Benutzer haben keine M glichkeit diese Trennung nach Ablauf der Timeoutfrist zu vermeiden Network inactivity time out Netzwerkinaktivit tstimeout Mit dieser Einstellung trennt das Access Gateway Plug in die Verbindung wenn w hrend des angegebenen Zeitraums keine Netzwerkpakete mehr vom Clientger t an das Access Gateway gesendet werden Idle session time out Timeout wegen inaktiver Sitzung Mit dieser Einstellung wird die Benutzersitzung beendet wenn w hrend des angegebenen Zeitraums die Maus oder die Tastatur nicht mehr benutzt werden 164 Citrix Access Gateway Standard Edition Administratordokumentation Zum Aktivieren dieser Einstellungen geben Sie jeweils den Zeitraum in Minuten f r die Timeoutfrist ein zul ssige Werte 1 bis 65536 Mit dem Wert Null 0 deaktivieren Sie die jeweilige Einstellung Wenn Sie den Wert 0 eingeben wird das Sitzungstimeout nicht aktiviert und die Einstel
195. hout access control list ACL auf der Registerkarte Global Cluster Policies gesteuert Wenn Sie den Zugriff auf eine Ressourcengruppe erlauben oder verweigern wird automatisch auch der Zugriff auf alle anderen Ressourcengruppen verweigert und der Netzwerkzugriff f r die Benutzergruppe wird ausschlie lich ber deren Zugriffssteuerungsliste gesteuert Wenn eine Ressourcengruppe eine Ressource enth lt auf die eine Benutzergruppe keinen Zugriff haben soll k nnen Sie eine separate Ressourcengruppe nur f r diese Ressource erstellen und der Benutzergruppe den Zugriff auf diese spezifische Ressource verweigern 114 Citrix Access Gateway Standard Edition Administratordokumentation Die folgende Tabelle enthalt eine Zusammenfassung der soeben beschriebenen Optionen ACL f r Zugriff ohne Fir die Benutzergruppe Benutzergruppe ACL verweigern zug ngliche Ressourcen eingerichtet Nein Nein Beliebiges Netzwerk auf das das Access Gateway zugreifen kann Ja Nein Erlaubte Ressourcengruppen Nein Ja Kein Zugriff auf das Netzwerk Ja Ja Erlaubte Ressourcengruppen Bei der Konfiguration des Netzwerkzugriffs muss die strengste Richtlinie als erste und die schw chste Richtlinie als letzte konfiguriert werden Beispiel Sie m chten Zugriff auf alle Ressourcen im Netzwerk 10 0 x x gew hren aber Zugriff auf Netzwerk 10 0 20 x verweigern Konfigurieren Sie als erstes Zugriff auf das Netzwerk 10 0 20 x und dann auf
196. ich Access Gateway management neben Restart the appliance auf Restart Oder Klicken Sie im Menti Action auf Restart Access Gateway Name wobei Access Gateway Name der Name des Ger ts ist Sie k nnen Access Gateway auch ber das Administration Portal neu starten So starten Sie das Access Gateway ber das Administration Portal neu Klicken Sie auf der Registerkarte Maintenance neben Restart the server auf Restart Kapitel 10 Wartung des Access Gateways 195 Herunterfahren des Access Gateways Fahren Sie das Access Gateway niemals herunter indem Sie den Netzschalter driicken Verwenden Sie die Befehle im Administration Tool oder im Administration Portal zum Herunterfahren des Ger ts Der Netzschalter darf nur zum Einschalten des Ger ts verwendet werden So fahren Sie das Access Gateway herunter 1 Klicken Sie im Administration Tool auf die Registerkarte Access Gateway Cluster und ffnen Sie das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Access Gateway management neben Shut down the appliance auf Shut down Oder Klicken Sie im Men Action auf Shut down Access Gateway Name wobei Access Gateway Name der Name des Ger ts ist Das Access Gateway kann auch mit dem Administration Portal heruntergefahren werden So fahren Sie das Access Gateway Uber das Administration Portal herunter Klicken Sie auf der Registerkarte Maintenance neben Shut down the server auf
197. ichsname eingegeben werden Wenn sich die meisten Benutzer bei einem nicht lokalen Authentifizierungsbereich anmelden sollten Sie daher den Authentifizierungstyp f r den Bereich Default ndern Entfernen Sie zum ndern des Authentifizierungstyps des Bereichs Default diesen Bereich und erstellen Sie dann sofort einen neuen mit der entsprechenden Authentifizierungskonfiguration Hinweis Wird der gel schte Bereich Default nicht sofort durch einen neuen ersetzt wird der Originalbereich automatisch wiederhergestellt So k nnen Sie den Bereich Default entfernen und neu erstellen 1 Klicken Sie auf die Registerkarte Authentication 2 ffnen Sie das Fenster f r den Bereich Default 3 Wahlen Sie im Men Action den Befehl Remove Default realm Es wird eine Warnmeldung angezeigt Klicken Sie auf Ja 4 Geben Sie unter Add an Authentication Realm in das Feld Realm name Default ein Wichtig Beim Erstellen eines neuen Bereichs muss beim Wort Default die Gro und Kleinschreibung beachtet und ein gro es D verwendet werden 5 Tun Sie Folgendes Wenn Sie einen einzelnen Authentifizierungstyp konfigurieren w hlen Sie One Source aus und klicken Sie auf Add Wenn Sie Zweimethodenauthentifizierung konfigurieren w hlen Sie Two Source aus und klicken Sie auf Add 76 Citrix Access Gateway Standard Edition Administratordokumentation 6 Wahlen Sie unter Authentication type den Authentifizierungs
198. ie Website von Citrix angeboten Informationen zu Programmen und Courseware f r Citrix Schulungen und Zertifizierungen finden Sie unter http www citrixtraining com Citrix Access Gateway Standard Edition Administratordokumentation Terminologieanderungen Es gibt einige Namens nderungen f r die Clientsoftware und f r Citrix Produktnamen Im Folgenden wird die aktualisierte Terminologie aufgelistet die in dieser Dokumentation verwendet wird Fr her Jetzt Access Gateway mit Advanced Access Control Access Gateway Advanced Edition Access Suite Console Access Management Console Secure Access Client Access Gateway Plug in Citrix Presentation Server Citrix XenApp Citrix Presentation Server Clients Citrix XenApp Plug ins Citrix Presentation Server Console Citrix Erweiterte XenApp Konfiguration Webclient Citrix XenApp Web Plug in Program Neighborhood Agent Citrix XenApp Plug in Citrix WANScaler Citrix Branch Repeater WANScaler Client Repeater Plug in Literaturhinweise Weitere Informationen zu Access Gateway finden Sie in den folgenden Dokumenten e Installations bersicht f r Citrix Access Gateway Standard Edition Citrix Access Gateway Standard Edition Pre Installation Checklist Citrix Access Gateway Standard Edition Integration Guide with Citrix XenApp and Citrix XenDesktop Citrix Access Gateway Standard Edition Readme
199. ie Nachricht von Herrn M ller zu entschl sseln und den Sitzungsschl ssel zu extrahieren Wenn Herr M ller und Frau Meier den Sitzungsschl ssel mit Erfolg austauschen er brigt sich die Kryptografie mit einem ffentlichen Schl ssel Der Daten und Informationsaustausch erfolgt dann nur auf Basis des Sitzungsschl ssels Die Verschl sselung mit einem ffentlichen Schl ssel wird beispielsweise zur Weiterleitung des geheimen Schl ssels verwendet Beim Austausch des geheimen Schl ssels erfolgt die Daten bertragung durch Verschl sselung mit dem geheimen Schl ssel Diese L sung bietet die Vorz ge beider Verfahren d h die Geschwindigkeit der Verschl sselung mit einem geheimen Schl ssel und die Sicherheit der Verschl sselung mit einem ffentlichen Schl ssel Digitale Zertifikate und Zertifizierungsstellen Wie kann Frau Meier bei den oben beschriebenen Szenarien sicher sein dass Herr M ller wirklich Herr M ller und kein Betr ger ist Wenn Frau Meier ihren ffentlichen Schl ssel weiterleitet muss auch Herr M ller sicher sein dass Frau Meier tats chlich die Person ist die sie zu sein vorgibt Das ISO X 509 Protokoll definiert einen Mechanismus ein sogenanntes Zertifikat das den ffentlichen von einer vertrauensw rdigen Organisation einer sogenannten Zertifizierungsstelle signierten Schl ssel eines Benutzers enth lt Zertifikate enthalten Informationen zum Festlegen von Identit ten in einem Netzwerk bei einem
200. ie Option Customized Logon Page aus Kapitel 9 Konfigurieren von Anmelde und Portalseiten fiir das Citrix Access Gateway Plug in 173 3 Wenn Sie eine angepasste Portalseite installieren f hren Sie die entsprechenden unten beschriebenen Tasks aus Um ein Bild hochzuladen klicken Sie unter Primary logo image auf Upload New Primary image w hlen Sie die Bilddatei aus und klicken Sie dann auf Offnen Hinweis Die Datei f r die prim re Grafik sollte 14 KB gro und 300 Pixel breit mal 62 Pixel hoch sein Wenn die Grafikdateigr e zwischen 14 und 50 KB ist wird teilweise eine gr ne Hintergrundfarbe im Administration Tool angezeigt und auf der Anmeldeseite wird das ganze Bild mit Bildlaufleisten dargestellt Wenn die Grafikdatei gr er als 50 KB ist wird ein grauer Kasten im Administration Tool und auf der Anmeldeseite das ganze Bild angezeigt Um eine weitere Bilddatei hochzuladen klicken Sie unter Secondary logo image auf Upload New Secondary Image Hinweis F r die Datei der sekund ren Grafik gelten keine Dimensionsbeschr nkungen und sie wird immer ohne Bildlaufleiste auf der Anmeldeseite angezeigt Wenn die Grafikdateigr e zwischen 14 und 50 KB ist wird teilweise eine gr ne Hintergrundfarbe im Administration Tool angezeigt aber auf der Anmeldeseite erscheint das ganze Bild Wenn die Grafikdatei gr er als 50 KB ist wird ein grauer Kasten im Administration Tool und auf der Anmeldeseite das ganze Bild angez
201. ie unter Download a sample portal page template that includes mit der rechten Maustaste auf A link for the Access Gateway Plug in klicken Sie auf Save Target as und geben Sie in dem Dialogfeld einen Speicherort an So passen Sie die Vorlage an 1 berlegen Sie sich wie viele benutzerdefinierte Portalseiten Sie ben tigen Portalseiten k nnen f r mehrere Gruppen verwendet werden Erstellen Sie Kopien der Vorlagen die Sie verwenden m chten und geben Sie ihnen einen Namen mit der Dateierweiterung html ffnen Sie die Datei im Windows Editor oder einem HTML Editor So ersetzen Sie das Citrix Logo A Gehen Sie in der Vorlage zu der folgenden Zeile lt img src citrix logo gif gt B Setzen Sie fiir citrix logo gif den Namen Ihrer Bilddatei ein Wenn Ihre Bilddatei logo gif hei t ndern Sie die Zeile zu lt img src logo gif gt Unterstiitzt werden nur Bilddateien im GIF oder JPG Format Lassen Sie die anderen Zeichen in der Zeile unver ndert Speichern Sie die Datei 176 Citrix Access Gateway Standard Edition Administratordokumentation Installieren benutzerdefinierter Portalseitendateien Benutzerdefinierte Portalseiten und die Bilddateien auf die in den Vorlagen verwiesen wird m ssen auf dem Access Gateway installiert werden So w hlen Sie eine Portalseite aus 1 Klicken Sie auf der Registerkarte Portal Page Configuration auf die Registerkarte Portal Pages und dann auf Add File Geben Si
202. ien zugelassen Wenn der Zugriff auf eine Ressourcengruppe verweigert wird wird automatisch auch der Zugriff auf alle anderen Ressourcengruppen verweigert und der Netzwerkzugriff f r die Benutzergruppe wird nur ber deren Zugriffssteuerungsliste gesteuert Das Access Gateway interpretiert Zulassen und Verweigern wie folgt Das Access Gateway verweigert den Zugriff auf alle Netzwerkressourcen oder Anwendungsrichtlinien die nicht explizit zugelassen sind Wenn Sie einer bestimmten Benutzergruppe also den Zugriff auf nur eine Ressourcengruppe erlauben m chten gestatten Sie ihr auch nur den Zugriff auf diese bestimmte Ressourcengruppe e Verweigerungsregeln haben eine h here Priorit t als Zulassungsregeln Auf diese Weise k nnen Sie den Zugriff auf einen ganzen Bereich von Ressourcen erlauben gleichzeitig aber auch den Zugriff auf ausgew hlte Ressourcen innerhalb dieses Bereichs verweigern Stellen Sie sich z B vor Sie m chten einer Gruppe den Zugriff auf eine Ressourcengruppe im Bereich 10 20 10 0 24 erlauben m ssen dabei aber der Gruppe den Zugriff auf 10 20 10 30 verweigern Um dies umzusetzen m ssen Sie zwei Ressourcengruppen erstellen eine die das Subnetz 10 20 10 0 24 enth lt und eine andere die 10 20 10 30 enth lt Der Zugriff auf diese Ressource wird so lange verweigert bis Sie ihn explizit erlauben So konfigurieren Sie die Ressourcenzugriffssteuerung f r eine Gruppe 1 Klicken Sie auf die Registerkarte Acces
203. ientger t eine Verbindung zur Dom ne herstellt Die Installation des MSI Pakets ber eine Gruppenrichtlinie und das Ank ndigen des Pakets sind hnliche Vorg nge Das Paket CitrixAGP exe sollte extrahiert werden Wenn die Standardkonfiguration der Installation ge ndert werden muss f hren Sie die administrative Installation aus und erstellen ein administratives Image Kopieren Sie entweder die Original MSI Datei oder das administrative Image auf eine Netzwerkfreigabe Weisen Sie das Paket mit einer Gruppenlinie Computern zu und verweisen Sie dabei auf die Netzwerkfreigabe So stellen Sie Access Gateway Plug in mit einer Gruppenrichtlinie bereit l Erstellen Sie auf dem Windows Server ein tempor res Verzeichnis und ffnen Sie es 2 W hlen Sie auf dem Access Gateway Ger t im Administration Tool auf der Registerkarte Global Cluster Policies unter Access options die Option Do not upgrade earlier versions of the Access Gateway Plugin 3 Geben Sie an der Eingabeaufforderung CitrixAGP extract ein um die MSI Datei und zugeh rige Dateien in das im 1 Schritt erstellte Verzeichnis zu extrahieren 4 Ver ffentlichen Sie die MSI Datei und andere Dateien mit der Gruppenrichtlinie Installieren des MSI Pakets durch Ank ndigen Um die Clientinstallation anzuk ndigen m ssen Sie die CAGSE MSI und MST Dateien extrahieren Beim Erstellen des Images m ssen Sie einen Pfad zum Image sowie die Sprache angeben Sie werden dann einen Befehls
204. ientger t und dem Access Gateway stattfindet Dieser unverschl sselte Verkehr l uft jedoch nicht ber den Tunnel zwischen dem Client und dem Access Gateway sondern ber den Tunnel zu den lokalen Anwendungen Wenn ein Anwendungsclient eine Verbindung mit seinem Anwendungsserver herstellt kann es vorkommen dass bestimmte Protokolle verlangen dass der Anwendungsserver im Gegenzug versucht eine neue Verbindung mit dem Client herzustellen In diesem Fall sendet der Client mittels eines individuellen Client Server Protokolls seine bekannte lokale IP Adresse an den Server F r diese Anwendungen pr sentiert das Secure Access Plug in der lokalen Clientanwendung eine private IP Adresse die das Access Gateway im internen Netzwerk verwendet Dieses Feature wird von vielen Echtzeit Sprachanwendungen und von FTP verwendet Benutzer k nnen auf die Ressourcen im gesicherten Netzwerk zugreifen indem sie ber das Access Gateway eine Verbindung von ihrem eigenen Computer oder von einem ffentlichen Computer aus herstellen Kapitel 8 Konfigurieren von Benutzerverbindungen fir das Citrix Access Gateway Plug in 143 Unterstutzen des Access Gateway Plug ins Damit die Benutzer eine Verbindung zum Access Gateway herstellen und es verwenden k nnen m ssen Sie die folgenden Informationen bereitstellen Webadresse f r das Access Gateway z B https AccessGatewayFODN F r die Anmeldung erforderlicher Name des Authentifizierungsbereichs
205. ieren f r die Unterst tzung von Gemalto Protiva Authentifizierung mit RADIUS basierter Authentifizierung Benutzer verwenden bei der Anmeldung einen Code den sie von einem Gemalto Token erhalten Kapitel 2 Einf hrung in das Citrix Access Gateway 19 Neues MSI Paket f r das Access Gateway Plug in Erm glicht die zentrale Verwaltung und richtlinienbasierte Distribution des Access Gateway Plug ins Aktualisiertes Access Gateway Plug in f r Linux Das Access Gateway Plug in f r Linux erm glicht Verbindungen zum Access Gateway von allen unterst tzten Linux basierten Clientger ten Das Plug in unterst tzt Linux Kernel 2 6 x Unterst tzung f r XenDesktop Verbindungslizenzen Sie k nnen Lizenzdateien installieren die nur Verbindungen zu Citrix XenDesktop zulassen Wenn Benutzer eine Verbindung herstellen k nnen sie die Sitzung nur ber den Citrix Desktop Receiver erstellen Verbindungen mit dem Access Gateway Plug in werden verhindert XenDesktop Verbindungslizenzen sind in den Editionen Citrix XenDesktop Standard Advanced und Enterprise ab Juni 2009 enthalten XenDesktop Platinum Edition enth lt die universelle Access Gateway Lizenz die alle Access Gateway Features aktiviert R ckw rtskompatibilit t f r das Administration Tool Wenn Sie das Administration Tool f r Access Gateway Standard Edition Version 4 6 installieren und ltere Versionen des Ger ts im Netzwerk installiert sind k nnen Sie mit Version 4 6 des Admi
206. iesem Zusammenhang technisch unkorrekt da die Zertifikate von der privaten Zertifizierungsstelle signiert werden Wirklich selbst signierte Zertifikate werden hingegen nicht von einer Zertifizierungsstelle signiert und auch nicht von Citrix Serverkomponenten unterst tzt da dann keine vertrauenswiirdige Zertifizierungsstelle dahinter steht Wie bereits oben erw hnt werden aber von einer privaten Zertifizierungsstelle ausgegebene Zertifikate von Citrix Serverkomponenten unterst tzt da der privaten Zertifizierungsstelle vertraut werden kann Zertifikatsperrlisten Zertifikatsperrlisten Certificate Revocation Lists CRLs k nnen nicht vom Administrator konfiguriert werden Wenn ein Benutzer eine Verbindung zum Access Gateway unter Verwendung eines Clientzertifikats herstellt verwendet das Access Gateway die CRLDistributionPoints Erweiterung im Clientzertifikat sofern vorhanden um ber HTTP nach relevanten CRLs zu suchen Das Clientzertifikat wird dann mit diesen CRLs abgeglichen Netzwerkmeldungen an nicht vorhandene IP Adressen Wenn die auf das Access Gateway hochgeladene Datei sdconf rec ung ltig ist sendet das Access Gateway u U Meldungen an nicht vorhandene IP Adressen Netzwerk berwachungseinrichtungen k nnten dies als Netzwerkspamming einstufen Dieses Problem k nnen Sie beseitigen indem Sie eine g ltige sdconf rec Datei auf das Access Gateway hochladen Anhang D Problembehandlung beim Access Gateway 275 Das Acc
207. iesen Schritten bewirkt der Administrator Folgendes Silvio Branco und Lisa Marth k nnen die Benutzeranmeldeinformationen Gast Silvio Branco oder Gast Lisa Marth zur Authentifizierung beim Bereich Gast auf dem Access Gateway eingeben Bei der Authentifizierung m ssen Silvio Branco und Lisa Marth den Bereichsnamen als Bestandteil ihrer Benutzeranmeldeinformationen einschlieBen da sie sich bei einem Bereich authentifizieren der nicht der Authentifizierungsbereich Default ist Silvio Branco und Lisa Marth verwenden auBerdem das Kennwort das der Administrator fiir sie fiir die Authentifizierung beim Access Gateway festgelegt hat Der Administrator hat diese Kennw rter beim Erstellen von Silvio Branco und Lisa Marth als lokale Benutzer auf dem Access Gateway eingegeben 266 Citrix Access Gateway Standard Edition Administratordokumentation e Silvio Branco und Lisa Marth d rfen auf alle in der Zugriffssteuerungsliste der Benutzergruppe Default definierten Ressourcen zugreifen da No authorization als Autorisierungstyp des Bereichs Gast angegeben ist In diesem Beispiel k nnen Silvio Branco und Lisa Marth nur auf den Webkonferenzserver im internen Netzwerk zugreifen weil nur diese Netzwerkressource f r die Benutzergruppe Default definiert ist Szenario f r das Konfigurieren der lokalen Autorisierung f r lokale Benutzer Durch geringf giges ndern der unter Szenario f r das Erstellen von Gastkonten mit der Liste
208. iguriert Benutzer k nnen sich ber ihre LDAP Anmeldeinformationen bei dem LDAP Verzeichnis authentifizieren das im Authentifizierungsbereich Default angegeben ist Auf Basis ihrer Gruppenmitgliedschaft im LDAP Verzeichnis und auf dem Access Gateway d rfen Benutzer auf die internen Netzwerkressourcen zugreifen Nur Benutzer die Mitglied der Gruppe Vertriebsau endienst oder Au endiensttechniker sind d rfen auf Ressourcen im internen Netzwerk zugreifen Beide Gruppen m ssen jeweils im LDAP Verzeichnis und auf dem Access Gateway vorhanden sein Benutzer der Gruppe Vertriebsau endienst d rfen auf den Webkonferenzserver und die Dateiserver im Netzwerk 10 10 0 0 24 sowie auf die Webanwendung f r den Vertrieb im Netzwerk 10 60 10 0 24 zugreifen Die Benutzer aus dem Bereich Vertrieb k nnen zwar auf die E Mail Anwendung auf dem Server mit der IP Adresse 10 10 25 50 jedoch nicht auf die E Mail Anwendung auf anderen E Mail Servern in den zugelassenen Netzwerken zugreifen Die Benutzer aus dem Bereich Vertrieb k nnen auch auf andere Netzwerkressourcen zugreifen die in den beiden zugelassenen Netzwerken sind Benutzer der Gruppe Au endiensttechniker d rfen auf den Webkonferenzserver und die Dateiserver im Netzwerk 10 10 0 0 24 und auf andere in diesem Netzwerk befindliche Netzwerkressourcen zugreifen Die Benutzer aus dem Bereich Technik k nnen zwar auch auf die E Mail Anwendung auf dem Server mit der IP
209. iir die Server auf denen Advanced Edition ausgef hrt wird kann die Verwendung sicherer Clientzertifikate angefordert werden Beachten Sie die folgenden Hinweise beim Konfigurieren der Verwendung von Clientzertifikaten Das Access Gateway Plug in kann Zertifikate aus dem Windows Benutzerprofil von einer Smartcard oder einem Hardwaretoken lesen das die Microsoft Crypto API unterst tzt Das Clientzertifikat stellt keine Authentifizierung des Benutzers dar sondern fungiert lediglich als zus tzliche Clientbedingung z B ein Endpunktscan Die Benutzer m ssen nach wie vor ihr Kennwort oder ihren Tokencode eingeben Installieren von Stammzertifikaten Auf allen Clientger ten die ber das Access Gateway eine Verbindung zum sicheren Netzwerk herstellen muss ein Stammzertifikat vorliegen Das Windows Betriebssystem und Internet Explorer unterst tzen bereits die meisten vertrauensw rdigen Stammzertifizierungsstellen Bei diesen Zertifizierungsstellen ist es also nicht n tig Stammzertifikate abzurufen und auf dem Clientger t zu installieren Wenn Sie jedoch eine andere Zertifizierungsstelle verwenden m ssen Sie die entsprechenden Stammzertifikate selbst abrufen und installieren 168 Citrix Access Gateway Standard Edition Administratordokumentation Abrufen eines Stammzertifikats von einer Zertifizierungsstelle Stammzertifikate sind bei denselben Zertifizierungsstellen erh ltlich wie Serverzertifikate Bekannte und ve
210. im Access Gateway Plug in im Optionen Dialogfeld konfiguriert W hrend der Installation wird auf dem Clientger t eine Installationsprotokolldatei CAG_Plug in log im Verzeichnis TEMP angelegt Verwenden Sie diese Protokolldatei bei der Problembehandlung von Installationsproblemen Benutzer k nnen einen Proxyserver auch manuell ber das Access Gateway Plug in konfigurieren Wird ein Proxyserver manuell konfiguriert wird dadurch die automatische Erkennung der Proxyeinstellungen deaktiviert So konfigurieren Sie einen Proxyserver manuell 1 Klicken Sie auf dem Clientger t auf Start gt Alle Programme gt Citrix gt Citrix Access Clients gt Citrix Access Gateway Eigenschaften 2 Aktivieren Sie im Dialogfeld Citrix Access Gateway Optionen unter Proxyeinstellungen die Option Proxyserver manuell konfigurieren 3 Geben Sie in den Feldern IP Adresse und Port die IP Adresse und die Portnummer ein 4 Wenn der Server eine Authentifizierung erfordert w hlen Sie Proxyserver erfordert Authentifizierung Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 145 Installieren des Access Gateway Plug ins mit dem MSI Paket Sie k nnen das Access Gateway Plug in auf dem Clientger t mit einem MSI Paket installieren Das Access Gateway Plug in wird pro Computer installiert Beim Erstellen des Pakets k nnen Sie festlegen dass die Installation mit erh hten Privilegien ausgef hrt wird sodas
211. im Server abgeschlossen sein muss Wenn sich Benutzer am Access Gateway anmelden geben sie die Anmeldeinformationen Benutzername und Kennwort ein die im Dom nenbenutzerkonto auf dem Windows NT 4 0 Server hinterlegt sind Das Access Gateway stellt eine Verbindung zum Windows NT 4 0 Server her und bergibt diese Anmeldeinformationen an den Server Der Server authentifiziert den Benutzer 104 Citrix Access Gateway Standard Edition Administratordokumentation So konfigurieren Sie NTLM Authentifizierung 1 2 Klicken Sie auf die Registerkarte Authentication Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen f r den Authentifizierungsbereich ein Wenn Ihre Site mehrere Authentifizierungsbereiche besitzt sollten Sie einen Namen verwenden aus dem deutlich der NTLM Bereich hervorgeht f r den Sie die Einstellungen festlegen Bei Bereichsnamen ist auf die Gro und Kleinschreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten Hinweis Wenn der Bereich Default NTLM Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 75 beschrieben W hlen Sie One Source und klicken Sie auf Add W hlen Sie im Dialogfeld Select Authentication Type unter Authentication type die Option NTLM authentication und klicken Sie aufOK Geben Sie im Dialogfeld f r den Bereich realm unter IP a
212. ind zwar drei E Mail Server vorhanden der Administrator m chte Remotebenutzern jedoch nur den Zugriff auf einen dieser E Mail Server gew hren Um den Zugriff auf die internen Netzwerkressourcen in diesem Szenario zu konfigurieren f hrt der Administrator diese beiden grundlegenden Arbeitsschritte aus Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung Konfigurieren des Access Gateways zur Unterst tzung des Zugriffs auf die internen Netzwerkressourcen Diese Arbeitsschritte werden im Folgenden jeweils n her erl utert Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 245 Vorbereiten der Konfiguration von LDAP Authentifizierung und Autorisierung Die Vorbereitung der Konfiguration von LDAP Authentifizierung und Autorisierung ist der erste Arbeitsschritt den der Administrator beim Szenario f r das Konfigurieren der LDAP Authentifizierung und Autorisierung vom ausf hrt Bei diesem Arbeitsschritt stellt der Administrator die Informationen zusammen die f r die Konfiguration des Access Gateways zur Unterst tzung von LDAP Authentifizierung und Autorisierung erforderlich sind Dabei sind die folgenden Arbeitsschritte erforderlich Festlegen welche internen Netzwerke die jeweils gew nschten Ressourcen enthalten Festlegen welche Benutzer aus den Abteilungen Vertrieb und Technik Remotezugriff ben tigen e Sammeln der LDAP Verzeichnisinformationen Festlegen welche intern
213. iner gespeicherten Konfiguration auf dem Access Gateway erforderlich Kennw rter werden in jedem Fall verwendet unabh ngig davon ob der private Schl ssel verschl sselt ist Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 53 So erstellen Sie eine Zertifikatsignieranforderung 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Geben Sie auf der Registerkarte Certificate Signing Request die erforderlichen Informationen ein und klicken Sie dann auf Generate Request Hinweis Geben Sie in das Feld Access Gateway FQDN den vollqualifizierten Dom nennamen ein der auf der Registerkarte General Networking aufgef hrt ist Geben Sie unter Password das Kennwort f r den privaten Schl ssel ein 3 Es wird eine CSR Datei erstellt Speichern Sie die CSR Datei auf dem lokalen Computer 4 Senden Sie das Zertifikat per E Mail an die Zertifizierungsstelle Der Zertifikatsanbieter sendet Ihnen per E Mail ein signiertes Zertifikat zur ck Installieren Sie dieses signierte Zertifikat auf dem Access Gateway Hinweis Beim Speichern der Access Gateway Konfiguration werden auch alle bereits installierten Zertifikate mit gesichert Nachdem Sie die Zertifikatsanforderung an die Zertifizierungsstelle gesendet haben f hren Sie die nachfolgenden Aufgaben auf dem Access Gateway erst dann wieder aus wenn Sie das signierte Zertifikat auf dem Ger t installiert haben E
214. ingservern ver ffentlicht werden bzw f r die Verwendung statischer Routen Konfigurieren von Datum und Uhrzeit Konfigurieren des Standardanmeldeseite f r das Access Gateway Plug in Konfigurieren von Namensdienstanbietern Die Namensaufl sung wird auf der Registerkarte Name Service Providers konfiguriert Hier k nnen Sie Einstellungen f r bis zu drei DNS Server und einen WINS Server angeben So legen Sie DNS und WINS Server fest 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t Klicken Sie auf die Registerkarte Name Service Providers Geben Sie unter First DNS server Second DNS Server oder Third DNS server die IP Adresse der einzelnen Server ein Geben Sie in das Feld DNS suffixes die Suffixe der Server ein Dies sind die DNS Suffixe der Server Die einzelnen Eintr ge in der Liste sind durch ein Leerzeichen voneinander getrennt Die Syntax f r die Eintr ge lautet site com Stellen Sie den Suffixen keinen Punkt voran Beispiel site com Standardm ig berpr ft das Access Gateway lediglich das Remote DNS des Benutzers Wenn ein Failover auf das lokale DNS des Benutzers m glich sein soll muss Split DNS zugelassen werden Weitere Informationen finden Sie unter Split DNS aktivieren auf Seite 161 Geben Sie in das Feld WINS Server die IP Adresse des Servers ein Klicken Sie auf Submit Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 59 B
215. initialisierung sind f nf UDP Socketverbindungen sichtbar Dies sind 10000 UDP steuert die Informationen zwischen dem Netzwerktreiber und der Portweiterleitung 10010 TCP UPD ist die Datennutzlast 10020 UDP wird f r DNS verwendet 10030 UDP wird f r ICMP verwendet 10040 UDP ist f r zuk nftige Verwendung reserviert Sichern von Verbindungen mit digitalen Zertifikaten Dieses Kapitel enth lt eine bersicht der in der Access Gateway L sung verwendeten Sicherheitstechnologien und soll Ihnen helfen Anzahl und Typ der jeweils erforderlichen Zertifikate zu ermitteln und zu entscheiden wie und wo Sie diese erhalten und installieren Dieses Kapitel enth lt Einf hrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate Beantragen von Zertifikaten Beantragen von Serverzertifikaten Verwenden von Windows Zertifikaten e Anfordern von Zertifikaten f r interne Verbindungen Verwenden von Platzhalterzertifikaten Wichtig Verwenden Sie zum Konfigurieren von Zertifikaten keine 512 Bit Schl sselpaare da diese oft Opfer von Brute Force Angriffen werden 224 Citrix Access Gateway Standard Edition Administratordokumentation Einfuhrung in Sicherheitsprotokolle Kryptografie und digitale Zertifikate Dieser Abschnitt enth lt eine Einf hrung in das SSL Secure Sockets Layer und das TSL Transport Layer Security Protokoll und bietet einen Uberblick tiber Kryptografi
216. ird die Registerkarte auch nicht angezeigt Im Folgenden finden Sie Vorschl ge f r Firewalls die h ufig mit dem Access Gateway eingesetzt werden Hinweis Vollst ndige Anweisungen zur Konfiguration der Firewalls finden Sie in der Herstellerdokumentation 198 Citrix Access Gateway Standard Edition Administratordokumentation McAfee Personal Firewall Plus Mit den McAfee Personal Firewall Plus Einstellungen kann das Access Gateway Plug in eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen Bei den Einstellungen wird davon ausgegangen dass als Sicherheitsstufe die Einstellung Standardsicherheit ausgew hlt ist Stellen Sie sicher dass die IP Adresse oder der IP Adressbereich der zugelassenen Ressourcen als vertrauenswiirdige IP Adressen hinzugef gt wurden W hlen Sie in der Liste der Systemdienste alle Dienste aus die tiber die VPN Verbindung verwendet werden sollen Hinweis Wenn das Access Gateway Plug in installiert ist werden Sie standardm ig von Personal Firewall Plus aufgefordert den Zugriff f r diese Anwendung zu gew hren oder zu sperren W hlen Sie Zugriff gew hren Norton Personal Firewall Bei Norton Personal Firewall mit den Standardeinstellungen k nnen Sie einfach auf die Warnmeldungen reagieren wenn Sie das erste Mal versuchen das Access Gateway Plug in zu starten oder wenn Sie auf einen gesperrten Speicherort oder eine gesperrte Anwendung zugreifen
217. isterkarte Access Policy Manager auf eine Benutzergruppe und klicken Sie dann auf Properties 2 Aktivieren Sie auf der Registerkarte General unter Application options die Option Deny applications without policies Es ist m glich einer Anwendung den Zugriff auf das Netzwerk zu verweigern w hrend alle anderen Anwendungen auf das Netzwerk zugreifen k nnen 128 Citrix Access Gateway Standard Edition Administratordokumentation So verweigern Sie einer Anwendung den Zugriff auf das Netzwerk 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine Benutzergruppe und klicken Sie dann auf Properties Ds Deaktivieren Sie auf der Registerkarte General unter Application options die Option Deny applications without policies 3 Klicken Sie auf OK und schlie en Sie das Dialogfeld Properties 4 Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy 5 Geben Sie einen Namen f r die Richtlinie ein und klicken Sie auf OK 6 Geben Sie im Bereich Application resource unter Application den Anwendungsnamen ein oder klicken Sie auf Browse um die Anwendung zu suchen und auszuw hlen Wenn dieses Feld ausgef llt ist wird das Feld MDS automatisch ausgef llt 7 Wenn Sie die Anwendung auf einen bestimmten Netzwerkpfad beschr nken m chten klicken Sie im linken Bereich unter Network Resources auf eine Netzwerkressource und zieh
218. iten Firewall auf Die Ports die f r die Durchquerung der zweiten Firewall ge ffnet sein m ssen sind abh ngig von den Netzwerkressourcen f r deren Zugriff die externen Benutzer autorisiert sind Wenn Sie beispielsweise die externen Benutzer f r den Zugriff auf einen Webserver im internen Netzwerk autorisieren und der Server Port 80 nach HTTP Verbindungen abh rt muss entsprechend HTTP an Port 80 durch die zweite Firewall zugelassen werden Stellvertretend f r die externen Clientger te stellt das Access Gateway die Verbindung durch die zweite Firewall zum HTTP Server im internen Netzwerk her Mit den Verwaltungstools des Access Gateways h ren au erdem die folgenden Ports nach Verbindungen ab Port 9001 ber diesen Port erfolgen Verbindungen zum Administration Portal Port 9002 ber diesen Port erfolgen Verbindungen zum Administration Tool 24 Citrix Access Gateway Standard Edition Administratordokumentation Access Gateway in einem gesicherten Netzwerk Sie k nnen das Access Gateway im gesicherten Netzwerk installieren In diesem Szenario ist in der Regel eine Firewall zwischen dem Internet und dem gesicherten Netzwerk Das Access Gateway ist hinter der Firewall und steuert den Zugriff auf die Netzwerkressourcen Gesichertes Netzwerk Nei J 7 z E Mail Server Mail S0 Ww i Uber das Access Internet Access Gateway Gateway Plug in vebundenes Clientgerat Web oder Anwendungsserver
219. ix Access Gateway Plug in anmelden Auf dem Access Gateway k nnen mehrere RSA Bereiche konfiguriert werden Alle RSA Bereiche m ssen die Datei sdconf rec verwenden und auf den gleichen RSA ACE Server verweisen Das Access Gateway unterst tzt RSA ACE Server Version 5 2 und h her Au erdem werden auch Replikationsserver unterst tzt Die Replikationsserverkonfiguration wird auf dem RSA ACE Server vorgenommen und ist Teil der Datei sdconf rec die auf das Access Gateway hochgeladen wird Wenn dies auf dem RSA ACE Server konfiguriert ist versucht das Access Gateway eine Verbindung zu den Replikationsservern herzustellen falls es zu einem Ausfall oder Verlust der Netzwerkverbindung mit dem prim ren Server kommt Hinweis Wenn Sie einen RADIUS Server auf einem RSA Server ausf hren konfigurieren Sie die RADIUS Authentifizierung wie unter Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 90 beschrieben Ist ein Benutzer nicht auf dem RSA ACE Server oder wenn die Authentifizierung auf diesem Server fehlschl gt berpr ft das Access Gateway den Benutzer anhand der lokal auf dem Access Gateway gespeicherten Benutzerinformationen sofern auf der Registerkarte Settings des Bereichs die Option Use the local user database on the Access Gateway aktiviert ist Das Access Gateway unterst tzt den Next Token Modus Wenn ein Benutzer drei falsche Kennw rter eingibt fordert das Citrix Access Gateway Plug in den Benutzer au
220. ix Access Gateway Standard Edition Administratordokumentation Verbergen der Aufforderung fur die Antwortuberprufung Wenn Sie die RADIUS Authentifizierung verwenden und in Ihrer Bereitstellung Challenge Response eingesetzt wird erhalten Benutzer zwei Uberpriifungsaufforderungen fiir die Antwort Sie verhindern mit dieser Einstellung dass die zweite Aufforderung angezeigt wird Dies gilt fiir RADIUS Bereitstellungen mit SafeWord und Gemalto Protiva So verbergen Sie die Antwortsaufforderung Wahlen Sie im RADIUS SafeWord oder Gemalto Protiva Authentifizierungsbereich unter Advanced Options die Option Hide the Verify Response prompt und klicken Sie auf Submit Konfigurieren von Zweimethodenauthentifizierung Das Access Gateway unterst tzt Zweimethodenauthentifizierung bei der sich Benutzer mit zwei Authentifizierungstypen anmelden miissen Sie haben auf der Registerkarte Authentication die M glichkeit f r einen Bereich zwei Authentifizierungsmethoden zu konfigurieren z B LDAP und SafeWord Der Bereich Default kann f r die Zweimethodenauthentifizierung konfiguriert werden Es k nnen Bereiche mit einer Authentifizierungsmethode und Bereiche mit Zweimethodenauthentifizierung nebeneinander bestehen So k nnen Sie z B einen oder mehrere Bereich e f r ein einzelnes Authentifizierungsverfahren und zus tzlich einen oder mehrere Bereich e einrichten die f r Zweimethodenauthentifizierung konfiguriert sind In einer gemisch
221. k nnen Sie auf der Registerkarte Access Policy Manager die Ressourcen definieren auf die diese Benutzer Zugriff haben sollen Weitere Informationen zum Konfigurieren von lokalen Benutzern finden Sie unter Konfigurieren lokaler Benutzer auf Seite 79 Wenn Sie die Autorisierung auf dem Access Gateway aktivieren werden die Benutzergruppeninformationen nach dem Authentifizieren des Benutzers vom Authentifizierungsserver abgerufen Wenn der vom Authentifizierungsserver abgerufene Gruppenname mit einem lokal auf dem Access Gateway erstellten Gruppennamen bereinstimmt werden die Eigenschaften der lokalen Gruppe f r die vom Authentifizierungsserver abgerufene Gruppe verwendet 116 Citrix Access Gateway Standard Edition Administratordokumentation Wichtig Die Gruppennamen auf den Authentifizierungsservern und auf dem Access Gateway m ssen identisch sein auch hinsichtlich der Gro und Kleinschreibung Konfigurieren von Zugriffssteuerungslisten Jeder Benutzer sollte mindestens einer Gruppe angeh ren die lokal auf dem Access Gateway definiert ist Wenn Benutzer keiner Gruppe angeh ren wird anhand von Zugriffssteuerungslisten bestimmt auf welche Ressourcen der Benutzer Zugriff hat Diese Zugriffssteuerungslisten k nnen mit der Option Deny access without access control list ACL folgenderma en angepasst werden Wenn die Option Deny Access aktiviert ist k nnen Benutzer keine Verbindung herstellen e Wenn die Option
222. karte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Date 3 Aktivieren Sie unter Synchronization Mode die Option Network Time Protocol NTP 4 Geben Sie in das Feld NTP server den vollqualifizierten Dom nennamen des Servers ein 5 W hlen Sie unter Synchronization interval einen Zeitplan f r die Updates und klicken Sie auf Submit Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 67 Verwenden der Standardportalseite Die Standardportalseite ist eine HTML Seite auf der Benutzer die Art der Verbindung ausw hlen k nnen die von einem Remotecomputer aus hergestellt werden soll Die Benutzer k nnen die Verbindung entweder von der Webportalseite aus herstellen oder den Access Gateway Plug in verwenden der auf ihren Computern installiert ist Weitere Informationen zu den Anmeldeseiten und den verschiedenen M glichkeiten zum Aufbauen einer Verbindung durch die Benutzer finden Sie unter Konfigurieren von Anmelde und Portalseiten f r das Citrix Access Gateway Plug in auf Seite 171 Von der Webportalseite aus starten Benutzer das Secure Access Das Secure Access ist f r Verbindungen von privaten Computern aus gedacht weil die Daten aus dem Netzwerk zu dem Benutzer eine Verbindung herstellen an die Computer der Benutzer bertragen werden So stellen Sie eine Verbindung von der Standardportalseite aus her 1 Geben Sie in einem Webbrowser die Webadresse des
223. kehrs erfolgt nur wenn das digitale Zertifikat von einer Zertifizierungsstelle signiert ist Wenn ber eine Verbindung gesendeter Verkehr nicht authentifiziert wird kann es bei der Verbindung zu Man in the Middle Angriffen kommen Bei einem solchen Angriff fangen Dritte den ffentlichen Schl ssel ab der vom Access Gateway an das Access Gateway Plug in gesendet wird und nutzen diesen um das Access Gateway vorzut uschen Die Folge ist dass der Benutzer ohne es zu wissen Authentifizierungsinformationen an den Angreifer sendet der mit diesen Informationen eine Verbindung zum Access Gateway herstellen kann Mit Zertifikaten die von einer Zertifizierungsstelle signiert sind werden solche Angriffe verhindert Wenn das auf dem Access Gateway installierte Zertifikat nicht von einer Zertifizierungsstelle signiert ist wird Access Gateway Plug in Benutzern bei der Anmeldung eine Sicherheitswarnung angezeigt Eine solche Sicherheitswarnung wird Access Gateway Plug in Benutzern so lange angezeigt bis Sie ein von einer Zertifizierungsstelle signiertes Zertifikat auf dem Access Gateway und ein entsprechendes Zertifikat auf den Computern der Benutzer installiert haben Benutzer k nnen die Sicherheitswarnung im Dialogfeld mit den Secure Access Verbindungseigenschaften auch deaktivieren 234 Citrix Access Gateway Standard Edition Administratordokumentation Verwenden von Windows Zertifikaten Das Access Gateway enthalt den Certificate Reques
224. ktops in XenDesktop verbunden Abh ngig davon wie das Access Gateway mit XenApp bereitgestellt wird k nnen Benutzer sich nur mit den Citrix XenApp Plug ins der neue Name f r Citrix Presentation Server Clients nur mit dem Access Gateway Plug in oder gleichzeitig mit beiden Plug ins verbinden Benutzer verbinden sich mit ver ffentlichten Desktops ber Citrix Desktop Receiver Weitere Informationen finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Kapitel 2 Einf hrung in das Citrix Access Gateway 17 Hinweis Die Installation von Desktop Receiver oder Desktop Receiver Embedded Edition auf dem gleichen Computer wie die XenApp Plug ins die Clientsoftware f r Citrix XenApp wird nicht unterst tzt Wenn Benutzer vom gleichen Computer sowohl auf virtuelle Desktops als auch auf virtuelle Anwendungen zugreifen sollen empfiehlt Citrix die XenApp Plug ins auf den virtuellen Desktops zu installieren die Sie mit XenDesktop erstellen So k nnen auf den virtuellen Desktops virtuelle Anwendungen verwendet werden Verbindungen mit Access Gateway Advanced Edition In diesem Szenario ist das Access Gateway in der DMZ installiert Anf ngliche TCP IP Einstellungen f r das Ger t werden w hrend der Installation des Ger ts konfiguriert Erweiterte Einstellungen f r die Verwaltung des Access Gateways werden mit der Access Management Console konfiguriert die Teil v
225. l sselt werden k nnen falls Nachrichten von Dritten abgefangen werden Datenintegrit t Der Empf nger verschl sselter Daten wei ob diese von einem Dritten manipuliert oder ge ndert wurden Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 225 Einfuhrung in die Kryptografie F r die sichere Daten bertragung nutzt das SSL TLS Protokoll Kryptografie Mit Kryptografie k nnen Nachrichten verschl sselt werden um die Vertraulichkeit zu gew hrleisten Kryptografie dient auch zur Authentifizierung der Identit t einer Nachrichtenquelle und zur Gew hrleistung der Integrit t ihres Inhalts Nachrichten werden mit einem Geheimcode einer sogenannten Verschl sselungssammlung bertragen Mit der Verschl sselungssammlung wird eine Nachricht verschl sselt damit sie nur vom Absender und Empf nger verstanden werden kann Da nur der Empf nger der den Geheimcode hat die urspr ngliche Nachricht entschl sseln kann ist die Vertraulichkeit gew hrleistet Mit Kryptografie kann der Absender spezielle Informationen in eine Nachricht aufnehmen die nur dem Absender und Empf nger bekannt sind Der Empf nger kann die Nachricht durch Pr fen dieser speziellen Informationen authentifizieren Durch Kryptografie ist auch gew hrleistet dass der Inhalt einer Nachricht nicht ge ndert wird Zu diesem Zweck schlie t der Absender einen kryptografischen Vorgang namens Hashfunktion in die Nachricht ein Eine Hashfunktion ist eine ma
226. lche Zertifizierungsstelle das Zertifikat ausgestellt hat und ob diese Zertifizierungsstelle f r den Client vertrauensw rdig ist Wenn die Zertifizierungsstelle nicht vertrauensw rdig ist fordert der Webbrowser den Benutzer auf das Zertifikat zu akzeptieren oder abzulehnen d h den Zugriff auf diese Website zu akzeptieren oder abzulehnen Wenn Frau Meier jetzt eine Nachricht von Herrn M ller erh lt wird anhand der lokal gespeicherten Informationen ber die Zertifizierungsstelle gepr ft ob diese Zertifizierungsstelle das Zertifikat auch tats chlich ausgestellt hat Diese Informationen sind eine Kopie des eigenen Zertifikats der Zertifizierungsstelle und werden als Stammzertifikat bezeichnet In der Regel haben Zertifikate ein gemeinsames Format das normalerweise auf ITU Standards basiert Zertifikate enthalten u a folgende Informationen Aussteller Die Organisation von der die Zertifikate ausgestellt werden Betreff Die Identit t die durch das Zertifikat identifiziert wird e G ltigkeitsdauer Das Start und Ablaufdatum eines Zertifikats ffentlicher Schl ssel Der zum Verschl sseln der Daten verwendete ffentliche Schl ssel des Betreffs Signatur des Ausstellers Die digitale Signatur der Zertifizierungsstelle f r das Zertifikat anhand dessen seine Authentizit t gew hrleistet wird Einige Unternehmen und Organisationen fungieren derzeit als Zertifizierungsstellen u a VeriSign Baltimore Entrust
227. le 36 Befehl 36 272 PKI siehe Public Key Infrastructure Portalseite 118 Anpassen 175 Benutzernamensvariable 175 Downloadvorlagen 174 Installation 176 Konfigurieren 177 mehrere Anmeldeoptionen 178 Standard 67 Verbinden mit 67 Vorlagen 174 Vorlagen herunterladen 184 Ports Administration Portal 23 Administration Tool 23 einzelne DMZ 23 LDAP Verbindungen 81 Lizenzierung 49 Umleitung 41 Portscan 222 Portumleitung 41 Presentation Server Clients siehe Citrix XenApp Plug ins Private Zertifizierungsstellen 232 Privater Schl ssel Entschl sseln 235 Installation ber Windows Computer 55 kennwortgesch tzt 52 Kombinieren mit signiertem Zertifikat 237 Problembehandlung Webinterface 269 Produktdokumentation 12 Protokollierung Administration Portal 185 Administration Tool 185 Clientverbindungsprotokolle 217 Serielle Konsole 36 Proxyserver Konfigurieren 144 Konfigurieren f r Access Gateway Plug in 144 154 Public Key Encryption 227 Public Key Infrastructure 224 R RADIUS Authentifizierung 26 90 139 Konfigurieren 92 Konfigurieren Internet Authentication Server 90 SafeWord 100 RADIUS Autorisierung 90 Konfigurieren 93 Real Time Monitor 19 Ressourcen Konfigurieren f r Benutzergruppen 125 Ressourcengruppen 122 Entfernen von Benutzergruppen 126 Konfigurieren 117 Richtlinien Anmeldeseiten 172 IP Pooling 159 RIP Authentifizierung 61 Routen dynamisches Routing konfigurieren 60 61 statisch 62 statisches Routing konfiguri
228. le Sign on konfiguriert werden die Windows Anmeldeinformationen des Benutzers zur Authentifizierung an das Access Gateway weitergegeben Aktivieren Sie Single Sign on nur dann wenn das Clientger t sich an der Dom ne Ihrer Organisation anmeldet Wenn Single Sign On aktiviert ist und Benutzer eine Verbindung von einem Clientger t herstellen das nicht in Ihrer Dom ne ist werden sie aufgefordert sich anzumelden Wenn das Secure Access Plug in f r den Single Sign On Betrieb unter Windows konfiguriert ist wird es automatisch gestartet sobald sich Benutzer an Windows anmelden Die Windows Anmeldeinformationen des Benutzers werden zur Authentifizierung an das Access Gateway weitergegeben Aktivieren von Single Sign On f r das Secure Access Plug in erm glicht Vorg nge auf dem Clientger t wie Installationsskripte und die automatische Laufwerkszuordnung So konfigurieren Sie das Secure Access Plug in f r Windows Single Sign on 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte General unter Session options die Option Enable single sign on with Windows und klicken Sie auf OK Hinweis Wenn Sie Zweimethodenauthentifizierung konfiguriert haben ist die Verwendung von Single Sign On nicht m glich Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access G
229. len der Access Gateway Konfiguration auf Seite 192 Neuinstallation der Software bei Model 2010 Bei Model 2010 wird die Access Gateway Software tiber einen USB Stick installiert Die Software wird auf den Windows Computer heruntergeladen und dann auf den USB Stick kopiert Sie stecken den USB Stick in das Access Gateway ein und installieren die Software neu Achtung Beim Kopieren der Access Gateway Software auf den USB Stick werden alle ggf auf dem USB Stick vorhandenen Daten gel scht Achten Sie daher darauf dass auf dem USB Stick keine wichtigen Daten sind Wenn Sie den Windows Computer oder das Access Gateway neu starten w hrend der USB Stick angeschlossen ist wird versucht auf den Computer oder das Access Gateway ein neues Image aufzuspielen Kapitel 10 Wartung des Access Gateways 191 Systemvoraussetzungen Um ein Installationspaket auf einem USB Stick zu erstellen brauchen Sie Folgendes 1 GB USB Stick NET Framework 1 0 Eines der folgenden Windows Betriebssysteme muss installiert sein Windows 2000 Server Windows 2000 Professional Windows Server 2003 Windows XP Windows Vista USB Port auf dem Windows Computer x Access Gateway CD Appliance Software Imaging Tool das Sie von der Citrix Support Website erhalten Hinweis Access Gateway Model 2010 unterst tzt nur Version 4 5 5 oder h her der Access Gateway Software So installieren Sie die Access Gateway Serversoftware auf
230. lieren zus tzlicher Access Gateway Ger te auf Seite 201 Kapitel 3 Planen der Bereitstellung 29 Bereitstellen von Access Gateway Geraten hinter einem Load Balancer Um sowohl Skalierbarkeit als auch hohe Verf gbarkeit zu unterst tzen k nnen Sie einen Load Balancer und dann mehrere Access Gateway Ger te hinter diesem Load Balancer installieren Durch die Bereitstellung mehrerer Ger te hinter einem Load Balancer k nnen Sie eine gro e Anzahl Remotebenutzer unterst tzen und dabei die hohe Verf gbarkeit des internen Netzwerks f r die Benutzer sicherstellen Gesichtertes Netzwerk Ne E Mail Server w gt N B Kr Access Gateway cc cc gt Internet Server Load w Balancer Uber das Access Access Gateway Gateway Plug in verbundenes Clientger t N Web oder Anwendungs server Mehrere Access Gateway Ger te hinter einem Load Balancer Weitere Informationen zur Bereitstellung mehrerer Access Gateway Ger te hinter einem Load Balancer finden Sie unter Installieren zus tzlicher Access Gateway Ger te auf Seite 201 30 Citrix Access Gateway Standard Edition Administratordokumentation Bereitstellen von Access Gateway Advanced Edition Access Gateway Advanced Edition besteht aus dem Access Gateway Ger t und der Advanced Access Control Software Wenn Sie Access Gateway Advanced Edition erworben haben m ssen Sie das Access Gateway so konfigurieren dass es mit der Adva
231. linien f r den Benutzer gelten sollen Angenommen einige Benutzer geh ren sowohl zur Gruppe Vertrieb als auch zur Gruppe Support Wenn die Gruppe Vertrieb in der Liste User Groups vor der Gruppe Support steht gelten f r die Benutzer die beiden Gruppen angeh ren die Richtlinien der Gruppe Vertrieb Steht die Gruppe Support in der Liste vor der Gruppe Vertrieb gelten die Richtlinien der Gruppe Support Die Gruppenpriorit t wirkt sich auf die folgenden Richtlinien aus e Portalseitenkonfiguration Hiermit wird festgelegt welche Portalseite Benutzer beim Herstellen einer Verbindung sehen Die Portalseite kann die Vorlage sein die im Access Gateway enthalten ist oder sie kann auf das Webinterface verweisen Benutzertimeouts Hiermit wird festgelegt wie lange eine Sitzung aktiv sein kann Es gibt folgende Timeouts Sitzungstimeouts bei denen eine Verbindung nach einer festgelegten Zeitspanne geschlossen wird Netzwerkaktivit tstimeouts wobei das Access Gateway Plug in w hrend eines festgelegten Zeitraums keinen Netzwerkverkehr feststellt Timeout bei inaktiven Sitzungen wobei das Access Gateway Plug in w hrend eines festgelegten Zeitraums keine Maus oder Tastaturaktivit t feststellt Aktivieren von Split DNS Hiermit wird das Failover auf das lokale DNS des Benutzers erm glicht Benutzerneuanmeldung nach einem Netzwerkausfall oder wenn der Computer aus dem Ruhezustand oder dem Standby
232. llung die keine automatischen Upgrades zul sst Bei Access Gateway Plug in Versionen vor 4 5 ist diese Einstellung wirkungslos Bei diesen Versionen werden Benutzer durch eine integrierte Funktion zum Upgrade aufgefordert wenn sie versuchen eine Verbindung zu einer h heren Version des Access Gateways herzustellen 150 Citrix Access Gateway Standard Edition Administratordokumentation Wenn Benutzer das Plug in aktualisieren sollen werden Benutzer zum Upgrade aufgefordert wenn beide der folgenden Bedingungen erf llt sind Das Access Gateway Plug in von Access Gateway Version 4 5 wird zu einem sp teren Zeitpunkt durch eine aktualisierte Version ersetzt Ein Benutzer stellt ber Access Gateway Plug in Version 4 5 eine Verbindung zum Access Gateway her So werden Upgrades von fr heren Versionen des Access Gateway Plug ins erzielt 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Tun Sie Folgendes W hlen Sie Prompt to upgrade earlier versions of Access Gateway Plug in Oder W hlen Sie Force upgrade to earlier versions of the Access Gateway Plug in 3 Klicken Sie auf Submit Wenn Benutzer das Access Gateway Plug in nicht aktualisieren sollen w hlen Sie Do not upgrade earlier versions of the Access Gateway Plug in Herstellen einer Verbindung mit einer Webadresse Wenn Benutzer eine Verbindung ber eine Webseite herstellen werden sie entweder aufgefordert sich anzumelden oder
233. ls Herunterladen der Access Gateway Dokumentation Herunterladen einer Portalseitenvorlage Herunterladen der Muster E Mail f r Benutzer Herunterladen von Access Gateway spezifischen SNMP Daten Konfigurieren des Administratorkennworts Das Access Gateway verf gt ber ein Standardadministratorkonto mit uneingeschr nktem Zugriff auf das Ger t Um das Access Gateway vor unbefugtem Zugriff zu sch tzen sollten Sie das Standardkennwort w hrend der Erstkonfiguration ndern Der Standardbenutzername f r den Access Gateway Administrator ist root und das zugeh rige Kennwort rootadmin Das Administratorkennwort kann im Administration Portal oder der seriellen Konsole ge ndert werden Citrix empfiehlt dass Sie das Administratorkennwort mit der seriellen Konsole nach der Installation des Ger ts ndern Weitere Informationen hierzu finden Sie unter Konfigurieren der TCP IP Einstellungen mit der seriellen Konsole auf Seite 36 Hinweis Wenn Sie das Standardkennwort f r das Administratorkonto auf den Standardwert zur cksetzen m chten m ssen Sie die Access Gateway Serversoftware neu installieren Das neue Kennwort darf bis zu 127 Zeichen enthalten Weder am Anfang noch am Ende darf ein Leerzeichen stehen Kapitel 10 Wartung des Access Gateways 185 So ndern Sie das Administratorkennwort im Administration Portal 1 Klicken Sie im Administration Portal auf der Registerkarte Administration auf Admin Password 2 G
234. lug ins Citrix Repeater Plug in 136 Citrix Solutions Advisers 12 Index 281 Citrix XenApp 16 118 E Bereitstellung 27 Split Tunneling 115 Eigenschaften Citrix XenApp Plug ins 16 Access Gateway Plug in 197 Citrix XenDesktop 18 Benutzergruppen 119 Bereitstellung 27 Gruppen 117 Clients Stammzertifikate 167 Eigenst ndige Bereitstellung 16 Clientverbindungsprotokolle 217 Eingabeaufforderung Clientzertifikate 165 Erstellen mehrerer Stammzertifikate 57 Access Gateway Advanced Edition 167 Endpunktressource Kriterien festlegen 165 Clientzugriff IP Pooling 118 Portalseite 177 Ressourcenzugriffssteuerung 125 Sitzungstimeout 117 Split DNS 118 Cluster Erstellen 203 RSA SecurID 98 Computer Ruhezustand 158 Standby Modus 158 CRLs Certificate Revocation Lists siehe Zertifikatsperrlisten D Datum einstellen 66 Desktopfreigabe 19 DNS Access Gateway Plug in Fenster 156 Failover auf lokales 58 Namensaufl sung 277 Servereinstellungen 58 DNS WINS siehe Name Service Providers Dokumentation Download 184 Dokumentation Produkt 12 Dom nenanmeldeskripte 162 Double Hop DMZ 27 TCP IP Einstellungen 41 Downloads Access Gateway Dokumentation 184 Administration Portal 184 Administration Tool 184 Portalseitenvorlagen 184 Duplex Mode 39 Dynamisches Routing 60 61 RIP Authentifizierung aktivieren 61 Dynamisches Routing Speichern in statischer Routingtabelle 62 Entfernen 130 Konfigurieren 129 Endpunktrichtlinie 130 Ausdruck er
235. lung wirkt sich nicht auf Clientverbindungen aus Falls Sie mehrere Einstellungen gleichzeitig aktivieren wird die Clientverbindung geschlossen sobald die erste Timeoutfrist abl uft So aktivieren Sie Sitzungstimeouts 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Geben Sie auf der Registerkarte General unter Session options den Zeitraum in Minuten f r die folgenden Einstellungen ein User session time out Benutzersitzungstimeout Network inactivity time out Netzwerkinaktivit tstimeout Idle session time out Timeout wegen inaktiver Sitzung 4 Klicken Sie auf OK Konfigurieren von Websitzungstimeouts Wenn Benutzer sich mit der Anmeldeseite am Access Gateway anmelden werden Cookies gesetzt um zu ermitteln ob die Websitzung noch auf dem Access Gateway aktiv ist Wenn das Access Gateway Cookie abl uft und die Authentifizierung ber die Anmeldeseite aktiviert ist werden Benutzer aufgefordert die Authentifizierungsinformationen einzugeben damit er die Websitzung wieder aufnehmen kann Damit wird der Zeitraum beschr nkt in dem Netzwerkangriffe ber eine unbeaufsichtigte Websitzung erfolgen k nnten sodass ein gewisser Grad an Sicherheit entsteht So aktivieren Sie das Websitzungstimeout 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Geben Sie unter Access options
236. m Desktop klicken 5 Geben Sie im Dialogfeld Administrator Login unter Host IP or FQDN die IP Adresse des Access Gateways ein 6 Geben Sie im Feld Administrator Username als Benutzernamen root ein 7 Geben Sie im Feld Administrator Password das Standardkennwort rootadmin oder das neue Kennwort ein wenn es mit der seriellen Konsole oder dem Administration Portal ge ndert wurde und klicken Sie auf Connect Kapitel 10 Wartung des Access Gateways 183 Administration fur mehrere Versionen von Access Gateway Wenn Sie in Ihrem Netzwerk mehrere Ger te haben und es sich dabei um verschiedene Versionen handelt k nnen Sie mehrere Instanzen des Administration Tools auf Ihrem Computer installieren Mit dem Access Gateway Version 4 6 Administration Tool lassen sich fr here Versionen des Access Gateway Ger ts verwalten Mit dem Access Gateway Version 4 6 Administration Tool lassen sich fr here Versionen des Access Gateway Ger ts verwalten Auf der Registerkarte Access Gateway Cluster klicken Sie auf der Registerkarte Statistics und dann auf die Registerkarte System um herausfinden welche Version des Tools Sie verwenden Bei Verbindungen zu lteren Versionen des Access Gateways werden neue Features nicht unterst tzt Im Administration Tool werden diese Einstellungen nicht deaktiviert sondern ohne Warnung ignoriert Die folgenden Features werden nicht unterst tzt wenn Sie eine Verbindung zu fr heren Versionen des Access Gateways
237. m Dialogfeld Einw hlprofil bearbeiten alle anderen Eintr ge au er dem Eintrag Vendor specific Wenn Sie mit dem Konfigurieren der RAS Richtlinie im IAS fertig sind gehen Sie zum Access Gateway und konfigurieren Sie die RADIUS Authentifizierung und Autorisierung 92 Citrix Access Gateway Standard Edition Administratordokumentation So konfigurieren Sie die RADIUS Authentifizierung 1 2 Klicken Sie auf die Registerkarte Authentication Geben Sie im Feld Realm name einen Namen f r den Authentifizierungsbereich ein w hlen Sie One Source und klicken Sie dann auf Add Hinweis Wenn der Bereich Default RADIUS Authentifizierung verwenden soll entfernen Sie den Bereich Default wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 75 beschrieben Besitzt Ihre Site mehrere Authentifizierungsbereiche verwenden Sie einen Namen aus dem deutlich hervorgeht f r welchen RADIUS Bereich Sie die Einstellungen festlegen Bei Bereichsnamen ist auf die Gro und Kleinschreibung zu achten Dar ber hinaus k nnen sie Leerzeichen enthalten W hlen Sie unter Authentication type die Option RADIUS authentication und klicken Sie auf OK Das Dialogfeld f r den Authentifizierungsbereich wird ge ffnet Geben Sie unter IP Address die IP Adresse des RADIUS Servers ein Geben Sie im Feld Port die Portnummer ein Die Standardportnummer ist 1812 Geben Sie im Feld Server secret den geheimen RADIUS
238. m Schnelleinstieg fiir Citrix Access Gateway Standard Edition 2 Stecken Sie das Stromkabel in die Steckdose 3 Verbinden Sie das serielle Kabel mit einem Windows Computer ein Kreuzkabel mit einem Windows Computer oder ein RJ 45 Netzwerkkabel mit einem Netzwerkswitch und dem Access Gateway 4 Konfigurieren Sie die TCP IP Einstellungen mit den Anweisungen unter Konfigurieren der TCP IP Einstellungen f r Access Gateway auf Seite 36 Windows L 5 Computer mit La a lt a Netzwerk en g Terminal lt cess i i ea emulations Windows Kreuz Gateway eh an kabel Serielles Kabel Windows 10 20 30 Netzwerk Computer Rave switch Be Access Netzwerk gt Gateway kabel 10 20 30 1 Gateway Leichteres Setup Schwierigeres Setup Anschlussm glichkeiten f r das Access Gateway ber ein Kreuzkabel einen Netzwerkswitch oder eine Terminalemulation 36 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der TCP IP Einstellungen fur Access Gateway Die vorkonfigurierte IP Adresse f r Access Gateway ist 10 20 30 40 Sie k nnen die IP Adresse mit einem seriellen Kabel und einem Terminalemulationspro gramm ndern oder das Access Gateway mit Netzwerkkabeln verbinden und das Administration Tool verwenden Die IP Adresse kann mit einem seriellen Kabel und einem Terminalemulationsprogramm oder durch Anschlie en des Access Gateways mit Netzwerkkabeln und dem Administration To
239. m signierten Zertifikat auf Seite 237 210 Citrix Access Gateway Standard Edition Administratordokumentation 4 Laden Sie das SSL Serverzertifikat und den privaten Schl ssel auf alle Access Gateway Ger te hinter dem Load Balancer hoch A ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway Klicken Sie auf die Registerkarte Administration C Klicken Sie unter Secure certificate management neben Upload a pem private key and signed certificate auf Browse D Navigieren Sie zu der Datei mit dem kombinierten privaten Schl ssel und dem signierten PEM Zertifikat markieren Sie diese Datei und klicken Sie auf ffnen Wiederholen Sie Schritt 4 f r alle Access Gateway Ger te hinter dem Load Balancer und laden Sie jeweils den privaten Schl ssel und das PEM Zertifikat auf die einzelnen Access Gateway Ger te hoch Festlegen eines Load Balancers als Standardgateway Bei einigen Load Balancern oder Netzwerkkonfigurationen muss der Load Balancer als Standardgateway f r das Access Gateway festgelegt werden Wenn Sie den Load Balancer als Standardgateway festlegen konfigurieren Sie statische Routen auf dem Access Gateway sodass der gesamte Datenverkehr der f r das sichere Netzwerk bestimmt ist an ein internes Netzwerk weitergeleitet wird das diesen internen Datenverkehr problemlos bew ltigen kann Erh lt das Access Gateway ein Paket das an eine unbekannte IP Adresse gerichtet ist
240. matisch 226 Citrix Access Gateway Standard Edition Administratordokumentation Bei der Kryptografie mit einem 6ffentlichen Schliissel der sogenannten asymmetrischen Verschliisselung wird ein Schliisselpaar fiir die Verschliisselung und Entschliisselung verwendet Dieses Kryptografieverfahren basiert auf Schl sselpaaren n mlich dem ffentlichen und dem privaten Schl ssel Der ffentliche Schl ssel kann ohne Gef hrdung des privaten Schl ssels weitergeleitet werden letzterer muss von seinem Eigent mer geheim gehalten werden Da diese Schl ssel nur paarweise funktionieren l sst sich die mit dem ffentlichen Schl ssel vorgenommene Verschl sselung nur mit dem entsprechenden privaten Schl ssel entschl sseln Das folgende Beispiel veranschaulicht die Arbeitsweise des Kryptografieverfahrens mit einem ffentlichen Schl ssel Frau Meier m chte geheime Informationen mit Herrn M ller austauschen Frau Meier verschl sselt ihre Nachricht mit dem ffentlichen Schl ssel von Herrn M ller den Herr M ller ffentlich bekannt gegeben hat und leitet die verschl sselte Nachricht an Herrn M ller weiter Wenn Herr M ller die Nachricht erh lt entschl sselt er sie mit seinem privaten Schl ssel damit er die Nachricht lesen kann Wenn Herr M ller eine Antwort an Frau Meier sendet verschl sselt er die Nachricht mit dem ffentlichen Schl ssel von Frau Meier Bei Eingang der Antwort von Herrn M ller entschl ss
241. me Benutzername oder mit Benutzername Bereichsname anmelden Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 77 So erstellen Sie einen Bereich l Geben Sie auf der Registerkarte Authentication unter Add an Authentication Realm in das Feld Realm name den Namen des Bereichs ein Tun Sie Folgendes Wenn die Benutzer nur einen Authentifizierungstyp verwenden klicken Sie auf One Source Oder Wenn die Benutzer zwei Authentifizierungstypen verwenden klicken Sie auf Two Source Klicken Sie auf Add W hlen Sie unter Authentication type die Authentifizierungsmethode aus und klicken Sie auf OK Wenn Sie Zweimethodenauthentifizierung konfigurieren w hlen Sie unter Primary authentication type den Typ aus mit dem sich Benutzer zuerst anmelden W hlen Sie unter Secondary authentication type den Typ aus mit dem sich die Benutzer als zweites anmelden Weitere Informationen hierzu finden Sie unter Konfigurieren von Zweimethodenauthentifizierung auf Seite 108 Konfigurieren Sie die Einstellungen f r den Bereich und klicken Sie dann auf Submit Konfigurieren von Single Sign On beim Webinterface Wenn Sie Single Sign On f r das Webinterface konfigurieren m ssen Sie den Bereich Default f r die Authentifizierung verwenden Wenn Sie einen anderen Bereich f r das Single Sign On am Webinterface verwenden k nnen Benutzer sich nicht anmelden Weitere Informationen finden Sie in der Citrix Access Gatew
242. mentation Sitzungen mit SSL Version 2 und Zertifikatketten auf mehreren Ebenen Wenn Zwischenzertifikate Zertifikate mit mehreren Ebenen Teil Ihres sicheren Zertifikatsuploads sind stellen Sie sicher dass die Zwischenzertifikate in der hochzuladenden Zertifikatdatei enthalten sind SSL Version 2 unterst tzt die Zertifikatsverkettung nicht Alle Zertifikate die mehr als eine Ebene besitzen m ssen s mtliche Zwischenzertifikate enthalten da das System anderenfalls unbrauchbar werden k nnte Informationen dazu wie Sie der hochzuladenden Zertifikatdatei Zwischenzertifikate hinzuf gen k nnen finden Sie unter Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 223 H 323 Protokoll Das Access Gateway unterst tzt das H 323 Protokoll nicht Anwendungen die das H 323 Protokoll verwenden wie z B NetMeeting von Microsoft k nnen mit dem Access Gateway nicht verwendet werden Zertifikate mit 512 Bit Schl sselpaaren Verwenden Sie zum Konfigurieren von Zertifikaten keine 512 Bit Schl sselpaare da diese oft Opfer von Brute Force Angriffen werden Laufwerkszuordnung kann nicht mit einer Anwendungsrichtlinie eingeschr nkt werden Sie k nnen nicht mit einer Anwendungsrichtlinie Benutzeraktivit ten die direkt innerhalb des Windows Betriebssystems verarbeitet werden z B die Laufwerkszuordnung einschr nken Hierf r m ssen Sie eine Netzwerkgruppenrichtlinie verwenden Beispiel Wenn Sie verhindern m chten da
243. mmt die Position an der Sie das Access Gateway bereitstellen wenn es zusammen mit einer Serverfarm genutzt werden soll Hierbei stehen zwei Optionen zur Auswahl Ist das interne Netzwerk in Ihrem Unternehmen mit einer einzelnen DMZ gesch tzt stellen Sie das Access Gateway direkt in der DMZ bereit Ist das interne Netzwerk in Ihrem Unternehmen dagegen mit zwei DMZs gesch tzt stellen Sie je ein Access Gateway in den beiden Netzwerksegmenten in einer Double Hop DMZ Konfiguration bereit Diese Konfiguration wird nur mit Citrix XenApp unterstiitzt Weitere Informationen tiber die Bereitstellung des Access Gateways mit einer Serverfarm oder in einer Double Hop DMZ finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Bereitstellen von Access Gateway in einer Double Hop DMZ Einige Unternehmen verwenden drei Firewalls zum Schutz ihrer internen Netzwerke Diese drei Firewalls unterteilen die DMZ in zwei Bereiche sodass ein zus tzliches Ma an Sicherheit f r das interne Netzwerk erzielt wird Diese Netzwerkkonfiguration wird als Double Hop DMZ bezeichnet Durch die Bereitstellung des Access Gateways in einer Double Hop DMZ schaffen Sie einen zentralen Zugriffspunkt auf eine Serverfarm die sich in einem internen Netzwerk befindet Fiir diese Konfiguration mtissen Sie zwei Access Gateway Ger te bereitstellen eines in der ersten DMZ und eines in der zweiten D
244. move all license files auf Remove All 3 Starten Sie das Access Gateway neu 272 Citrix Access Gateway Standard Edition Administratordokumentation 4 Klicken Sie auf der Registerkarte Licensing neben Install a license file auf Browse und navigieren Sie zur Lizenzdatei 5 Klicken Sie auf Offnen um die Datei zu installieren 6 Starten Sie das Access Gateway neu Definieren von Subnetzeinschrankungen fur zugangliche Netzwerke Im Feld Accessible networks auf der Registerkarte Global Cluster Policies k nnen bis zu 24 Subnetze definiert werden Wenn mehr als 24 Subnetze angegeben werden ignoriert das Access Gateway die berz hligen Eintr ge Virtualisierungssoftware Wenn Benutzer sich am Access Gateway von zwei Computern anmelden auf denen Virtualisierungssoftware ausgef hrt wird wie z B Xen VMWare oder Hyper V und die Virtualisierungssoftware die gleiche MAC Adresse f r beide Computer verwendet l sst Access Gateway nicht zu dass beide Instanzen der Clientsoftware gleichzeitig ausgef hrt werden Das Access Gateway verwendet die MAC Adresse zum Verwalten der Lizenzen und l sst immer nur eine Benutzersitzung pro MAC Adresse gleichzeitig zu ICMP bertragungen Wenn eine ICMP bertragung aus irgendeinem Grund fehlschl gt gibt das Access Gateway eine Request timed out Fehlermeldung zur ck Wenn ein Benutzer versucht das Access Gateway zu pingen sendet es immer ein ICMP Standardpaket an den Remotezielho
245. msteuerung und im Startmen sind Eintr ge vorhanden es wurden aber keine Dateien auf das Clientger t kopiert 5 Um das Access Gateway Plug in zu installieren geben Sie an einer Eingabeaufforderung Folgendes ein msiexec i Pfad zu administrativem Image CAGSE MSI Sie k nnen die Installation auf durch Aufrufen der Startmen verkn pfung starten Die Erstinstallation des Access Gateway Plug ins auf dem Clientger t wird mit dieser Methode durchgef hrt Wenn ein Upgrade f r das Plug in verf gbar ist aktualisieren Sie das Paket auf der Dateifreigabe Wenn Benutzer sich mit dem Access Gateway verbinden navigieren sie zu der Freigabe und f hren cagsetup exe aus um das Upgrade zu erhalten Wenn das Access Gateway Plug in Anmeldeskripte ausf hrt kann mit dem Skript gepr ft werden ob Upgrades vorhanden sind und das Plug in ggf installiert werden Sie k nnen auch den Benutzern eine E Mail schicken dass das Upgrade verf gbar ist und einen Link zu der Freigabe mit der aktualisierten Version von cagsetup exe den MSI und MST Dateien angeben 148 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Single Sign on fur Windows Betriebssysteme Standardm ig ffnen Windows Benutzer eine Verbindung indem Sie das Secure Access Plug in ber das Startmen aufrufen Das Plug in kann f r Benutzer automatisch beim Anmelden an Windows gestartet werden wenn Sie Single Sign on aktivieren Ist Sing
246. n Ansprechpartner vor die bei Fragen angerufen werden k nnen Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 233 Beantragen von Serverzertifikaten Der Sicherheitsexperte Ihrer Organisation ist wahrscheinlich mit der Beschaffung von Serverzertifikaten vertraut Auf den Websites g ngiger Zertifizierungsstellen wie beispielsweise von VeriSign finden Sie Anweisungen zum Erstellen von Serverzertifikaten mit verschiedenen Webserverprodukten Weitere Informationen zum Erstellen einer Zertifikatsanforderung finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 51 Hinweis Mehrere Zertifizierungsstellen bieten Testserverzertifikate f r einen befristeten Zeitraum an Es k nnte sinnvoll sein ein Testzertifikat zum Testen des Access Gateways zu beantragen bevor es in einer Produktionsumgebung bereitgestellt wird Dabei sollten Sie darauf achten dass Sie die entsprechenden Teststammzertifikate herunterladen und auf jedem Clientger t installieren das eine Verbindung ber das Access Gateway herstellt Digitale Zertifikate und deren Verwendung im Access Gateway Das Access Gateway verwendet digitale Zertifikate zum Verschl sseln und Authentifizieren von ber eine Verbindung gesendetem Verkehr Wenn das auf dem Access Gateway installierte digitale Zertifikat nicht von einer Zertifizierungsstelle signiert ist wird der Verkehr zwar verschl sselt aber nicht authentifiziert Die Authentifizierung des Ver
247. n mit RADIUS verwendet werden versucht das Access Gateway Benutzer mit dem gecachten Kennwort neu zu authentifizieren Dies passiert wenn mit dem Administration Tool Anderungen am Access Gateway gemacht wurden oder wenn die Verbindung zwischen dem Access Gateway Plug in und dem Access Gateway unterbrochen und wiederhergestellt wurde Es kann auch vorkommen wenn Benutzerverbindungen f r die Verwendung von Citrix XenApp Plug ins konfiguriert sind und die Verbindung zum Webinterface mit RADIUS oder LDAP hergestellt wird Wenn Benutzer eine Anwendung starten und verwenden dann zum Webinterface zuriickkehren um eine andere Anwendung zu starten verwendet das Access Gateway gecachte Informationen um die Benutzer zu authentifizieren Sie k nnen verhindern dass Einmal Kennw rter im Cache gespeichert werden Benutzer m ssen dann ihre Anmeldeinformationen noch einmal eingeben Wenn Sie RSA SecurlD Gemalto Protiva oder SafeWord als Authentifizierungstyp verwenden ist diese Einstellung standardm ig aktiviert und kann nicht ge ndert werden Wenn Sie RADIUS verwenden ist diese Einstellung standardm ig deaktiviert Sie k nnen sie aber aktivieren So verhindern Sie das Cachen von Einmal Kennw rtern 1 Klicken Sie im Administration Tool auf die Registerkarte Authentication 2 ffnen Sie den Authentifizierungsbereich der das Einmal Kennwort verwendet 3 Wahlen Sie Use the password one time und klicken Sie auf Submit 108 Citr
248. n SafeWord Produkten von Secure Computing zu konfigurieren Authentifizierung mit einem PremierAccess RADIUS Server der zusammen mit SafeWord PremierAccess installiert und f r die Authentifizierung zugelassen wird e Authentifizierung mit einem SafeWord IAS A gent der eine Komponente von SafeWord RemoteAccess SafeWord for Citrix und SafeWord PremierAccess 4 0 ist Installation des SafeWord Webinterface Agents der mit dem Citrix Webinterface zusammenarbeitet Die Authentifizierung muss nicht auf dem Access Gateway konfiguriert werden und kann vom Citrix Webinterface bernommen werden In dieser Konfiguration werden weder der PremierAccess RADIUS Server noch der SafeWord IAS A gent verwendet 100 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der SafeWord Einstellungen auf dem Access Gateway Bei der Konfiguration des SafeWord Servers ben tigen Sie folgende Informationen IP Adresse des Access Gateways Diese sollte mit der in der Clientkonfiguration des RADIUS Servers konfigurierten Adresse bereinstimmen Gemeinsamer geheimer Schl ssel Dieser geheime Schl ssel ist auch auf der Registerkarte Authentication auf dem Access Gateway konfiguriert IP Adresse und Port des SafeWord Servers Konfigurieren Sie einen SafeWord Bereich zum Authentifizieren der Benutzer Das Access Gateway agiert als SafeWord Agent der im Namen der Benutzer authentifiziert wird die sich mit dem Acce
249. n es in dem Cluster Ger tl Ger t2 und Ger t3 gibt konfigurieren Sie das IP Pooling auf dem Ger t das die Einstellungen ver ffentlicht Wenn die Einstellungen ver ffentlicht wurden werden die IP Pooling Informationen auf die anderen Ger te in dem Cluster repliziert Wenn Sie einem Cluster in dem das IP Pooling konfiguriert ist ein Access Gateway hinzuf gen werden die IP Poolinginformationen entfernt Wenn Sie das IP Pooling auf dem neuen Ger t konfigurieren nach Sie es dem Cluster hinzugef gt haben erhalten Benutzer nicht die Adressen aus dem Pool So konfigurieren Sie IP Pooling f r eine Gruppe 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Benutzergruppe und klicken Sie dann auf Properties 3 Aktivieren Sie auf der Registerkarte Network die Option Enable IP pools 4 Klicken Sie mit der rechten Maustaste unter IP pool configuration auf ein Gateway und klicken Sie dann auf Change the IP Address Pool 5 Geben Sie unter Starting IP Address die erste IP Adresse des Pools ein 6 Geben Sie unter Number of IP addresses die Anzahl der IP Adressaliasse ein In allen IP Pools k nnen insgesamt bis zu 2000 IP Adressen vorhanden sein Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 161 7 Geben Sie unter Default gateway die IP Adresse des Gateways ein Wenn Sie dieses Feld leer lassen wird ein Acce
250. n sind die Sie hochladen Die Datei zum Hochladen muss das folgende Format haben private key Server Certificate Intermediate Certificate 0 Intermediate Certificate 1 Intermediate Certificate 2 Anfordern von Zertifikaten fur interne Verbindungen Um die Sicherheit interner Verbindungen zu erh hen die vom Access Gateway ausgehen k nnen Sie festlegen dass das Access Gateway die SSL Serverzertifikate validieren muss Das berpr fen von SSL Serverzertifikaten ist eine wichtige Sicherheitsma nahme da so Sicherheitsverletzungen wie Man in the Middle Angriffe zu verhindert werden k nnen Diese Einstellung bestimmt ob SSL Serverzertifikate f r vom Access Gateway zum internen Netzwerk initiierte Verbindungen berpr ft werden Die SSL Serverzertifikate werden gepr ft die das Webinterface und die Secure Ticket Authority pr sentiert Durch das Erzwingen der berpr fung der SSL Serverzertifikate erh ht sich die Sicherheit bei Verbindungen zwischen dem Access Gateway und den Servern auf denen Access Gateway Advanced Edition ausgef hrt wird Diese Verbindungen sind sicherheitssensibel weil sie zum Konfigurieren des Access Gateways und zum Gew hren oder Verweigern des Zugriffs auf Netzwerkressourcen unter Verwendung von Sitzungsrichtlinien verwendet werden Das Access Gateway setzt voraus dass die richtigen Stammzertifikate installiert werden die zum Signieren der Serverzertifikate verwendet werden Weitere Informationen z
251. n und der private Schl ssel wird damit verschl sselt Installieren des Software Upgrades Zum Hochladen der neuen Software auf das Ger t steht Ihnen das Administration Tool zur Verf gung Lesen Sie sich vor der Installation des Upgrades die Dokumentation zur Software durch Hinweis Wenn Sie ein Serverupgrade hochladen beendet das Access Gateway alle aktiven Sitzungen Es empfiehlt sich daher Upgrades m glichst dann durchzuf hren wenn der Netzwerkverkehr eher gering ist Kapitel 10 Wartung des Access Gateways 189 So laden Sie ein Upgrade auf das Access Gateway hoch 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte Administration 3 Klicken Sie unter Upgrade and configuration management neben Upload an upgrade or saved configuration auf Browse 4 Suchen Sie die Upgradedatei die hochgeladen werden soll und klicken Sie auf Offnen Die Datei wird hochgeladen und Sie werden zum Neustart des Access Gateways aufgefordert Hinweis Sie k nnen die Access Gateway Software auch ber die Seite Maintenance im Administration Portal aktualisieren Wenn Sie das Access Gateway aktualisieren werden alle Ihre Konfigurationseinstellungen gespeichert Informationen zum Speichern und Wiederherstellen einer Konfiguration finden Sie unter Speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 192 Neuinstallieren de
252. nced Access Control Software kommunizieren kann Legen Sie mit dem Administration Tool fest dass die Verwaltung der Einstellungen f r das oder die Gatewaycluster durch Advanced Access Control erfolgen soll Nach der Konfiguration von Advanced Access Control k nnen Sie mit dem Administration Tool nur noch ger tespezifische Einstellungen verwalten Achtung Wenn Sie festlegen dass Advanced Access Control das Access Gateway verwalten soll werden die entsprechenden Einstellungen im Administration Tool deaktiviert Wurden diese Einstellungen mit dem Administration Tool konfiguriert bevor Sie Advanced Access Control ausgew hlt haben m ssen Sie diese Einstellungen mit der Access Management Console noch einmal konfigurieren Weitere Informationen ber das Konfigurieren dieser Einstellungen in der Konsole finden Sie in der Administratordokumenation von Citrix Access Gateway Advanced Edition Wenn Sie die Administration mit Advanced Access Control deaktivieren werden die Einstellungen in der Access Management Console deaktiviert und vorhandene Konfigurationswerte entfernt Die Einstellungen die zuvor auf dem Access Gateway konfiguriert waren werden wiederhergestellt So aktivieren Sie Advanced Access Control 1 Wahlen Sie auf der Registerkarte Access Gateway Cluster ein Access Gateway Ger t aus und klicken Sie auf die Registerkarte Advanced Options 2 Klicken Sie auf Advanced Access Control 3 Geben Sie im Feld Server running Adv
253. ndardzertifikat zur ck das mit Access Gateway geliefert wurde 6 Change Administrative Password Hiermit k nnen Sie das Standardadministratorkennwort rootadmin ndern Kapitel 4 Erstmalige Installation des Access Gateways 37 Wichtig Citrix empfiehlt das Administatorkennwort zu ndern bevor Sie Access Gateway mit Ihrem Netzwerk verbinden Das neue Kennwort kann 6 127 ASCII Zeichen lang sein und darf nicht mit einem Leerzeichen beginnen Mit 7 Help zeigen Sie Hilfeinformationen an 8 Log Out Meldet Sie vom Access Gateway ab Hinweis Citrix empfiehlt dass Sie beide Netzwerkkarten im Ger t verwenden Nach dem Konfigurieren der TCP IP Einstellungen f r Interface 0 konfigurieren Sie mit dem Administration Tool die TCP IP Einstellungen f r Interface 1 So konfigurieren Sie TCP IP Einstellungen mit einem seriellen Kabel 1 Schlie en Sie das serielle Kabel an den 9 poligen seriellen Anschluss am Access Gateway und an einen Computer an auf dem eine Terminalemulationssoftware ausgef hrt werden kann Starten Sie den Terminalemulator auf dem Computer z B HyperTerminal Hinweis HyperTerminal ist unter Windows 2000 Server Windows Server 2003 oder Windows Server 2008 nicht automatisch installiert Verwenden Sie die Systemsteuerung bzw den Server Manager um HyperTerminal zu installieren Stellen Sie f r die serielle Verbindung 9600 Bit s 8 Datenbits keine Parit t und 1 Stoppbit ein Leg
254. ndungen im Zusammenhang mit dem Access Gateway Plug in Sie sollten f r jede Warnung die Verbindung zulassen ZoneAlarm Pro Damit das Access Gateway Plug in Client eine Verbindung zum Internet und den vom Access Gateway zugelassenen Ressourcen herstellen kann m ssen Sie den vollqualifizierten Dom nennamen des Ger ts als vertrauensw rdige Zone hinzuf gen 200 Citrix Access Gateway Standard Edition Administratordokumentation Installieren zusatzlicher Access Gateway Gerate Sie k nnen in Ihrem Netzwerk mehrere Access Gateway Ger te installieren Die zus tzlichen Ger te k nnen sich dabei in einem Cluster oder hinter einem Load Balancer befinden oder f r das Failover auf ein anderes Access Gateway im Netzwerk konfiguriert sein Wenn Access Gateway Ger te in einem Cluster angeordnet sind haben alle dieselben Einstellungen f r den Benutzerzugriff auf die internen Netzwerkressourcen Benutzer k nnen sich mit jedem Access Gateway Ger t im Cluster verbinden und erhalten die gleichen Zugriffsberechtigungen auf interne Netzwerkressourcen Mit der Installation mehrerer Access Gateway Ger te k nnen Sie Folgendes erreichen Skalierbarkeit berschreitet die Anzahl der Benutzer die Kapazit t eines einzelnen Access Gateways k nnen Sie zus tzliche Ger te installieren und so die Arbeitsbelastung bew ltigen e Hohe Verf gbarkeit Failover Sie k nnen mehrere Ger te installieren sodass in jedem Fall ein Access Ga
255. nen das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit einem oder mehreren LDAP Servern konfigurieren Ist ein Benutzer nicht in einem LDAP Verzeichnis oder schl gt die Authentifizierung bei einem Server fehl berpr ft das Access Gateway die Anmeldeinformationen des Benutzers anhand der lokal im Access Gateway gespeicherten Benutzerinformationen F r die LDAP Autorisierung m ssen die Gruppennamen in Active Directory auf dem LDAP Server und auf dem Access Gateway bereinstimmen inklusive Leerzeichen und Gro Kleinschreibung Die LDAP Authentifizierung wird standardm ig mit SSL TLS gesichert Es gibt zwei Arten sicherer LDAP Verbindungen Bei der ersten Art nimmt der LDAP Server die SSL TLS Verbindung auf einem Port an der sich von dem Port unterscheidet der die unverschl sselten LDAP Verbindungen annimmt Wenn Benutzer die SSL TLS Verbindung herstellen kann der LDAP Verkehr ber diese Verbindung gesendet werden Bei der zweiten Art sind sowohl unsichere als auch sichere LDAP Verbindungen zul ssig wobei die Verbindungen alle ber denselben Serverport laufen In diesem Fall muss der Client zum Herstellen einer sicheren Verbindung zun chst eine unverschl sselte LDAP Verbindung einrichten Anschlie end wird ber diese Verbindung der LDAP Befehl StartTLS an den Server gesendet Wenn der LDAP Server StartTLS unterst tzt wird die Verbindung in eine sichere LDAP Verbindung mit TLS umgewandelt F r LDAP Verbin
256. nerweiterung cer gekennzeichnet Sollen Zertifikate f r interne Verbindungen validiert werden muss auf dem Access Gateway ein Stammzertifikat installiert sein So installieren Sie ein Stammzertifikat auf dem Access Gateway 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf der Registerkarte Administration neben Manage trusted root certificates auf Manage 3 Klicken Sie auf der Registerkarte Manage auf Upload Trusted Root Certificate 4 Navigieren Sie zur Datei und klicken Sie auf ffnen Mit Remove Trusted Root Certificate k nnen Sie das Stammzertifikat wieder entfernen Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 57 Installieren mehrerer Stammzertifikate Es ist m glich mehrere Stammzertifikate auf dem Access Gateway zu installieren diese Zertifikate m ssen sich allerdings in einer einzigen Datei befinden Beispiel Sie k nnen eine Textdatei in einem Texteditor erstellen die alle Stammzertifikate enth lt ffnen Sie die einzelnen Stammzertifikate in einer anderen Instanz des Texteditors Kopieren Sie den Inhalt der Zertifikate und f gen Sie diesen kopierten Inhalt jeweils unterhalb der letzten Zeile in die neue Textdatei ein Sobald Sie alle Zertifikate in die neue Textdatei kopiert haben speichern Sie die Datei im PEM Format und laden Sie sie auf das Access Gateway hoch Erstellen von Stammzertifikaten ber eine Eingabeaufford
257. netz 10 10 x x Subnetz 10 20 10 x IP Adressen 10 50 0 60 und 10 60 0 10 Erstellen Sie zu diesem Zweck eine Netzwerkressourcengruppe indem Sie das folgende Paar aus IP Adresse und Subnetzmaske festlegen 10 10 0 0 255 255 0 0 10 20 10 0 255 255 255 0 10 50 0 60 255 255 255 255 10 60 0 10 255 255 255 255 Die Subnetzmaske k nnen Sie in der CIDR Notation Classless Inter Domain Routing angeben Beispiel Sie k nnten 10 60 0 10 32 als letzten Eintrag festlegen Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 123 Beachten Sie beim Arbeiten mit Ressourcengruppen dartiber hinaus die folgenden Hinweise Sie k nnen den Zugriff zus tzlich einschr nken indem Sie f r ein Paar aus IP Adresse und Subnetzmaske einen Port einen Portbereich und ein Protokoll angeben So k nnten Sie z B festlegen dass eine Ressource nur Port 80 und das TCP Protokoll verwenden kann Beim Konfigurieren des Ressourcengruppenzugriffs f r eine Benutzergruppe k nnen Sie den Zugriff auf jede Ressourcengruppe zulassen oder verweigern Auf diese Weise k nnen Sie einen Teil einer ansonsten zugelassenen Ressource ausschlie en So k nnen Sie z B einer Benutzergruppe den Zugriff auf 10 20 10 0 24 erlauben w hrend Sie aber den Zugriff auf 10 20 10 30 verweigern Verweigerungsregeln haben eine h here Priorit t als Zulassungsregeln Die einfachste Methode allen Benutzergruppen den Zugriff auf alle Netzwerkressourcen bereitzustellen
258. nfigurieren von Ressourcengruppen 22 2222 00 cece cece rennen 117 Erstellen von Benutzergruppen 2 2 2222 00 cece cece eee eens 118 Eigenschaften der Standardgruppe Default 222ce222 119 Konfigurieren von Ressourcen f r eine Benutzergruppe 22222222 120 Konfigurieren von Benutzern die mehreren Gruppen angeh ren 121 Konfigurieren von Netzwerkressourcen 0 e cee cee eee eee 122 Zulassen und Verweigern von Netzwerkressourcen und Anwendungsrichtlinien 125 Festlegen von Anwendungsrichtlinien 20 0 c eee eee 126 Konfigurieren von Endpunktrichtlinien und ressourcen 129 Erstellen einer Endpunktrichtlinie fiir eine Gruppe 0005 130 Festlegen der Priorit t von Gruppen 0 ete ences 134 Konfigurieren von Vorauthentifizierungsrichtlinien 135 Konfigurieren des Access Gateways f r Citrix Branch Repeater 136 Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in SystemvoraussetZUngen 6 cece nent nett e eee 138 Betriebssysteme 0 cece cent nent nen 138 Webbrowser ses ee Bere ee ea LK oS ale 138 Funktionsweise von Benutzerverbindungen 000 cee eee eee 139 Einrichten des sicheren Tunnels 0 c te ta eee eee eee eee 140 Tunneln des privaten Netzwerkverkehrs ber sichere Verbindungen 140 Beenden des sicheren Tunnels und Zur
259. ng dieses Arbeitsschritts treffen die beiden folgenden Aussagen Zu Silvio Branco und Lisa Marth k nnen die Benutzeranmeldeinformationen Gast Silvio Branco oder Gast Lisa Marth zur Authentifizierung beim Bereich Gast auf dem Access Gateway eingeben Silvio Branco und Lisa Marth d rfen auf alle in der Zugriffssteuerungsliste der Benutzergruppe Au endiensttechniker definierten Ressourcen zugreifen da Local authorization als Autorisierungstyp f r den Bereich Gast angegeben ist Hierdurch erhalten lokale Benutzer dieselbe Autorisierung wie die Benutzergruppe auf dem Access Gateway der sie zugewiesen sind Ihnen wird nicht die mit der Benutzergruppe Default auf dem Access Gateway verkn pfte Autorisierung erteilt wie es der Fall ist wenn No authorization f r den Authentifizierungsbereich Gast aktiviert ist 268 Citrix Access Gateway Standard Edition Administratordokumentation Problembehandlung beim Access Gateway Im Folgenden wird erl utert was Sie bei Problemen tun k nnen die beim Einrichten und Verwenden des Access Gateways auftreten Problembehandlung bei Webinterface Verbindungen In diesem Abschnitt werden Probleme erlautert die beim Herstellen einer Verbindung zum Webinterface auftreten k nnen Das Webinterface wird angezeigt ohne dass Anmeldeinformationen eingegeben wurden Wenn Sie die Webadresse f r das Access Gateway eingegeben haben wird das Webinterface angezeigt ohne dass der Benu
260. nistration Portal 184 Administration Tool 181 Administratorkennwort 184 externen Zugriff deaktivieren mit Administration Tool 186 externen Zugriff mit der seriellen Konsole deaktivieren 36 Port 23 Protokollierung 185 verf gbare Downloads 184 Wartung 185 Zertifikate Installation 54 Administration Tool Downloads 184 Installation 38 182 internes Failover 273 Kein Zugriff 275 mehrere Versionen 183 Port 23 Protokollierung 185 R ckw rtkompatiblit t 19 Administratorkennwort 184 Administration Portal 184 serielle Konsole 36 Aktualisieren von Lizenzen 49 Anmeldeseite 118 Authentifizierung aktivieren 172 Authentifizierung deaktivieren 177 Anmeldeskripte 162 INDEX 280 Citrix Access Gateway Standard Edition Administratordokumentation Anwendungsrichtlinien 118 126 Konfigurationsbeispiel 258 Laufwerkszuordnung kann nicht eingeschrankt werden 276 Zulassen und Verweigern 125 Archiv des Systemprotokolls 216 Asymmetrische Verschliisselung 226 Authentifizierung 92 Aktivieren von RSA SecurID 97 Anmeldeseite aktivieren 172 Anmeldeseite deaktivieren 177 Benutzergruppen 115 Bereiche 76 erweiterte Optionen 106 Gemalto Protiva 18 102 keine Autorisierung 74 Konfigurieren 72 LDAP 81 139 LDAP Konfigurationsbeispiel 244 252 lokal 78 139 Lokale Benutzer 79 Netzwerkunterbrechung 158 NTLM 104 139 277 RADIUS 90 139 RSA SecurlD 95 139 SafeWord 99 139 Standardbereich 75 Zertifikate
261. nistration Tool integriert Sie k nnen die Netzwerkaktivit t auf dem Access Gateway auf der Registerkarte Logging auf der Registerkarte Access Gateway Cluster sehen Anwendungsstatistiken finden Sie auf der Registerkarte Access Gateway Cluster Folgende Aufgaben lassen sich auf der Registerkarte Statistics durchf hren Anzeigen der Access Gateway Systeminformationen Anzeigen von globalen Statistiken die aus einer Reihe von Leistungsindikatoren bestehen die Parameter wie Benutzeranmeldungen und Lizenzverwendung aufzeichnen Diese Indikatoren werden beim jedem Neustart des Access Gateways zur ckgesetzt Anzeigen der aktuellen Benutzer die mit dem Access Gateway Plug in Citrix XenApp Plug ins oder Citrix Desktop Receiver angemeldet sind Auf der Registerkarte Net Tools k nnen Sie mehrere Integrit tspr fungen f r Access Gateway und das Netzwerk durchf hren Dazu geh ren Ping Traceroute Portscannen und Packetcapturing Dieses Kapitel enth lt e Anzeigen und Herunterladen von Systemmeldungsprotokollen SNMP Protokolle Anzeigen von Systemstatistiken berwachen der Access Gateway Operationen 216 Citrix Access Gateway Standard Edition Administratordokumentation Anzeigen und Herunterladen von Systemmeldungsprotokollen F r das Access Gateway gibt es zwei Arten der Protokollierung S mtliche Protokolle werden lokal gespeichert und k nnen im Administration Tool oder im Administration Portal
262. nistration Tools Einstellungen auf lteren Versionen des Ger ts konfigurieren nderungen an Access Gateway Features Die folgenden Access Gateway Features wurden aus dem Access Gateway entfernt Kioskmodus Desktopfreigabe Administration Desktop und Real Time Monitor 20 Citrix Access Gateway Standard Edition Administratordokumentation Planen der Bereitstellung In diesem Kapitel werden Bereitstellungsszenarios fiir das Access Gateway vorgestellt Sie k nnen das Access Gateway am Rand des internen Netzwerks Intranet Ihres Unternehmens bereitstellen sodass ein zentraler Zugriffspunkt auf alle Servern Anwendungen und andere Netzwerkressourcen im internen Netzwerk entsteht Alle Remotebenutzer m ssen eine Verbindung zum Access Gateway herstellen bevor sie auf die Ressourcen im internen Netzwerk zugreifen k nnen In diesem Abschnitt wird auch die Bereitstellung des Access Gateways mit Citrix XenApp oder Citrix XenDesktop besprochen Wenn Citrix XenApp Teil der Bereitstellung ist k nnen Sie das Access Gateway in einer Single Hop oder einer Double Hop DMZ Konfiguration bereitstellen Double Hop Bereitstellungen werden nicht f r Citrix XenDesktop unterst tzt Weitere Informationen ber die Bereitstellung des Access Gateways mit einer Serverfarm finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Dieses Kapitel enth lt Bereitstellen
263. nnwort f r den Benutzer ein und klicken Sie auf OK Dieses Kennwort m ssen Benutzer bei der Anmeldung eingeben Kennw rter m ssen zwischen 6 und 127 Zeichen lang sein So l schen Sie einen Benutzer vom Access Gateway 1 2 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie im linken Bereich in der Liste Local Users mit der rechten Maustaste auf den entsprechenden Benutzer und klicken Sie dann auf Remove Zuweisen von Benutzern zu mehreren Gruppen Nachdem Sie die lokale Benutzerliste erstellt haben k nnen Sie die Benutzer den auf dem Access Gateway erstellten Gruppen hinzuf gen Wenn Sie mehrere Gruppen mit einem Benutzerkonto verkn pfen werden f r den Benutzer die Eigenschaften der ersten auf der Registerkarte Group Priority ausgew hlten Gruppe verwendet So f gen Sie einen Benutzer einer Gruppe hinzu Klicken Sie in der Liste Local Users auf den Benutzer und ziehen Sie ihn auf eine Gruppe Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 81 Andern von Kennwortern fur Benutzer Im Administration Tool k nnen Sie das Kennwort eines Benutzers ndern So ndern Sie das Kennwort eines Benutzers 1 Klicken Sie auf der Registerkarte Access Policy Manager mit der rechten Maustaste auf einen Benutzer und klicken Sie dann auf Set Password 2 Geben Sie das Kennwort zweimal ein und klicken Sie dann auf OK Konfigurieren von LDAP Authentifizierung und Autorisierung Sie k n
264. ntisch mit dem vorigen Arbeitsschritt f r die Benutzer im Vertrieb Wie bereits oben erw hnt m ssen die Techniker auf einen Webkonferenzserver einen E Mail Server und mehrere Dateiserver zugreifen Alle diese Server sind im Netzwerk 10 10 0 0 24 258 Citrix Access Gateway Standard Edition Administratordokumentation So gew hren Sie den Benutzern aus dem Bereich Technik Zugriff auf das Netzwerk l Erstellen Sie im rechten Bereich der Registerkarte Access Policy Manager im Access Gateway Administration Tool eine neue Netzwerkressource Technikerressourcen Geben Sie beim Erstellen dieser Ressource nur das Netzwerk 10 10 0 0 24 an 2 Erweitern Sie im linken Bereich die Benutzergruppe Au endiensttechniker 3 Ziehen Sie die Netzwerkressource Technikerressourcen aus dem rechten Bereich der Registerkarte Access Policy Manager auf Network Policies der Gruppe Au endiensttechniker im linken Bereich Jetzt ist die Netzwerkressource Technikerressourcen ein Bestandteil der Zugriffssteuerungsliste f r die Gruppe Au endiensttechniker Hinweis In komplexeren Umgebungen muss der Zugriff u U auf ein bestimmtes Segment eines gr eren Netzwerks eingeschr nkt werden Beispiel Ein Administrator muss den Zugriff auf das Netzwerk 10 0 20 x verweigern doch den Zugriff auf alles andere im Netzwerk 10 0 x x zulassen Der Administrator erstellt eine Netzwerkressource f r das Netzwerk 10 0 20 x und eine Netzwerkressource f
265. och nicht aus Citrix r t daher vor der Bereitstellung des Access Gateways in einer Produktionsumgebung ein signiertes SSL Serverzertifikat von einer anerkannten Zertifizierungsstelle einzuholen und auf das Access Gateway hochzuladen Wird das Access Gateway in einer Umgebung bereitgestellt in der es als Client bei SSL Handshakes fungiert also verschl sselte Verbindungen zu einem anderen Server einleitet muss au erdem ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway installiert werden Weitere Informationen zu Stammzertifikaten finden Sie unter Installieren von Stammzertifikaten auf dem Access Gateway auf Seite 56 Wenn Sie beispielsweise das Access Gateway mit Citrix XenApp und mit dem Webinterface installieren k nnen Sie Verbindungen vom Access Gateway zum Webinterface mit SSL verschl sseln Bei dieser Konfiguration muss ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway installiert werden Weitere Informationen finden Sie unter Erstellen und Installieren von Zertifikaten auf Seite 51 und Sichern von Verbindungen mit digitalen Zertifikaten auf Seite 223 26 Citrix Access Gateway Standard Edition Administratordokumentation Unterstutzung bei der Authentifizierung Sie k nnen das Access Gateway so konfigurieren dass die Benutzer authentifiziert werden und damit die Zugriffsstufe Autorisierungsstufe der Benutzer auf die Netzwerkressourcen im internen Netzwerk gesteuert wird Vor der Bereits
266. ol angegeben wurde So aktivieren Sie dynamisches Routing 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Wahlen Sie unter Select routing type die Option Dynamic routing RIP 4 Klicken Sie auf Enable dynamic gateway wenn das von den Routingservern bereitgestellte Standardgateway verwendet werden soll 5 Wahlen Sie unter Routing Interface den oder die Access Gateway Netzwerkadapter aus der oder die fiir das dynamische Routing verwendet werden soll en In der Regel befinden sich die Routingserver innerhalb der Firewall sodass Sie ftir diese Einstellung den internen Netzwerkadapter Interface 1 wahlen sollten 6 Klicken Sie auf Submit Dynamische Routen werden nicht in der Access Gateway Routingtabelle aufgefiihrt Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 61 Aktivieren der RIP Authentifizierung fur das dynamische Routing Zur Erh hung der Sicherheit bei dynamischem Routing k nnen Sie das Access Gateway f r die RIP Authentifizierung konfigurieren Hinweis Der RIP Server muss RIP 2 Pakete fiir die RIP Authentifizierung bertragen RIP 1 unterst tzt keine Authentifizierung Bei der RIP Authentifizierung m ssen sowohl der RIP Server als auch das Access Gateway so konfiguriert werden dass eine bestimmte Authentifizierungs Zeichenfolge verwendet wird Der RIP Server kann diese Zeichenfol
267. ol ge ndert werden Konfigurieren der TCP IP Einstellungen mit der seriellen Konsole Sie k nnen die serielle Konsole verwenden um die IP Adresse und die Subnetzmaske der Access Gateway Schnittstelle 0 sowie die IP Adresse des Standardgatewayger ts festzulegen Alle anderen Einstellungen m ssen Sie im Administration Tool konfigurieren Sie k nnen die serielle Konsole auch zum Testen von Verbindungen mit dem Ping Befehl verwenden Wenn Sie Access Gateway ber die serielle Konsole erreichen m chten bevor Sie Konfigurationseinstellungen w hlen verwenden Sie ein serielles Kabel um das Access Gateway mit einem Computer zu verbinden auf dem Terminalemulationssoftware ist Die serielle Konsole bietet die folgenden Optionen f r die Konfiguration von Access Gateway Mit 0 Express Setup konfigurieren Sie die TCP IP Einstellungen f r Interface 0 auf der Registerkarte Access Gateway Cluster gt General Networking e Mit 1 Ping testen Sie die Konnektivit t zu anderen Netzwerkger ten Mit 2 Link Modes stellen Sie den Duplex und Geschwindigkeitsmodus f r Interface 0 auf der Registerkarte Access Gateway Cluster gt General Networking ein 3 External Administration Port Hiermit werden Verbindungen zum Administration Tool von einem Remotecomputer aktiviert oder deaktiviert Mit 4 Display Log k nnen Sie das Access Gateway Protokoll anzeigen e Mit 5 Reset Certificate setzen Sie das Zertifikat auf das Sta
268. on Access Gateway Advanced Edition ist Weitere Informationen finden Sie unter Bereitstellen von Access Gateway Advanced Edition auf Seite 30 oder in der Citrix Access Gateway Advanced Edition Administratordokumentation Funktionen des Access Gateways Das Access Gateway bernimmt die folgenden Funktionen Authentifizierung Terminierung verschl sselter Sitzungen Zugriffssteuerung auf der Basis von Berechtigungen Weiterleitung des Datenverkehrs wenn die ersten drei Funktionen erf llt wurden Als eigenst ndiges Ger t in der DMZ arbeitet das Access Gateway folgenderma en Remotebenutzer laden das Access Gateway Plug in herunter indem sie eine Verbindung zu einer sicheren Webadresse herstellen und ihre Authentifizierungsinformationen eingeben Nach dem Download des Access Gateway Plug ins melden sich die Benutzer an Wenn die Authentifizierung erfolgreich war richtet das Access Gateway einen sicheren Tunnel ein 18 Citrix Access Gateway Standard Edition Administratordokumentation Sobald Remotebenutzer versuchen tiber den VPN Tunnel auf die Netzwerkressourcen zuzugreifen verschl sselt das Access Gateway Plug in den gesamten Netzwerkverkehr der fiir das Intranet der Organisation bestimmt ist und leitet die Pakete an das Access Gateway weiter Das Access Gateway fungiert als Endpunkt des SSL Tunnels terminiert den Tunnel akzeptiert den eingehenden Verkehr der f r das private Netzwerk bestimmt ist und leit
269. onen tiber Split Tunneling finden Sie unter Aktivieren von Split Tunneling und zug nglichen Netzwerken auf Seite 114 Weitere Informationen ber die Einstellung Deny Access without access control list finden Sie unter Zugriffssteuerungslisten auf Seite 92 Erstellen eines LDAP Authentifizierungs und Autorisierungsbereichs Das Erstellen eines LDAP Authentifizierungs und Autorisierungsbereichs ist der zweite von f nf Arbeitsschritten die der Administrator zum Konfigurieren des Zugriffs auf die internen Netzwerkressourcen ausf hrt In diesem Szenario sind alle Benutzer aus den Abteilungen Vertrieb und Technik in dem LDAP Verzeichnis aufgef hrt Zum Authentifizieren der in einem LDAP Verzeichnis aufgef hrten Benutzer muss der Administrator einen Authentifizierungsbereich erstellen der die LDAP Authentifizierung unterst tzt Um den in LDAP Verzeichnisgruppen aufgef hrten Benutzern Zugriff auf die internen Netzwerkressourcen zu gestatten w hlt der Administrator die LDAP Authentifizierung als Autorisierungstyp f r den Bereich aus Da sich Benutzer ber das LDAP Verzeichnis authentifizieren richtet der Administrator den Authentifizierungsbereich Default als Standardbereich zur Unterst tzung der LDAP Authentifizierung und Autorisierung ein Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 253 Zum Einrichten des Standardbereichs zur Unterst tzung der LDAP Authentifizierung l scht der Administrator
270. ordert ein Kennwort festzulegen mit dem der private Schl ssel verschl sselt werden soll 56 Citrix Access Gateway Standard Edition Administratordokumentation Installieren von Stammzertifikaten auf dem Access Gateway Stammzertifikate werden von der Zertifizierungsstelle CA bereitgestellt und von SSL Clients zur Uberpriifung von Zertifikaten verwendet die dem SSL Server pr sentiert werden Wenn ein SSL Client versucht eine Verbindung mit einem SSL Server herzustellen pr sentiert der Server ein Zertifikat Das Clientger t schl gt daraufhin im Stammzertifikatspeicher nach ob das vom SSL Server vorgelegte Zertifikat von einer Zertifizierungsstelle signiert ist die f r das Stammzertifikat als vertrauensw rdig gilt Wird das Access Gateway in einer Umgebung bereitgestellt in der es als Client bei SSL Handshakes fungiert also verschl sselte Verbindungen zu einem anderen Server einleitet installieren Sie ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway Wenn Sie beispielsweise das Access Gateway mit Citrix XenApp und mit dem Webinterface installieren k nnen Sie Verbindungen vom Access Gateway zum Webinterface mit SSL verschl sseln Bei dieser Konfiguration muss ein vertrauensw rdiges Stammzertifikat auf dem Access Gateway installiert werden Das auf dem Access Gateway installierte Stammzertifikat muss im PEM Format vorliegen Unter Windows werden Stammzertifikate im PEM Format gelegentlich mit der Dateiname
271. orderung Folgendes ein w hrend Sie mit dem Access Gateway verbunden sind ipconfig all oder route print Es werden keine Netzwerkinformationen aus dem gesicherten Netzwerk angezeigt Wenn Benutzer sich mit einem Webbrowser zum ersten Mal verbinden installieren sie das Access Gateway Plug in von der Portalseite Wenn Benutzer auf der Portalseite auf Citrix Access Gateway klicken geschieht Folgendes Download und Installation des Plug ins wird automatisch von der Webseite gestartet statt die ausf hrbare Datei des Access Gateway Plug in manuell herunterladen und installieren zu m ssen Wenn eine Vorauthentifizierungsrichtlinie auf dem Access Gateway konfiguriert ist wird das Citrix Prescan Plug in installiert und das Plug in f hr die Vorauthentifizierungsscans auf dem Clientger t durch Das Prescan Plug in wird vor dem Access Gateway Plug in installiert Es bietet Single Sign On Funktionalit t unter Windows f r das Plug in Wenn das Access Gateway Plug in ber die Webseite gestartet wird fordert das Plug in die Benutzer nicht noch einmal auf sich anzumelden 152 Citrix Access Gateway Standard Edition Administratordokumentation Anmelden mit dem Access Gateway Plug in Wenn das Secure Access Plug in geladen ist werden die Benutzer aufgefordert sich am Access Gateway anzumelden damit die Verbindung hergestellt wird Der Access Gateway Administrator legt auf der Registerkarte Authentication im Administration Tool
272. ork policies unter dem Eintrag Application Policies im rechten Bereich und klicken auf OK Erweitern Sie im linken Bereich die Benutzergruppen Vertriebsau endienst und Au endiensttechniker Klicken Sie im rechten Bereich unter Application Policies auf die E Mail Anwendungsrichtlinie und ziehen Sie diese auf Application Policies unter der Benutzergruppe Vertriebsau endienst im linken Bereich sodass die Anwendungsrichtlinie ein Bestandteil der Zugriffssteuerungsliste f r Au endienstmitarbeiter im Vertrieb ist Klicken Sie im rechten Bereich unter Application Policies auf die E Mail Anwendungsrichtlinie und ziehen Sie diese auf Application Policies unter der Benutzergruppe Au endiensttechniker im linken Bereich sodass die Anwendungsrichtlinie ein Bestandteil der Zugriffssteuerungsliste f r Au endiensttechniker ist Hinweis Bei der oben beschriebenen Vorgehensweise k nnte der Administrator der Anwendungsrichtlinie auch eine anwendungsspezifische Endpunktrichtlinie hinzuf gen wonach jedes Clientger t beim Zugriff auf den E Mail Server bestimmte Anforderungen erf llen muss Weitere Informationen hierzu finden Sie unter Festlegen von Anwendungsrichtlinien auf Seite 126 Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 261 Mit diesen Arbeitsschritten ist das Szenario f r die Konfiguration der LDAP Authentifizierung und Autorisierung abgeschlossen Danach hat der Administrator Folgendes konf
273. ormationen ber das LDAP Verzeichnis sammeln Mit diesen Informationen wird das Access Gateway sp ter zum Herstellen einer Verbindung zum LDAP Verzeichnis konfiguriert um nach Benutzer und Gruppennamen zu suchen Hinweis Welche Informationen zum Konfigurieren eines bestimmten Authentifizierungs oder Autorisierungstyps erforderlich sind finden Sie in der Access Gateway Standard Edition Installationscheckliste Sie k nnen auch im Administrator Tool auf die Registerkarte Authentication klicken und einen Testauthentifizierungsbereich erstellen der die Authentifizierungs und Autorisierungstypen enth lt die unterst tzt werden m ssen Sammeln Sie die erforderlichen Informationen um die Felder f r die gew hlten Authentifizierungs und Autorisierungstypen auszuf llen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 249 In diesem Arbeitsschritt sammelt der Administrator die folgenden Informationen ber das LDAP Verzeichnis IP Adresse des LDAP Servers Die IP Adresse des Computers auf dem der LDAP Server ausgef hrt wird LDAP Serverport Der Port auf dem der LDAP Server Verbindungen abh rt Der Standardport f r LDAP Verbindungen ist Port 389 LDAP Administrator DN und LDAP Administratorkennwort Wenn f r den Zugriff von Anwendungen auf das LDAP Verzeichnis eine Authentifizierung erforderlich ist muss der Administrator den Namen des Benutzerkontos mit dem das Access Gateway diese Authentifizierung vorn
274. pr fen Sie ob neue Softwareaktualisierungen ver ffentlicht wurden 1 ffnen Sie das Administration Portal und klicken Sie auf Maintenance 2 Klicken Sie auf Check for Server Upgrade Die Citrix Support Website wird ge ffnet und Sie k nnen so vorhanden das Upgrade von der Website herunterladen Mit dieser Access Gateway Version k nnen gespeicherte Konfigurationen fr herer Versionen des Ger ts gelesen werden Wenn eine gespeicherte Konfiguration einer fr heren Version mit Access Gateway Version 4 6 wiederhergestellt wird wird sie automatisch in das neue Format konvertiert Wenn Sie ein Upgrade von einer lteren Version des Access Gateways auf diese Version durchf hren ist es wichtig die aktuelle Konfiguration vorher zu speichern Wenn Sie ein Upgrade auf Version 4 6 durchf hren und die Konfigurationsdatei speichern kann diese Datei auf fr heren Versionen des Access Gateways nicht mehr verwendet werden Wenn Sie versuchen die Konfigurationsdatei aus Version 4 6 auf eine fr here Version hochzuladen kann das Access Gateway nicht mehr verwendet werden Wenn Sie eine fr here Version der Software wiederherstellen m ssen m ssen Sie ein neues Image auf das Ger t spielen Nachdem das neue Image auf das Ger t aufgespielt wurde k nnen Sie die gespeicherte Konfiguration wiederherstellen Wichtig Das Access Gateway hat das Standardadministratorkennwort rootadmin Wenn Sie das Administratorkennwort ndern m ssen Sie ein neues
275. r te 209 So erstellen Sie ein SSL Serverzertifikat und einen privaten Schl ssel 1 Erstellen Sie die SSL Serverzertifikatsanforderung und den privaten Schl ssel mit einem OpenSSL Tool beispielsweise mit Keytool Weitere Informationen zu OpenSSL und den verf gbaren Tools finden Sie im Internet unter http www openssl org e Erstellen Sie die Serverzertifikatsanforderung im PEM Format Verwenden Sie beim Erstellen der Serverzertifikatsanforderung den FQDN des Load Balancers als Servernamen Verwenden Sie nicht den FQDN einer der Access Gateway Ger te in der Anforderung Optional k nnen Sie ein Sternchen f r den Servernamen im FQDN verwenden den Sie in der Serverzertifikatsanforderung angeben Erstellen Sie beispielsweise eine SSL Serverzertifikatsanforderung f r einen Servernamen in diesem Format dom ne com Erstellen Sie den privaten Schl ssel getrennt von der Serverzertifikatsanforderung Senden Sie die SSL Serverzertifikatsanforderung zum Signieren an eine Zertifizierungsstelle Senden Sie nur die Serverzertifikatsanforderung im PEM Format Senden Sie nicht den privaten Schl ssel Sobald Sie die signierte SSL Serverzertifikatsanforderung von der Zertifizierungsstelle erhalten tragen Sie den privaten Schl ssel manuell oben im signierten Zertifikat ein Weitere Informationen zum Eintragen eines privaten Schl ssels in ein signiertes Zertifikat finden Sie unter Kombinieren des privaten Schl ssels mit de
276. r Access Gateway Konfiguration auf Seite 192 Speichern und Wiederherstellen der Access Gateway Konfiguration Wenn Sie das Access Gateway aktualisieren werden alle Ihre Konfigurationseinstellungen einschlie lich der hochgeladenen Zertifikate Lizenzen und Portalseiten automatisch wiederhergestellt Wenn Sie die Access Gateway Software jedoch neu installieren m ssen Sie Ihre Konfigurationseinstellungen manuell speichern und dann wiederherstellen Hinweis Zum Speichern und Wiederherstellen der Konfigurationseinstellungen steht Ihnen auch die Registerkarte Maintenance des Administration Portals zur Verf gung Kapitel 10 Wartung des Access Gateways 193 So speichern Sie die Access Gateway Konfiguration 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf der Registerkarte Administration im Bereich Upgrade and configuration management neben Save the current configuration auf Save Configuration 3 Speichern Sie die Datei config restore auf Ihrem Computer Daraufhin wird die gesamte Access Gateway Konfiguration gespeichert einschlie lich der Systemdateien installierten Lizenzen und installierten Serverzertifikate Nach der Installation der Access Gateway Software k nnen Sie die gespeicherte Konfiguration wiederherstellen So stellen Sie eine gespeicherte Konfiguration wieder her 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster
277. r Access Gateway Software Wenn Sie eine vollst ndige Neuinstallation der Access Gateway Software durchf hren k nnen Sie daf r die Originalsoftware verwenden die mit dem Ger te geliefert wurde Sollen die Konfigurationseinstellungen erhalten bleiben m ssen Sie vor der Neuinstallation der Software ein Backup der Konfiguration erstellen 190 Citrix Access Gateway Standard Edition Administratordokumentation Neuinstallation der Software bei Model 2000 Bei Access Gateway Model 2000 verwenden Sie die Restore CD um die Software neu zu installieren So installieren Sie die Access Gateway Serversoftware auf Model 2000 1 Speichern Sie die Access Gateway Konfigurationseinstellungen wie unter Speichern und Wiederherstellen der Access Gateway Konfiguration auf Seite 192 beschrieben 2 Stellen Sie sicher dass das Access Gateway mit einem Computer verbunden ist auf dem die Terminalemulationssoftware ausgef hrt werden kann Schalten Sie beide Systeme ein 3 Legen Sie die Access Gateway Restore CD in das CD Laufwerk des Access Gateways ein um das Installationsprogramm zu starten Wenn die Installation abgeschlossen ist zeigt die serielle Konsole eine entsprechende Meldung an 4 Nehmen Sie die Restore CD wieder heraus und schalten Sie das Access Gateway aus 5 Schalten Sie das Access Gateway ein 6 Stellen Sie die Konfigurationseinstellungen wieder her Informationen hierzu finden Sie unter Speichern und Wiederherstel
278. r Benutzergruppe Default auf dem Access Gateway verkn pften Zugriffsrechte gew hrt werden 264 Citrix Access Gateway Standard Edition Administratordokumentation So erstellen Sie einen Authentifizierungsbereich f r die Gastbenutzer 1 Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Authentication 2 Geben Sie im Feld Realm name den Namen Gast ein 3 W hlen Sie One Source und klicken Sie auf Add 4 Aktivieren Sie im Dialogfeld Select Authentication Type unter Authentication type die Option Local authentication only und klicken Sie dann auf OK 5 Aktivieren Sie auf der Registerkarte Authorization die Option No authorization 6 Klicken Sie auf Submit Hinweis Wenn der G stebereich nicht der Standardbereich ist m ssen sich Benutzer mit dem Bereichsnamen anmelden z B Gast Benutzername Erstellen lokaler Benutzer Das Erstellen von lokalen Benutzern ist der zweite von drei Arbeitsschritten die der Administrator beim Szenario f r das Erstellen von Gastkonten mit der Liste Local Users ausf hrt Bei diesem Arbeitsschritt erstellt der Administrator lokale Benutzerkonten f r Silvio Branco und Lisa Marth auf dem Access Gateway und gibt beiden Benutzern jeweils ein Kennwort So f gen Sie lokale Benutzer hinzu 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste auf Local Users und w hlen Sie dann die Option New User 3 Geben Sie
279. r Mausbewegungen 118 Citrix Access Gateway Standard Edition Administratordokumentation Aktivieren von Split DNS Hierbei sendet das Clientger t Namensaufl sungsanfragen and den Access Gateway DNS Server und den lokalen DNS Server des Clients IP Pooling wenn jedem Client eine eindeutige IP Adresse zugewiesen ist Anmelde und Portalseitenverwendung womit definiert wird welche Seite Benutzern bei der Anmeldung angezeigt wird Die Anmeldeseite kann entweder eine von Citrix bereitgestellte Seite oder eine auf das einzelne Unternehmen zugeschnittene Seite sein Wenn Ihr Unternehmen Citrix XenApp oder Citrix XenDesktop verwendet kann die Anmeldeseite das Webinterface sein Wenn Sie Benutzern mehrere Optionen zur Anmeldung geben m chten verwenden Sie die Clientoptionenseite Weitere Informationen hierzu finden Sie unter Konfigurieren einer Portalseite mit mehreren Anmeldeoptionen auf Seite 178 Zu den Gruppenressourcen geh ren Netzwerkressourcen die die Netzwerke definieren zu denen die Benutzer eine Verbindung herstellen k nnen Anwendungsrichtlinien die die Anwendungen definieren die die Benutzer bei der Verbindungsherstellung verwenden k nnen Neben dem Ausw hlen der Anwendung k nnen Sie auch definieren auf welche Netzwerke die Anwendung zugreifen kann und ob beim Herstellen einer Verbindung Endpunktrichtlinien erf llt werden m ssen Endpunktressourcen und richtlinien die die erforderlichen un
280. r die Netzwerkumgebung Sobald Sie die grundlegenden TCP IP Einstellungen auf dem Access Gateway festgelegt haben konfigurieren Sie das Ger t f r Ihre Netzwerkumgebung Dieses Kapitel enth lt e Installieren von Lizenzen Erstellen und Installieren von Zertifikaten Konfigurieren weiterer Netzwerkeinstellungen Konfigurieren von Datum und Uhrzeit auf dem Access Gateway Verwenden der Standardportalseite Installieren von Lizenzen Die Access Gateway Lizenzierung begrenzt die Anzahl der gleichzeitigen Benutzersitzungen auf die Anzahl der gekauften Lizenzen Wenn Sie also 100 Lizenzen kaufen k nnen 100 Benutzer gleichzeitig angemeldet sein Sobald sich Benutzer abmelden wird diese Lizenz f r andere Benutzer freigegeben Benutzer die sich von mehr als einem Computer an Access Gateway anmelden werden als zwei Benutzer gez hlt und verbrauchen zwei Lizenzen Wenn alle Lizenzen verwendet werden sind keine zus tzlichen Verbindungen m glich bis ein Benutzer sich abmeldet oder der Administrator mit dem Administration Tool eine Verbindung beendet und so eine Lizenz freigibt Lizenzen f r das Access Gateway werden mit dem Administration Tool installiert Lizenzdateien werden auf der Basis des Hostnamens erstellt wobei der vollqualifizierte Dom nenname FQDN des Access Gateways verwendet wird Das Access Gateway auf dem die Lizenzen installiert sind auch als Lizenzserver bezeichnet verarbeitet die installierten
281. r ersten Anmeldung an der Website werden Sie aufgefordert weitere Informationen anzugeben 3 Zeigen Sie in My Tools auf Choose a Toolbox und klicken Sie dann auf Activation System Manage Licenses gt View Licenses gt Click to Allocate 4 Folgen Sie den Anweisungen um Ihre Lizenzdatei abzurufen Nachdem der Download der Lizenzdatei auf Ihren Computer erfolgreich abgeschlossen wurde k nnen Sie die Datei auf dem Access Gateway installieren So installieren Sie eine Lizenz auf dem Access Gateway Ger t 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway 2 Klicken Sie auf die Registerkarte Licensing 3 W hlen Sie Use this appliance as the license server 4 Klicken Sie neben Install a license file auf Browse navigieren Sie zur Lizenzdatei und klicken Sie auf Open 5 Klicken Sie auf der Registerkarte General Networking auf Submit nachdem die Lizenzdatei auf das Access Gateway hochgeladen wurde 48 Citrix Access Gateway Standard Edition Administratordokumentation Wichtig Citrix empfiehlt von allen Lizenzdateien die Sie erhalten jeweils eine Kopie auf dem lokalen Computer zu speichern Wenn Sie ein Backup der Konfigurationsdatei speichern werden alle geladenen Lizenzdateien in das Backup aufgenommen Wenn Sie die Access Gateway Serversoftware neu installieren m ssen und kein Backup der Konfiguration haben brauchen Sie die Originallizenzdateien Konfigurieren von
282. ratordokumentation 4 Sollen die Einstellungen ge ndert werden klicken Sie mit der rechten Maustaste auf das Dialogfeld und klicken Sie dann auf Erweiterte Optionen Sie k nnen die folgenden Einstellungen ndern Webadresse des Ger ts Hier werden au erdem die IP Adressen oder vollqualifizierten Dom nennamen der letzten 10 Ger te aufgef hrt zu denen Benutzer eine Verbindung hergestellt haben Proxyeinstellungen f r das Clientger t Benutzer k nnen automatische Proxyservererkennung festlegen oder einen Proxyserver manuell konfigurieren Split DNS aktivieren Diese Einstellung wird im Administration Tool festgelegt Ist diese Einstellung nicht verf gbar sind entsprechend keine nderungen m glich Weitere Informationen ber Split DNS finden Sie unter Split DNS aktivieren auf Seite 161 Sicherheitszertifikatswarnungen deaktivieren Falls kein von einer Zertifizierungsstelle signiertes sicheres Zertifikat installiert ist wird eine Zertifikatswarnung eingeblendet sobald sich ein Benutzer anmeldet Diese Einstellung deaktiviert die Warnung amp Citrix Access Gateway CITRIX Access Gateway Erweiterte Optionen Rechtsklick Benutzername Kennwort 43 Yerbindungsprotokoll anzeigen Erweiterte Optionen Sekund res Kennwort anzeigen Hilfethemen Info ber Citrix Access Gateway Kontextmen des Access Gateway Dialogfelds Kapitel 8 Konfigurieren von Benutzerverbindungen f r
283. rattribut Gro Kleinschreibung relevant Microsoft Active Directory Server sAMAccountName Nein Novell eDirectory cn Ja IBM Directory Server uid Ja Lotus Domino CN Ja Sun ONE Verzeichnis fr her iPlanet uid oder cn Ja Die folgende Tabelle enthalt Beispiele fiir den Basis DN LDAP Server Basis DN Microsoft Active Directory Server DC citrix DC local Novell eDirectory de eitrix de net IBM Directory Server cn users OU City O Citrix C US Lotus Domino Sun ONE Verzeichnis fr her iPlanet ou People dc citrix dc com Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 83 Die folgende Tabelle enth lt Beispiele f r den Bind DN LDAP Server Bind DN Microsoft Active Directory Server CN Administrator CN Users DC citrix DC local Novell eDirectory cn admin dc citrix dc net IBM Directory Server LDAP dn Lotus Domino CN Notes Administrator O Citrix C US Sun ONE Verzeichnis fr her uid admin ou A dministrators iPlanet ou TopologyManagement o NetscapeRoot Hinweis Weitere Informationen zu LDAP Servereinstellungen finden Sie unter Bestimmen der Attribute in Ihrem LDAP Verzeichnis auf Seite 89 So erstellen Sie einen LDAP Authentifizierungsbereich 1 2 Klicken Sie auf die Registerkarte Authentication Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen f r den Authentifizierungs
284. rce auf diese Gruppe und legen Sie dann f r die Gruppe fest dass sie nicht die Einstellungen der Standardgruppe erben soll Wenn Sie eine Endpunktrichtlinie erstellt haben k nnen Sie sie im linken Bereich unter Pre Authentication Policies und Endpoint Policies einer Gruppe hinzuf gen Sie k nnen f r jede Benutzergruppe eine Zugriffssteuerungsliste ACL erstellen indem Sie wie unter Bereitstellen von Netzwerkzugriff f r Benutzer auf Seite 112 beschrieben die Ressourcen festlegen auf die die jeweilige Gruppe zugreifen darf Die Zugriffssteuerungslisten werden f r alle Gruppen denen die Benutzer angeh ren kombiniert und dann auf die Benutzer angewendet Sofern nicht alle Benutzer vollen Zugriff auf alle zug nglichen Netzwerke haben sollen m ssen Sie die Benutzergruppen mit Ressourcengruppen verkn pfen Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 121 Konfigurieren von Benutzern die mehreren Gruppen angehoren Wenn Benutzer Mitglied mehrerer Gruppen sind werden einige Gruppeneinstellungen vereint Dabei handelt es sich um folgende Einstellungen Network Resources Application Policies Endpoint Policies Endpunktrichtlinien F r die vereinten Einstellungen gelten folgende Ausnahmen Deny applications without policies Wenn f r eine der Gruppen zu denen ein Benutzer geh rt die Option Deny applications without policies aktiviert ist gilt diese Einstellung auch f r den Benutzer
285. rden Wenn die Gruppennamen bereinstimmen werden die Eigenschaften der lokalen Gruppe auf die Gruppe angewendet die von den LDAP Servern abgerufen wurde Konfigurieren der Authentifizierung ohne Autorisierung Das Access Gateway kann so konfiguriert werden dass Benutzer authentifiziert werden ohne dass eine Autorisierung erforderlich ist Wenn ein Benutzer nicht autorisiert ist f hrt das Access Gateway keine Gruppenautorisierung durch Dem Benutzer werden die Einstellungen der Standardbenutzergruppe zugewiesen So stellen Sie auf dem Access Gateway ein dass keine Autorisierung erforderlich ist 1 ffnen Sie auf der Registerkarte Authentication einen Authentifizierungsbereich 2 Klicken Sie auf die Registerkarte Authorization und w hlen Sie unter Authorization type die Option No authorization und klicken Sie auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 75 Konfigurieren des Bereichs Default Das Access Gateway verfiigt tiber einen permanenten Bereich mit der Bezeichnung Default Der Bereich Default ist fiir lokale Authentifizierung vorkonfiguriert Wenn Sie die Authentifizierungsmethode des Bereichs Default ndern m chten muss dieser gel scht sofort durch einen neuen Bereich Default ersetzt werden Der Bereich Default wird verwendet wenn ein Benutzer bei der Anmeldung am Access Gateway lediglich einen Benutzernamen eingibt Bei allen anderen Bereichen muss beim Anmelden ein Bere
286. reits vor der Verbindungherstellung zum Access Gateway ge ffnet ist bleibt sie ge ffnet aber die Richtlinien werden wirksam sodass der Benutzer die Anwendung u U nicht mehr verwenden kann Wenn f r eine Anwendung keine Netzwerkressource oder Endpunktrichtlinie konfiguriert ist und wenn auf der Registerkarte General das Kontrollk stchen Deny applications without policies aktiviert ist wird der Anwendung der Zugriff auf das Netzwerk verweigert So konfigurieren Sie eine Anwendungsrichtlinie 1 2 Klicken Sie auf die Registerkarte Access Policy Manager Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy Geben Sie einen Namen f r die Ressource ein und klicken Sie auf OK Geben Sie unter Application den Namen der Anwendung ein oder klicken Sie auf Browse um zur Anwendung zu navigieren und sie auszuw hlen Im Feld MDS5 wird automatisch die Bin rsumme der Anwendung eingetragen Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 127 5 Wenn Sie die Anwendung auf bestimmte Netzwerke beschr nken m chten oder eine Endpunktrichtlinie vorhanden sein muss f hren Sie unter Application Policies einen der folgenden Schritte aus Wenn Sie der Anwendungsrichtlinie eine Netzwerkressource hinzuf gen m chten klicken Sie im linken Bereich unter Network Resources auf die Ressource und ziehen Sie sie auf Application network policies
287. ren von Netzwerkzugriff und Gruppenressourcen 129 Die Benutzer erhalten nur mit der Anwendung die explizit zugelassen wurde Zugriff auf die interne Site Allen anderen Anwendungen auf dem Clientger t ist es nicht erlaubt auf das interne Netzwerk zuzugreifen Konfigurieren von Endpunktrichtlinien und ressourcen Endpunktressourcen bieten eine weitere Sicherheitsebene da die Computer mit denen Benutzer Verbindungen zum Access Gateway herstellen k nnen bestimmte Kriterien erf llen m ssen So k nnen Sie z B festlegen dass ein Computer bestimmte Registrierungseintr ge Dateien und oder aktive Prozesse haben muss Jede Endpunktregel legt dabei fest dass ein Computer ber eines mehrere oder alle der folgenden Merkmale verf gen muss Einen Registrierungseintrag mit einem von Ihnen festgelegten Pfad Eintragstyp und Wert Eine Datei mit einem von Ihnen festgelegten Pfad Dateinamen und Datum F r die Datei kann auch eine Pr fsumme angegeben werden Ein von Ihnen festgelegter ausgef hrter Prozess F r den Prozess kann auch eine Pr fsumme angegeben werden Endpunktrichtlinien werden auf die einzelnen Gruppen angewendet indem ein boolescher Ausdruck festgelegt wird in dem die Endpunkt Ressourcennamen verwendet werden Weitere Informationen hierzu finden Sie unter Erstellen einer Endpunktrichtlinie f r eine Gruppe auf Seite 130 So erstellen Sie eine Endpunktressource 1 Klicken Sie auf die Registerkarte
288. ritte ein Definieren zug nglicher Netzwerke fiir Split Tunneling Konfigurieren von Authentifizierung und Autorisierung Erstellen von Benutzergruppen Erstellen von lokalen Benutzern und Definieren der Zugriffssteuerungslisten ACLs f r Benutzergruppen Hinweis Eine Zugriffssteuerungsliste ist ein Richtliniensatz mit der die Zugriffsstufe von Benutzern auf die Netzwerkressourcen festgelegt wird Das Access Gateway unterst tzt verschiedene Authentifizierungs und Autorisierungstypen die sich in unterschiedlichen Kombinationen konfigurieren und mit Richtlinien verwenden lassen um den Benutzerzugriff auf das interne Netzwerk zu steuern 242 Citrix Access Gateway Standard Edition Administratordokumentation Aufgrund der Vielzahl von Optionen und M glichkeiten bei der Konfiguration des Benutzerzugriffs auf das interne Netzwerk wird dieser Aspekt der Access Gateway Konfiguration in vier verschiedenen Abschnitten dieses Handbuchs behandelt Dieser Anhang enth lt Beispielszenarien f r den Benutzerzugriff und detaillierte Anweisungen wie Sie das Access Gateway schrittweise zur Unterst tzung der Zugriffsszenarios konfigurieren Diese Szenarios sind keine Beispiele f r echte Konfigurationen aus der Praxis sondern vielmehr als eine Art Lernprogramm gedacht damit Sie leichter verstehen wie die im Administration Tool integrierten Funktionen zum Konfigurieren des Benutzerzugriffs zu verwenden sind Nachdem Sie sich mit diesen B
289. rix anstelle einer anonymen Verbindung zwischen dem Access Gateway und der Datenbank die Verwendung einer administrativen Verbindung Die Verwendung einer solchen Verbindung verbessert die Downloadgeschwindigkeit Tun Sie Folgendes Um unsichere LDAP Verbindungen zuzulassen aktivieren Sie die Option Allow unsecure connection Um LDAP Verbindungen zu sichern deaktivieren Sie die Option Allow unsecure connection Wenn diese Option nicht aktiviert ist sind alle LDAP Verbindungen sicher Geben Sie unter Administrator bind DN den Administrator Bind DN f r Abfragen ein die an Ihr LDAP Verzeichnis gerichtet sind Beispielsyntax f r Bind DN dom ne benutzername ou administrator dc ace dc com benutzer dom ne name f r Active Directory cn Administrator cn Benutzer dc ace dc com F r Active Directory muss der Gruppenname wie folgt angegeben werden cn Gruppenname Der auf dem Access Gateway definierte Gruppenname muss identisch mit dem auf dem LDAP Server definierten Gruppennamen sein Bei anderen LDAP Verzeichnissen ist der Gruppenname entweder nicht erforderlich oder er muss sofern er doch n tig ist in folgender Form angegeben werden ou Gruppenname Das Access Gateway registriert sich mit den Administratoranmeldeinformationen beim LDAP Server und sucht dann nach dem Benutzer Wenn der Benutzer gefunden ist hebt das Access Gateway die Registrierung mit den Administratoranmeldeinformationen auf und registriert sich mit
290. rowse 3 Navigieren Sie zum Zertifikat und laden Sie die Datei hoch Zur cksetzen des Zertifikats auf die Standardversion Das Access Gateway enth lt ein Zertifikat das keine digitale Signatur einer Zertifizierungsstelle tr gt F r den Fall dass die Konfiguration des Ger ts wiederhergestellt werden muss k nnen Sie das Zertifikat auf das Standard zertifikat aus dem Lieferumfang des Access Gateways zur cksetzen W hlen Sie hierzu in der seriellen Konsole die Option zum Zur cksetzen des Zertifikats So setzen Sie das Zertifikat auf die Standardversion zur ck l Schlie en Sie das serielle Kabel an den 9 poligen seriellen Anschluss am Access Gateway und an einen Computer an auf dem eine Terminalemulationssoftware ausgef hrt werden kann 2 Starten Sie den Terminalemulator auf dem Computer z B HyperTerminal Hinweis HyperTerminal ist unter Windows 2000 Server Windows Server 2003 oder Windows Server 2008 nicht automatisch installiert Verwenden Sie die Systemsteuerung bzw den Server Manager um HyperTerminal zu installieren 3 Stellen Sie f r die serielle Verbindung 9600 Bit s 8 Datenbits keine Parit t und 1 Stoppbit ein Legen Sie ggf die Hardwareflusssteuerung fest Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 55 4 Schalten Sie das Access Gateway ein Nach etwa drei Minuten wird auf dem Computerterminal die serielle Konsole angezeigt 5 Wenn Sie HyperTerminal verwenden dr
291. rstellen einer weiteren Zertifikatsignieranforderung Hochladen einer gespeicherten Konfigurationsdatei Ver ffentlichen von Konfigurationseinstellungen von einem anderen Ger t im Cluster Wichtig Wenn Sie ein Zertifikat erstellt und an die Zertifizierungsstelle gesendet haben erstellen Sie keine weitere Zertifikatsignieranforderung Das Access Gateway kann nur einen privaten Schl ssel speichern Wird die Zertifikatsignieranforderung erneut ausgef hrt wird der private Schl ssel berschrieben und das signierte Zertifikat findet keinen passenden Schl ssel als Gegenst ck 54 Citrix Access Gateway Standard Edition Administratordokumentation So installieren Sie eine Zertifikatdatei mit dem Administration Tool 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf der Registerkarte Administration neben Upload a crt signed certificate auf Browse Diese Schaltflache kommt nur dann zum Einsatz wenn Sie ein signiertes Zertifikat installieren das tiber die Registerkarte Certificate Signing Request erstellt wurde 3 Suchen Sie die Datei die hochgeladen werden soll und klicken Sie auf Offnen Sie k nnen das Zertifikat auch ber das Administration Portal hochladen So installieren Sie ein Zertifikat ber das Administration Portal 1 Klicken Sie auf der Administration Portal Hauptseite auf Maintenance 2 Klicken Sie neben Upload Signed Certificate crt auf B
292. rtrauenswiirdige Zertifizierungsstellen sind beispielsweise Verisign Baltimore Entrust und die jeweils angeschlossenen Unternehmen Bei den Zertifizierungsstellen wird in der Regel vorausgesetzt dass Sie bereits ber geeignete Stammzertifikate verf gen Die meisten Webbrowser enthalten Stammzertifikate Wenn Sie jedoch Zertifikate von einer Zertifizierungsstelle heranziehen die auf dem Clientger t noch nicht genutzt wird m ssen Sie das Stammzertifikat explizit anfordern Es stehen mehrere Arten von Stammzertifikaten zur Auswahl VeriSign bietet beispielsweise rund 12Stammzertifikate f r verschiedene Zwecke an Achten Sie also darauf das jeweils richtige Stammzertifikat bei der Zertifizierungsstelle abzurufen Installieren von Stammzertifikaten auf einem Clientger t Stammzertifikate werden mit der Microsoft Management Console MMC unter Windows installiert Hierbei kommt der Zertifikatsimport Assistent zum Einsatz Das Zertifikat wird unter den vertrauensw rdigen Stammzertifizierungsstellen f r den lokalen Computer gespeichert Weitere Informationen zur Verf gbarkeit von Stammzertifikaten und zu deren Installation auf anderen Plattformen au er 32 Bit Windows finden Sie in der Produktdokumentation f r das jeweils verwendete Betriebssystem Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 169 Ausw hlen einer Verschl sselungsart f r Clientverbindungen Alle Kommunikation zwisch
293. rum vom Remotebenutzer bezogen ber die Single Sign On Informationen oder eine Aufforderung zur Eingabe der entsprechenden Informationen und dann dem Zwischenproxyserver bereitgestellt Nachdem die HTTPS Sitzung eingerichtet wurde wird der eigentliche Datenverkehr verschl sselt und in Form von sicheren Paketen an das Access Gateway gesendet Beenden des sicheren Tunnels und Zur cksenden von Paketen an den Client Das Access Gateway beendet den SSL Tunnel und akzeptiert eingehende Pakete die f r das private Netzwerk bestimmt sind Wenn die Pakete die Autorisierungs und Zugriffssteuerungskriterien erf llen erzeugt das Access Gateway die IP Header der Pakete neu sodass sie aussehen als stammten sie aus dem IP Adressbereich des privaten Netzwerks in dem das Access Gateway ist oder von der vom Client zugewiesenen privaten IP Adresse Das Access Gateway sendet die Pakete dann an das Netzwerk Das Secure Access Plug in unterh lt zwei Tunnel einen SSL Tunnel ber den Daten an das Access Gateway gesendet werden und einen Tunnel zwischen dem Clientger t und lokalen Anwendungen Die verschl sselten Daten die ber den SSL Tunnel ankommen werden dann entschl sselt bevor sie ber den zweiten Tunnel an die lokale Anwendung gesendet werden Wenn Sie eine Packet Sniffer wie Ethereal auf dem Clientger t verwenden auf dem das Secure Access Plug in ausgef hrt wird sehen Sie unverschl sselten Datenverkehr der scheinbar zwischen dem Cl
294. s Secure Access Symbol 2 W hlen Sie im Kontextmen den Befehl Verbindungsprotokoll Das Verbindungsprotokoll f r die Sitzung wird ge ffnet Hinweis Das Verbindungsprotokoll wird auf dem Computer des Benutzers unter Temp cag_plugin connection log txt gespeichert Das Protokoll wird bei jedem Einrichten einer neuen Access Gateway Verbindung berschrieben Citrix empfiehlt die Benutzer aufzufordern das Verbindungsprotokoll im ausf hrlichen Modus zu erstellen da auf diese Weise detaillierte Informationen f r die Problembehandlung z B die Zertifikats berpr fung zur Verf gung stehen 218 Citrix Access Gateway Standard Edition Administratordokumentation So legen Sie ausf hrlichen Modus f r das Clientverbindungsprotokoll fest 1 2 Klicken Sie mit der rechten Maustaste auf das Access Gateway Symbol und klicken Sie dann auf Verbindungsprotokoll Aktivieren Sie im Men Optionen die Option Ausf hrlicher Modus Weiterleiten von Systemmeldungen an einen Syslogserver Das Access Gateway archiviert Systemmeldungen Informationen hierzu finden Sie unter Anzeigen und Herunterladen von Systemmeldungsprotokollen auf Seite 216 Sie k nnen das Access Gateway aber auch anweisen Systemmeldungen an einen Syslogserver weiterzuleiten So leiten Sie Access Gateway Systemmeldungen an einen Syslogserver weiter 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway
295. s Benutzer ohne Administratorrechte das Plug in installieren k nnen Sie k nnen das Paket erstellen indem Sie die Datei CitrixAGP exe vom Access Gateway Ger t herunterladen Wenn die ausf hrbare Datei heruntergeladen wurde k nnen Sie sie ausf hren um die MSI Datei zu entpacken und zu installieren So laden Sie das MSI Paket herunter und installieren es 1 Gehen Sie in einem Webbrowser zu https AccessGatewayFODN wobei AccessGatewayFODN der vollqualifizierte Dom nenname FQDN des Access Gateways ist 2 Klicken Sie auf Speichern um die Datei auf Ihrem Computer zu speichern 3 Doppelklicken Sie auf CitrixAGP exe um die MSI Datei zu entpacken und zu installieren Es gibt zwei Methoden die MSI Datei an Benutzer zu verteilen die auf dem Clientger t keine Administratoren sind Verwenden Sie eine Active Directory Gruppenrichtlinie oder ein hnliches Tool f r eine Push Installation des Pakets auf das Clientger t K ndigen Sie das Installationspaket auf dem Clientger t an 146 Citrix Access Gateway Standard Edition Administratordokumentation Installation des MSI Pakets mit einer Gruppenrichtlinie Wenn Benutzer sich von einem internen Netzwerk mit Active Directory verbinden k nnen Sie das Access Gateway Plug in mit einer Gruppenrichtlinie herunterladen und installieren Die Softwareinstallationsfunktion der Gruppenrichtlinie installiert oder aktualisiert das Access Gateway Plug in automatisch wenn das Cl
296. s Policy Manager 2 Konfigurieren Sie im rechten Bereich die Gruppenressourcen Wenn die Ressource konfiguriert ist klicken Sie auf die Ressource und ziehen Sie sie auf die Gruppe im linken Bereich 3 Wenn Sie den Zugriff auf eine Ressource zulassen oder verweigern m chten klicken Sie mit der rechten Maustaste im linken Bereich auf die Netzwerkressource oder die Anwendungsrichtlinie und klicken Sie dann auf Allow oder Deny 126 Citrix Access Gateway Standard Edition Administratordokumentation So entfernen Sie eine Ressource von einer Benutzergruppe 1 2 Klicken Sie auf die Registerkarte Access Policy Manager Erweitern Sie im linken Bereich die Gruppe und dann den entsprechenden Richtlinien Knoten Klicken Sie mit der rechten Maustaste auf die Ressource die Sie entfernen m chten und klicken Sie dann auf Remove Festlegen von Anwendungsrichtlinien Anwendungsrichtlinien dienen dazu den Netzwerkpfad einzuschr nken auf den Anwendungen zugreifen k nnen Angenommen Benutzer verwenden f r den E Mail Verkehr im Unternehmen Microsoft Outlook 2003 Sie k nnen Outlook so konfigurieren dass es einen bestimmten Netzwerkpfad zum Microsoft Exchange Server verwendet Wenn die Netzwerkressource definiert ist sucht Outlook beim Starten nach der Netzwerkressource und der Endpunktrichtlinie sofern definiert Bei Erfolg k nnen die Benutzer sich anmelden und E Mails abrufen Sonst startet Outlook nicht Wenn die Anwendung be
297. s fiir die Netzwerkumgebung 51 Die Erstkonfiguration ist damit abgeschlossen Nach der Erstkonfiguration k nnen Sie die zug nglichen Netzwerke konfigurieren sodass Verbindungen zu allen Netzwerkressourcen z B E Mail Webserver Dateifreigaben auf dieselbe Weise wie an Ihrem Arbeitsplatz m glich sind Versuchen Sie zum Testen der Konfiguration eine Verbindung zu Anwendungen und Ressourcen im gesicherten Netzwerk herzustellen Erstellen und Installieren von Zertifikaten Das Access Gateway enth lt ein digitales Zertifikat das nicht von einer vertrauensw rdigen Zertifizierungsstelle signiert ist Installieren Sie auf dem Access Gateway ein digitales X 509 Zertifikat das zu Ihrem Unternehmen geh rt und von einer Zertifizierungsstelle signiert wurde Ihr Unternehmen kann als seine eigene Zertifizierungsstelle agieren Sie k nnen aber auch ein digitales Zertifikat von einer gewerblichen Zertifizierungsstelle beziehen wie z B Verisign und Thawte Achtung Das Betreiben des Access Gateways ohne ein von einer Zertifizierungsstelle signiertes digitales Zertifikat kann VPN Verbindungen der Gefahr b swilliger Angriffe aussetzen Das Access Gateway akzeptiert Zertifikatdateien im PEM Format Privacy Enhanced Mail PEM ist ein Textformat das die Base 64 Verschl sselung des bin ren DER Formats Distinguished Encoding Rules darstellt Das PEM Format legt die Verwendung der Text BEGIN und END Zeilen fest die die Art des versc
298. sels verwenden einen verschl sselten Schl ssel zum Ergebnis hat So entschl sseln Sie den privaten Schl ssel 1 Geben Sie an der Eingabeaufforderung den folgenden Befehl ein openssl rsa Wenn Sie diesen Befehl ohne Argumente eingeben erhalten Sie folgende Aufforderung read RSA key 2 Geben Sie den Namen des zu entschl sselnden Kennworts ein Wenn Sie den Namen des privaten Schl ssels und der entschl sselten PEM Datei kennen k nnen Sie auch den Befehl openssl rsa mit den zugeh rigen Argumenten eingeben Wenn der Dateiname des privaten Schl ssels z B mein_schliisseltag_schliissel pvk und der entschl sselte Dateiname ausgabe_schl ssel pem ist geben Sie Folgendes ein openssl rsa in mein_schl sseltag_schl ssel pvk out ausgabe_schl ssel pem Weitere Informationen finden Sie auf der Open SSL Website unter http www openssl org docs apps rsa html EXAMPLES Weitere Informationen ber das Herunterladen von OpenSSL f r Windows finden Sie auf der SourceForge Website unter http sourceforge net project showfiles php group_id 23617 amp release_id 48801 Umwandeln in ein PEM formatiertes Zertifikat Es ist m glich dass das signierte Zertifikat das Sie von der Zertifizierungsstelle erhalten nicht das PEM Format hat Wenn die Datei im Bin rformat DER vorliegt wandeln Sie sie wie folgt in ein PEM Format um openssl x509 in Zertifikatdatei inform DER outform PEM out umgewandelteZertifikatdatei Verw
299. sie werden direkt an eine Portalseite weitergeleitet auf der sie die Verbindung ber das Access Gateway Plug in herstellen k nnen Ist das Access Gateway so konfiguriert dass die Benutzer sich anmelden m ssen bevor sie eine Verbindung ber das Access Gateway Plug in herstellen k nnen geben sie dazu ihren Benutzernamen und ihr Kennwort ein Eine Portalseite wird angezeigt die die Anmeldung mit dem Access Gateway Plug in oder mit dem Citrix XenApp Plug in anbietet Wenn Benutzer sich ber das Access Gateway Plug in anmelden bietet die Verbindung uneingeschr nkten Zugriff auf die Netzwerkressourcen auf die die Gruppen denen die Benutzer angeh ren zugreifen d rfen Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 151 Der durch die Sicherheitsrichtlinien gew hrte Zugriff erm glicht Benutzern mit dem Remotesystem genau so zu arbeiten als w ren sie lokal angemeldet Beispielsweise k nnten Benutzer das Recht haben auf Anwendungen zuzugreifen einschlie lich Web Client Server und Peer to Peer Anwendungen wie Instant Messaging und Videokonferenzen Die Benutzer k nnen auch Netzlaufwerke zuordnen um auf f r sie zug ngliche Netzwerkressourcen wie z B freigegebene Ordner und Drucker zuzugreifen W hrend der Verbindung mit dem Access Gateway k nnen Remotebenutzer keine Netzwerkinformationen von der Site aus sehen mit der sie verbunden sind Geben Sie z B an einer Eingabeauff
300. ss Benutzer in der Standardbenutzergruppe in Windows Explorer eine Verkn pfung mit Laufwerken im Subnetz 10 51 251 0 24 herstellen m ssen Sie eine Gruppenressource erstellen in der dieses Subnetz angegeben wird und diese Ressource der Standardgruppe zuweisen Verweigern Sie dann den Zugriff auf diese Netzwerkressource Sie k nnen den Zugriff nicht durch Erstellen einer Anwendungsrichtlinie f r Windows Explorer einschr nken in die eine Netzwerkressource eingebettet ist auf die der Zugriff Netzwerkressource verweigert ist Anhang D Problembehandlung beim Access Gateway 277 Citrix Access Gateway Plug in Es folgen Probleme mit dem Citrix Access Gateway Plug in Access Gateway Plug in Verbindungen mit Windows XP Wenn ein Windows XP Benutzer eine Verbindung zum Access Gateway herstellt den Computer abmeldet ohne vorher die Verbindung mit dem Access Gateway Plug in zu trennen und sich dann wieder anmeldet ist die Internetverbindung unterbrochen Zum Wiederherstellen der Internetverbindung miissen Sie den Computer neu starten DNS Namensauflosung mit Namensdienstanbietern Wenn Benutzer ohne administrative Berechtigungen tiber Windows 2000 Professional oder Windows XP eine Verbindung zum Access Gateway herstellen kann die DNS Namensaufl sung scheitern wenn der Client einen Namensdienstanbieter verwendet Dieses Problem lasst sich beheben indem die Verbindung nicht mit dem DNS Namen sondern mit der IP Adresse des Computers
301. ss Gateway Netzwerkadapter verwendet wie dies bereits weiter oben in diesem Abschnitt beschrieben wurde Wenn Sie ein anderes Ger t als Gateway festlegen f gt das Access Gateway der Access Gateway Routingtabelle einen Eintrag fiir diese Route hinzu 8 Klicken Sie zweimal auf OK Split DNS aktivieren Standardm ig berpr ft das Access Gateway lediglich das Remote DNS des Benutzers Durch Aktivieren von Split DNS k nnen Sie Failoveroperationen auf das lokale DNS des Benutzers zulassen Diese Einstellung kann im Dialogfeld Verbindungseigenschaften im Dialogfeld Access Gateway au er Kraft gesetzt werden So aktivieren Sie Split DNS 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf eine Gruppe und klicken Sie dann auf Properties 3 Klicken Sie auf der Registerkarte Network auf Enable split DNS und klicken Sie dann auf OK Das Access Gateway f hrt lediglich dann eine Failoveroperation auf das lokale DNS durch wenn kein Kontakt zu den angegebenen DNS Servern hergestellt werden kann Bei erfolgreicher Kontaktaufnahme aber negativer Antwort erfolgt kein Failover Aktivieren von internem Failover Durch Konfigurieren der lokalen DNS Einstellungen des Clients kann das Access Gateway Plug in die Verbindung zum Access Gateway von innerhalb der Firewall herstellen Wenn diese Einstellungen konfiguriert sind f hrt der Client ein Failover zur internen IP Adre
302. ss Gateway Plug in angemeldet haben Ist ein Benutzer nicht auf dem SafeWord Server oder schl gt die Authentifizierung fehl berpr ft das Access Gateway den Benutzer anhand der lokalen Benutzerliste sofern die Option Use the local user database on the Access Gateway auf der Registerkarte Settings aktiviert ist Wenn SafeWord als Bereich Default verwendet werden soll entfernen Sie den aktuellen Bereich Default und erstellen Sie sofort einen neuen Bereich wie unter So k nnen Sie den Bereich Default entfernen und neu erstellen auf Seite 75 beschrieben So konfigurieren Sie SafeWord auf dem Access Gateway 1 Klicken Sie im Administration Tool auf die Registerkarte Authentication 2 Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen ein 3 W hlen Sie One Source und klicken Sie dann auf Add 4 W hlen Sie unter Authentication type die Option SafeWord authentication und klicken Sie auf OK Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 101 5 Geben Sie unter Primary SafeWord Server Settings die folgenden Daten ein Geben Sie unter IP address die IP Adresse des SafeWord Servers ein Geben Sie unter Port die Portnummer f r den SafeWord RADIUS Server ein Der Standardwert ist 1812 Dieser Port muss mit der auf dem RADIUS Server konfigurierten Portnummer bereinstimmen Geben Sie unter Server secret einen gemeinsamen geheimen RADIUS Schl ssel ein Der gemeins
303. sse des Access Gateways durch falls die externe IP Adresse nicht erreichbar ist 162 Citrix Access Gateway Standard Edition Administratordokumentation So aktivieren Sie das interne Failover 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Aktivieren Sie unter Advanced options die Option Enable internal failover Wenn dieses Kontrollk stchen aktiviert ist wird die interne IP Adresse des Access Gateway in die Failoverliste aufgenommen Falls Sie externen Administratorzugriff deaktiviert haben steht Port 9001 nicht zur Verf gung Soll eine Verbindung zu Port 9001 hergestellt werden wenn Sie sich ber eine externe Verbindung anmelden konfigurieren Sie die IP Pools und stellen Sie die Verbindung zur niedrigsten IP Adresse im IP Pool her Aktivieren von Dom nenanmeldeskripten Im Netzwerk sind ggf Anmeldeskripte vorhanden die nach einer erfolgreichen Anmeldung auf dem Clientger t ausgef hrt werden Wenn auf dem Access Gateway Anmeldeskripte aktiviert sind richtet das Access Gateway nach der Authentifizierung die Verbindung ein ruft die Windows Anmeldeskripte vom Dom nencontroller ab und f hrt diese aus um Operationen wie die automatische Laufwerkszuordnung auszuf hren Hinweis Voraussetzung daf r dass Benutzer die Single Sign On Funktion unter Windows XP sowie die Anmeldeskripte verwenden k nnen ist die Anmeldung als Hauptbenutzer oder die Mitgliedschaft in der Gruppe der Hauptbenutzer Das Ac
304. ssource in den Bereich Build an end point policy im oberen Bereich des Dialogfelds und legen Sie sie auf Add end point resources Der Ausdruck wird mit AND erstellt Wenn Sie dies ndern m chten klicken Sie mit der rechten Maustaste auf eine der Ressourcen und w hlen Sie im Men eine andere Option aus Klicken Sie auf OK Der Endpunktrichtlinienausdruck wird automatisch konfiguriert Wenn Sie den Ausdruck manuell bearbeiten m chten deaktivieren Sie die Option Automatically build expression Citrix empfiehlt jedoch die Option aktiviert zu lassen um Fehler im Ausdruck zu vermeiden Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 133 Andern des Endpunktrichtlinienoperators Beim Zusammenstellen eines Ausdrucks fiir eine Endpunktrichtlinie ist der Operator automatisch AND Sie ndern den Operator indem Sie mit der rechten Maustaste auf die Endpunktressource klicken und den gew nschten Operator ausw hlen SystemResources End Point Policies seco x Build an end point policy amp Q Add end point resources MR Test_EPResources OR NOT OR NOT Remove End point policy expression Automatically build expression Erstellen eines Endpunktrichtlinienausdrucks 134 Citrix Access Gateway Standard Edition Administratordokumentation Festlegen der Prioritat von Gruppen Bei Benutzern die mehreren Gruppen angeh ren k nnen Sie ber die Gruppenpriorit t bestimmen welche Richt
305. ssourcen auf die Remotebenutzer aus den Abteilungen Vertrieb und Technik zugreifen m ssen Die Namen der Benutzergruppen im LDAP Verzeichnis mit den Benutzern aus den Abteilungen Vertrieb und Technik die Remotezugriff ben tigen bei diesem Beispiel Vertriebsau endienst und Au endiensttechniker Die exakten LDAP Verzeichnisinformationen die zum Konfigurieren des Access Gateways f r die Arbeit mit dem LDAP Verzeichnis erforderlich sind Anhand dieser Informationen kann der Administrator nun das Access Gateway konfigurieren um den Benutzern aus den Abteilungen Vertrieb und Technik Zugriff auf die internen Netzwerkressourcen zu gew hren Konfigurieren des Access Gateways zur Unterst tzung des Zugriffs auf die internen Netzwerkressourcen Die Konfiguration des Access Gateways zur Unterst tzung des Zugriffs auf die internen Netzwerkressourcen ist der letzte Arbeitsschritt den der Administrator bei der Konfiguration der LDAP Authentifizierung und Autorisierung ausf hrt Dabei verwendet der Administrator die im vorigen Arbeitsschritt gesammelten Informationen um die Einstellungen im Administration Tool zu konfigurieren damit Remotebenutzer auf die internen Netzwerkressourcen zugreifen k nnen Dabei sind die folgenden f nf Arbeitsschritte erforderlich Konfigurieren der zug nglichen Netzwerke Erstellen eines LDAP Authentifizierungsbereichs Erstellen der entsprechenden Gruppen auf dem Access Gateway Er
306. st S mtliche Optionen wie z B das Erh hen der Gr e der ICMP Nutzlast werden vom Access Gateway nicht anerkannt und auch nicht an den Remotehost gesendet Ping Befehl Das Access Gateway sendet grunds tzlich denselben ping Befehl aus und dies unabh ngig von den Optionen die beim Pingen von einem Clientger t aus angegeben werden LDAP Authentifizierung Wenn das Access Gateway f r die Verwendung der LDAP Authentifizierung und Autorisierung konfiguriert ist werden die LDAP Gruppeninformationen nicht zum automatischen Ausf llen des Gruppenfelds im Administration Tool verwendet Anhang D Problembehandlung beim Access Gateway 273 Endpoint Policies Endpunktrichtlinien Bei der Auswertung der Kombination von Endpunktrichtlinien einer Gruppe ber cksichtigt das Access Gateway nicht die Gruppenpriorit ten sodass miteinander in Konflikt stehende Richtlinien u U nicht korrekt aufgel st werden Nur die Richtlinie die im Ausdruck zuletzt aufgef hrt wird gilt Wenn z B f r eine Gruppe die Richtlinie ProzessA und f r eine andere Gruppe die Richtlinie ProzessA gilt und die Kombination aus diesen beiden Richtlinien ProzessA und ProzessA ist gilt nur die Richtlinie ProzessA Netwerkressourcen Bei hinzugeftigten Netzwerkressourcen erkennt das Access Gateway nicht die CIDR Notation der Adresse P Adresse 0 Wenn Sie z B eine Ressourcengruppe hinzuf gen m chten die den Zugriff auf alle Ressourcen erlaubt g
307. stellen 132 Erstellen 131 g ltige Operatoren 131 Problembehandlung 273 Entfernen Bereiche 78 Erweiterte Optionen Authentifizierung 106 Ethereal Network Analyzer Unverschl sselter Datenverkehr 142 Express Setup Serielle Konsole 36 F Failover 28 Bereitstellung 212 DNS Server 58 internes 161 Konfigurieren 212 Firewall Access Gateway Plug in 141 Lizenzierung 49 McAfee Personal Firewall Plus 198 Norton Personal Firewall 198 Sygate Personal Firewall 198 Tiny Personal Firewall 199 ZoneAlarm Pro 199 FTP Konfigurieren f r Clients 143 G Gemalto Protiva 18 102 Gemalto Protiva Authentifizierung 26 Gemeinsamer geheimer Schliissel 98 Geschwindigkeitsmodus 39 Gruppenattribute LDAP Autorisierung 87 Gruppeneigenschaften 117 Gruppenpriorit t 118 134 Gruppenressourcen 118 282 Citrix Access Gateway Standard Edition Administratordokumentation Gruppenrichtlinie Installation des Access Gateway Plug ins 146 Gruppen Benutzer hinzufiigen 121 Gruppenzugriff Konfigurationsbeispiele 254 H Hardwareinstallation 35 Herunterfahren des Access Gateways 195 Hostscanregeln siehe Endpunktressource HOSTS Datei bearbeiten 59 HyperTerminal 37 54 H 323 Protokoll 276 IAS siehe Internet Authentication Server ICMP siehe Internet Control Message Protocol ICMP Ubertragungen 272 IEEE 802 11 Unterstiitzung 33 IETF siehe Internet Engineering Taskforce Inaktive Server Access Gateway Advanced Edition 31 Inaktive Sitzung Timeo
308. stellen und Zuweisen von Netzwerkressourcen f r die Benutzergruppen Erstellen einer Anwendungsrichtlinie f r den E Mail Server Diese Schritte werden im Folgenden genauer erl utert Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 251 Konfigurieren der zug nglichen Netzwerke Das Konfigurieren der zug nglichen Netzwerke ist der erste von f nf Arbeitsschritten die der Administrator ausf hrt um beim Konfigurationsszenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Arbeitsschritt gibt der Administrator die internen Netzwerke mit den Netzwerkressourcen an auf die Benutzer ber den Access Gateway Plug in zugreifen m ssen Im vorigen Arbeitsschritt hat der Administrator festgelegt dass Remotebenutzer aus den Abteilungen Vertrieb und Technik auf die in die Ressourcen in folgenden internen Netzwerken Zugriff haben m ssen Webkonferenzserver Dateiserver und E Mail Server in Netzwerk 10 10 0 0 24 Server mit der Webanwendung f r den Vertrieb in Netzwerk 10 60 10 0 24 Der Administrator legt diese Netzwerke als zug ngliche Netzwerke fest Durch Festlegen der zug nglichen Netzwerke kann das Access Gateway Plug in Split Tunneling unterst tzen Wenn sich Benutzer am Access Gateway anmelden leitet das Access Gateway diese Netzwerkliste an das Access Gateway Plug in auf dem Computer der Benutzer weiter Das Access Gateway Pl
309. t Wie bereits oben erw hnt ben tigen die Benutzer im Vertrieb Zugriff auf die folgenden Systeme E Mail Server Webkonferenzserver und mehrere Dateiserver im Netzwerk 10 10 0 0 24 Webanwendung f r den Vertrieb im Netzwerk 10 60 10 0 24 So erstellen Sie die Netzwerkressource Vertriebsressource f r die Benutzer im Vertrieb 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf Network Resources und klicken Sie dann auf New Network Resource 3 Geben Sie Vertriebsressource als Namen f r die Netzwerkressource ein und klicken Sie auf OK 4 Geben Sie im Feld Network and subnet mask die beiden IP Adress Subnetzpaare f r die Ressourcen ein Trennen Sie diese IP Adress Subnetzpaare jeweils durch ein Leerzeichen voneinander 10 10 0 0 24 10 60 10 0 24 5 Zur Vereinfachung dieses Beispiels bernimmt der Administrator die Standardwerte f r die anderen Einstellungen im Eigenschaften Dialogfeld der Netzwerkressource und klickt auf OK Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 257 Nach dem Erstellen dieser Netzwerkressource geht der Administrator wie nachstehend beschrieben vor um diese Netzwerkressource der Zugriffssteuerungsliste f r die Benutzergruppe Vertriebsau endienst hinzuzuf gen 1 Klicken Sie im Access Gateway Administration Tool auf die Registerkarte Access Policy Manager 2 Erweitern Sie im linken Berei
310. t Generator mit dem automatisch eine Zertifikatsanforderung erstellt werden kann Nachdem die Datei von der Zertifizierungsstelle zur ckgesendet wurde kann sie auf das Access Gateway hochgeladen werden Die hochgeladene Datei wird automatisch in das korrekte Format umgewandelt Wenn Sie zum Erstellen des signierten Zertifikats nicht den Certificate Request Generator verwenden m chten empfiehlt Citrix f r die Verwaltung von Zertifikatsaufgaben Win32 OpenSSL zu verwenden N here Informationen zu Win32 Open SSL finden Sie auf der OpenSSL Website unter http www openssl org Bin rdateien f r Win32 Open SSL k nnen von der Website http www openssl org related binaries html heruntergeladen werden Wenn Sie mit der Manipulation von Zertifikaten vertraut sind k nnen Sie auch Tools verwenden um eine PEM formatierte Datei zu erstellen Das Zertifikat das Sie auf das Access Gateway hochladen muss die folgenden Eigenschaften haben Das Zertifikat muss im PEM Format vorliegen und einen privaten Schl ssel enthalten Das signierte Zertifikat und der private Schl ssel m ssen unverschl sselt sein Wenn zum Entschl sseln ein Kennwort vorhanden ist kann ein verschl sselter ffentlicher Schl ssel verwendet werden Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 235 Entschlusseln des privaten Schlussels F hren Sie die hier genannten Schritte nur aus wenn die Methode die Sie zum Generieren des privaten Schl s
311. t LDAP Anmeldeinformationen von einer anderen Dom ne als der Dom ne anmelden f r die das Webinterface eingerichtet ist Zur L sung dieses Problems m ssen Sie sicherstellen dass die Standarddom ne auf dem Server auf dem das Webinterface ausgef hrt wird mit dem Standardbereich im Access Gateway identisch ist Stellen Sie au erdem sicher dass das Access Gateway f r LDAP Authentifizierung konfiguriert ist und dass der LDAP Server ein Dom nencontroller in derselben Dom ne wie das Webinterface ist Benutzer k nnten sich auch mit einem Bereichsnamen am Access Gateway anmelden aber der Bereichsname ist nicht derselbe wie der Dom nenname Bereichsnamen m ssen mit den entsprechenden Active Directory Dom nennamen bereinstimmen Damit sich Benutzer mit einem anderen Bereichsnamen als dem des Standardbereichs anmelden k nnen geben Sie den Bereichsnamen und den Benutzernamen ein z B Bereichsname Benutzername Wenn sich die Benutzer am Access Gateway anmelden werden dann der Bereichsname und der Benutzername an das Webinterface bergeben Das Webinterface wandelt den Bereichsnamen und den Benutzernamen in den Dom nennamen und Benutzernamen um Anhang D Problembehandlung beim Access Gateway 271 Benutzer werden zu einer Anmeldeseite geleitet auf der sie zum Starten des Access Gateway Plug ins aufgefordert werden In den Gruppeneigenschaften der Standardgruppe bzw der Gruppe mit der h chsten Priorit t des Benutzers ist auf
312. te Netzwerk bestimmt ist und leitet den Verkehr an das private Netzwerk weiter Das Access Gateway sendet den Verkehr ber einen sicheren Tunnel zum Clientger t zur ck Wenn Benutzer sich mit dem Access Gateway Plug in anmelden werden sie vom Access Gateway aufgefordert sich zu authentifizieren Das Access Gateway authentifiziert die Anmeldeinformationen mit einem Authentifizierungsverfahren z B mit der lokalen Authentifizierung RSASecurlD SafeWord LDAP NTLM oder RADIUS Wenn die Anmeldeinformationen korrekt sind schlie t das Access Gateway den Handshake mit dem Plug in ab Dieser Anmeldeschritt ist nur dann erforderlich wenn Benutzer das Secure Access Plug in zum ersten Mal herunterladen Wenn Benutzer hinter einem Proxyserver sind k nnen sie den Proxyserver und die Authentifizierungsinformationen angeben Weitere Informationen hierzu finden Sie unter Konfigurieren von Proxyservern f r das Access Gateway Plug in auf Seite 144 Das Secure Access Plug in wird auf dem Clientger t installiert Nach der ersten Verbindung k nnen Benutzer sich mit einem Webbrowser oder ber das Startmen anmelden Das Dialogfeld Citrix Access Gateway Optionen in dem Sie Clientger teinstellungen machen kann auch ber das Startmen ge ffnet werden oder indem Sie im Anmeldedialogfeld mit der rechten Maustaste klicken 140 Citrix Access Gateway Standard Edition Administratordokumentation So ffnen Sie das Optionen Dialogfeld ber
313. tellung des Access Gateways sollten Sie alle Verzeichnisse und die Authentifizierungsserver in der Netzwerkumgebung einrichten die zur Unterst tzung einer der folgenden Authentifizierungsarten erforderlich sind LDAP RADIUS RSA SecurID NTLM SafeWord Produkte von Secure Computing Gemalto Protiva Falls Ihre Umgebung die oben genannten Authentifizierungsarten nicht unterst tzt oder nur wenige Remotebenutzer vorhanden sind k nnen Sie eine Liste lokaler Benutzer auf dem Access Gateway anlegen und das Access Gateway so konfigurieren dass die Benutzer anhand dieser lokalen Liste authentifiziert werden Bei dieser Konfiguration ist es nicht n tig Benutzerkonten in einem separaten externen Verzeichnis anzulegen Weitere Informationen zur Authentifizierung und Autorisierung finden Sie unter Beispiele f r die Konfiguration des Netzwerkzugriffs auf Seite 241 und Konfigurieren der Authentifizierung und Autorisierung auf Seite 71 Kapitel 3 Planen der Bereitstellung 27 Bereitstellen des Access Gateways mit Citrix XenApp oder Citrix XenDesktop Wird das Access Gateway mit dem Ziel bereitgestellt f r sicheren Remotezugriff auf Citrix XenApp oder XenDesktop zu sorgen erm glicht das Access Gateway gemeinsam mit dem Webinterface und der Secure Ticket Authority STA den Zugriff auf ver ffentlichte Anwendungen und Desktops die in einer Serverfarm gehostet werden Die Konfiguration des Netzwerks Ihres Unternehmens besti
314. ten Authentifizierungsumgebung sehen Benutzer bei der Anmeldung zwei Kennwortfelder Wenn sich Benutzer mit nur einem Authentifizierungstyp anmelden bleibt das zweite Kennwortfeld leer Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 109 So erstellen und konfigurieren Sie einen Bereich mit Zweimethodenauthentifizierung 1 Klicken Sie auf die Registerkarte Authentication 2 Geben Sie unter Add an Authentication Realm in das Feld Realm name einen Namen ein 3 W hlen Sie Two Source und klicken Sie dann auf Add 4 Legen Sie im Dialogfeld Select Authentication Type unter Primary authentication type und Secondary authentication type das jeweilige Authentifizierungsverfahren fest Klicken Sie auf OK 5 Konfigurieren Sie auf der Registerkarte Primary Authentication die Einstellungen f r den ersten Authentifizierungstyp und klicken Sie auf Submit 6 Konfigurieren Sie auf der Registerkarte Secondary Authentication die Einstellungen f r den zweiten Authentifizierungstyp und klicken Sie auf Submit 7 Wahlen Sie auf der Registerkarte Authorization unter Authorization type den gew nschten Autorisierungstyp aus konfigurieren Sie die Einstellungen und klicken Sie auf Submit Bei der Zweimethodenauthentifizierung wird die prim re Authentifizierung zuerst berpr ft Ist diese erfolgreich wird die sekund re Authentifizierung gepr ft Wenn Sie z B auf der Registerkarte Secondary Authentication RSA SecurID und au
315. terien username lokaler Benutzername auf dem Access Gatewayclient_cert_end user _subject_common_name CN Attribut des Betreffs des Clientzertifikats client_cert_end_user_subject_organizational_unit OU Attribut des Betreffs des Clientzertifikats certificateclient_cert end user_subject_organization O Attribut des Betreffs des Clientzertifikats Die Werte f r die Clientzertifikatskriterien m ssen in Anf hrungszeichen gesetzt werden Beispiele f r richtige und falsche Schreibweise Der boolesche Ausdruck client_cert_end_user_subject_common_name gultig und funktioniert clients gateways citrix com ist Der boolesche Ausdruck client_cert_end_user_subject_common_name clients gateways citrix com ist ung ltig und funktioniert nicht So legen Sie die Clientzertifikatskonfiguration fest 1 Klicken Sie mit der rechten Maustaste auf der Registerkarte Access Policy Manager auf eine andere Gruppe als die Standardgruppe und klicken Sie dann auf Properties Hinweis F r die Standardbenutzergruppe ist die Clientzertifikatskonfiguration nicht verf gbar 2 Geben Sie auf der Registerkarte Client Certificate unter Client certificate criteria expression die Zertifikatsinformationen ein und klicken Sie auf OK Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 167 Verwenden von Clientzertifikaten mit Access Gateway Advanced Edition Sowohl fiir das Access Gateway als auch f
316. teway Ger te im Netzwerk bertragen Sie k nnen mit dem Administration Tool au erdem Ger testatistiken anzeigen und die Netzwerkverwendung berwachen Im linken Bereich des Administration Tool Fensters finden Sie Hilfeinformationen f r die aktuell ausgew hlte Registerkarte Die Onlinehilfe passt sich an die Aufgabe an die Sie gerade ausf hren Au erdem werden im Bereich Alerts ber der Onlinehilfe Warnungen angezeigt Warnungen informieren Sie wenn auf dem Access Gateway ein Problem aufgetreten ist z B eine fehlende Lizenz oder ein Zertifikat Das Administration Tool wird vom Administration Portal aus heruntergeladen und installiert Wichtig Bei einem Upgrade von einer lteren Access Gateway Version m ssen Sie das Administration Tool zun chst ber die Systemsteuerung deinstallieren bevor Sie die neueste Version vom Administration Portal herunterladen und installieren So installieren und starten Sie das Administration Tool 1 Klicken Sie im Administration Portal auf Downloads 2 Klicken Sie unter Access Gateway Administration Tool auf Install the Access Gateway Administration Tool und klicken Sie dann auf Run 3 Folgen Sie den Anweisungen im Installationsassistenten um das Administration Tool zu installieren 4 Sie starten das Administration Tool indem Sie auf Start gt Alle Programme gt Citrix gt Access Gateway Administration Tool 4 6 gt Access Gateway Administration Tool 4 6 oder das Symbol auf de
317. teway f r die Verbindungen verf gbar ist wenn ein anderes Access Gateway ausf llt Diese Konfiguration gew hrt eine hohe Verf gbarkeit des internen Netzwerks f r die Remotebenutzer Um sowohl Skalierbarkeit als auch Failover zu unterst tzen stellen Sie vor den Access Gateway Ger ten einen Load Balancer bereit Ein Load Balancer eignet sich in der Regel f r gr ere Unternehmen mit zahlreichen Remotebenutzern Weitere Informationen hierzu finden Sie unter Konfigurieren mehrerer Ger te f r die Verwendung eines Load Balancers auf Seite 206 202 Citrix Access Gateway Standard Edition Administratordokumentation Soll nur Failover unterst tzt werden k nnen Sie zwei oder mehrere Access Gateway Ger te bereitstellen und dann ein Ger t mit dem Administration Tool so konfigurieren dass dieses Ger t das Failover auf bis zu drei weitere Ger te ausf hrt Wenn ein Access Gateway ausf llt werden die Benutzer automatisch mit einem anderen Access Gateway verbunden Bei dieser Form der Bereitstellung ist kein Load Balancer erforderlich Weitere Informationen hierzu finden Sie unter Konfigurieren von Access Gateway Failover auf Seite 212 Beim Konfigurieren von Lastausgleich und Failover k nnen Sie wahlweise weitere Ger te in den Cluster aufnehmen dies ist jedoch nicht zwingend erforderlich In diesem Kapitel wird vorausgesetzt dass Sie die folgenden Aufgaben bereits erledigt haben Sie haben aufjedem Access Gateway die T
318. teways mit Citrix XenApp oder Citrix XenDesktop 27 Bereitstellen von Access Gateway in einer Double Hop DMZ 27 Bereitstellen weiterer Ger te f r Lastausgleich und Failover 28 Bereitstellen von Access Gateway Ger ten hinter einem Load Balancer 29 Bereitstellen von Access Gateway Advanced Edition 0005 30 Konfigurieren mehrerer Server in einer Access Serverfarm 31 Kapitel 4 Erstmalige Installation des Access Gateways Vorbereitung f r die Installation von Access Gateway 00 eee 33 Zubeh r und erforderliche Informationen f r die Installation 34 Einrichten der Access Gateway Hardware 22202 cee cece eee eee 35 Konfigurieren der TCP IP Einstellungen f r Access Gateway 36 Konfigurieren der TCP IP Einstellungen mit der seriellen Konsole 36 Konfigurieren der TCP IP Einstellungen mit Netzwerkkabeln 38 Konfigurieren der TCP IP Einstellungen fiir eine Double Hop Bereitstellung 41 Neustarten des Access Gateways 0 0 ccc cette eens 42 Kapitel 5 Konfigurieren des Access Gateways fur die Netzwerkumgebung Installieren von Lizenzen ocara raka a N A AREA E TA AA 43 Lizenztypen f r Access Gateway 2 0 ccc ccc nnen 44 Ermitteln von Lizenzierungsstatistiken 0 0 cece ce eee 45 Abrufen Ihrer Lizenzdateien sos sso revet ero cece eee eens 46 Konfigurieren von Lizenzen f r mehrere Gerate
319. tger t die Datenverbindung zu Ihrem FTP Server und nicht Ihr FTP Server die Datenverbindung zum Remotecomputer einrichtet Da die Benutzer mit den Dateien und Anwendungen arbeiten als w ren sie lokal im Netzwerk der Organisation ist keine Schulung der Benutzer und keine Konfiguration der Anwendungen n tig Es gibt eine E Mail Vorlage mit den in diesem Abschnitt besprochenen Informationen Die Vorlage ist auf der Downloads Seite des Administration Portals Citrix empfiehlt den Text f r Ihre Site anzupassen und die E Mail dann an die Benutzer zu senden 144 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren von Proxyservern fur das Access Gateway Plug in Wenn das Access Gateway Plug in die Verbindung herstellt bevor die Richtlinien vom Access Gateway heruntergeladen werden fragt das Plug in Clientproxyeinstellungen vom Betriebssystem ab Wenn die automatische Erkennung aktiviert ist ndert das Access Gateway Plug in automatisch die Clientproxyeinstellungen zu denen des Betriebssystems Das Access Gateway Plug in versucht eine Verbindung zum Access Gateway herzustellen die Vorauthentifizierungsrichtlinien herunter zu laden und fordert dann die Benutzer auf die Anmeldeinformationen einzugeben Wenn das Access Gateway Plug in die Clientproxyeinstellungen nicht automatisch erkennen kann wird eine direkte Verbindung ohne Proxyserver hergestellt Die automatische Erkennung der Proxyeinstellungen wird
320. thematische Darstellung der Informationen und l sst sich mit den Pr fsummen in Daten bertragungsprotokollen vergleichen Bei Eingang der Daten an ihrem Zielort wird die Hashfunktion vom Empf nger berechnet Wenn der Wert der vom Empf nger berechneten Hashfunktion mit dem des Absenders bereinstimmt ist die Integrit t der Nachricht gew hrleistet Kryptografietypen Im Wesentlichen werden zwei Kryptografietypen unterschieden Kryptografie mit einem Geheimschl ssel Kryptografie mit einem ffentlichen Schl ssel In kryptografischen Systemen bezieht sich der Begriff Schl ssel auf einen numerischen Wert der von einem Algorithmus zum ndern von Informationen verwendet wird wodurch diese Informationen gesch tzt und nur f r die Personen sichtbar sind die ber den entsprechenden Schl ssel zum Abfragen der Informationen verf gen Die Kryptografie mit einem Geheimschl ssel wird auch als symmetrische Verschl sselung bezeichnet Bei diesem Kryptografietyp kennen Absender und Empf nger denselben Geheimcode den sogenannten Schl ssel Das Verschl sseln von Nachrichten auf Seiten des Absenders und das Entschl sseln auf Seiten des Empf ngers erfolgt mit demselben Schl ssel Dieses Verfahren eignet sich f r die Daten bertragung bei einer begrenzten Personenzahl ist allerdings f r den Austausch von Geheimschl sseln bei einer Vielzahl von Personen impraktikabel Au erdem ist die sichere Mitteilung des Geheimschl ssels proble
321. tion und unter Add an Authentication Realm auf Advanced 2 Geben Sie in den Feldern Password label und Secondary password label die Beschriftungen f r die Felder ein 3 Klicken Sie auf OK Wenn sich Benutzer anschlie end anmelden sehen sie die neuen Feldbeschriftungen Konfigurieren von Netzwerkzugriff und Gruppenressourcen Benutzer greifen ber das Netzwerk auf interne Ressourcen zu Sie k nnen Zugriff auf beliebige Subnetze Ihres Netzwerks gew hren oder verweigern Beispiel Sie k nnen einem Benutzer Zugriff auf eine Dateifreigabe auf Ihrem Netzwerk gew hren oder dem Benutzer vollen Zugriff auf alle Ressourcen im Netzwerk geben Wenn Sie Netzwerkzugriff und Gruppenressourcen konfigurieren erstellen Sie Zugriffssteuerungslisten Basierend auf diesen Listen k nnen Sie steuern auf welche Ressourcen Benutzer zugreifen k nnen wenn sie eine Verbindung zum gesicherten Netzwerk herstellen Dieses Kapitel enth lt Konfigurieren des Netzwerkrouting Bereitstellen von Netzwerkzugriff f r Benutzer Konfigurieren von Benutzergruppen Konfigurieren von Ressourcen f r eine Benutzergruppe Konfigurieren von Netzwerkressourcen Festlegen von Anwendungsrichtlinien Konfigurieren von Endpunktrichtlinien und ressourcen e Festlegen der Priorit t von Gruppen Konfigurieren des Access Gateways f r Citrix Branch Repeater 112 Citrix Access Gateway Standard Edition Administratordokumentation
322. tration Tool erstellt Certificate Signing Request ist die Register karte auf der eine CSR Datei erstellt wird Die erstellte Datei wird per E Mail zum Signieren an die Zertifizierungsstelle gesendet Die Zertifizierungsstelle signiert das Zertifikat und sendet es an die angegebene E Mail Adresse zur ck Anschlie end k nnen Sie das Zertifikat auf dem Access Gateway installieren Zur sicheren Daten bertragung mit SSL TLS muss ein Serverzertifikat auf dem Access Gateway vorliegen So k nnen Sie ein Serverzertifikat abrufen und auf dem Access Gateway installieren Erstellen Sie eine CSR myserver csr auf der Registerkarte Certificate Signing Request im Administration Tool Senden Sie die Datei myserver csr per E Mail an einen autorisierten Zertifikatsanbieter Sobald Sie die signierte Zertifikatdatei von der Zertifizierungsstelle erhalten laden Sie das Zertifikat mit dem Administration Tool hoch Das Administration Tool wandelt das Zertifikat automatisch in das vom Access Gateway geforderte PEM Format um Kennwortgesch tzte private Schl ssel Die mit der Zertifikatsignieranforderung erstellten privaten Schl ssel werden verschl sselt und kennwortgesch tzt auf dem Access Gateway gespeichert Beim Erstellen der Zertifikatsignieranforderung werden Sie aufgefordert ein Kennwort f r den privaten Schl ssel festzulegen Dieses Kennwort sch tzt den privaten Schl ssel vor Manipulationen und ist au erdem beim Wiederherstellen e
323. ttechniker die E Mail Anwendungsrichtlinie zu Durch das Hinzuf gen der Richtlinie zu diesen Gruppen ist gew hrleistet dass diese Gruppen stets auf die E Mail Anwendung auf dem vom Administrator in der Anwendungsrichtlinie angegebenen E Mail Server zugreifen 260 Citrix Access Gateway Standard Edition Administratordokumentation So implementieren Sie die Anwendungsrichtlinie f r den E Mail Server 1 Erstellen Sie im rechten Bereich auf der Registerkarte Access Policy Manager im Access Gateway Administration Tool eine neue Netzwerkressource E Mail Server Geben Sie f r diese Netzwerkressource nur die IP Adresse des E Mail Servers an auf den die Benutzer zugreifen d rfen z B 10 10 25 50 32 Diese Vorgehensweise ist im Wesentlichen identisch mit den vorigen Arbeitsschritten bei denen die Netzwerkressourcen f r die Benutzer in den Bereichen Vertrieb und Technik definiert wurden Klicken Sie mit der rechten Maustaste im rechten Bereich auf Application Policies und klicken Sie dann auf New Application Policy Geben Sie im Feld Application Resource Name E Mail Anwendungsrichtlinie ein und klicken Sie auf OK Suchen und markieren Sie die E Mail Anwendung die auf dem Server mit der IP Adresse 10 10 25 50 32 ist Im Feld MD5 wird automatisch die Bin rsumme der Anwendung eingetragen Klicken Sie im linken Bereich auf die soeben erstellte Netzwerkressource E Mail Server und ziehen Sie diese auf Application netw
324. typ aus und klicken Sie dann auf OK 7 Konfigurieren Sie die Authentifizierungseinstellungen Weitere Informationen finden Sie in den folgenden Abschnitten Konfigurieren der lokalen Authentifizierung auf Seite 78 Konfigurieren von LDAP Authentifizierung und Autorisierung auf Seite 81 e Konfigurieren von RADIUS Authentifizierung und Autorisierung auf Seite 90 Konfigurieren der RSA SecurID Authentifizierung auf Seite 95 Konfigurieren der Authentifizierung mit Secure Computing SafeWord auf Seite 99 Konfigurieren der Gemalto Protiva Authentifizierung auf Seite 102 e Konfigurieren von NTLM Authentifizierung und Autorisierung auf Seite 103 Erstellen von zus tzlichen Bereichen Neben dem Bereich Default k nnen noch weitere Bereiche erstellt werden Beispiel Der Bereich Default soll f r die Authentifizierung bei einem LDAP Server verwendet werden Wenn Sie f r die Benutzer zus tzliche Authentifizierungsmethoden verwenden m chten wie z B RADIUS SafeWord RSA SecurID NTLM oder lokale Authentifizierung am Ger t k nnen Sie f r jede dieser Methoden einen Bereich erstellen Wenn sich ein Benutzer an anderen Bereichen als dem Bereich Default anmeldet muss er den Namen des Bereichs und seinen Benutzernamen eingeben z B Bereichsname Benutzername Hinweis Citrix empfiehlt die Bereiche nach den dazugeh rigen Dom nen zu benennen Dadurch k nnen sich Benutzer entweder mit Bereichsna
325. tzer Mitglied ist Klicken Sie auf Submit Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 89 Verwenden von Zertifikaten fur sichere LDAP Verbindungen F r die LDAP Authentifizierung und Autorisierung k nnen Sie ein sicheres Clientzertifikat verwenden Hierf r ben tigen Sie eine Zertifizierungsstelle im Unternehmen z B die Zertifikatdienste in Windows Server 2003 die auf demselben Computer wie Active Directory ausgef hrt werden ber die Zertifizierungsstelle k nnen Sie ein Clientzertifikat erstellen F r die LDAP Authentifizierung und Autorisierung muss das Clientzertifikat sicher sein und SSL verwenden Sichere Clientzertifikate f r LDAP werden auf das Access Gateway hochgeladen So laden Sie ein sicheres Clientzertifikat f r LDAP hoch 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Access Gateway und klicken Sie auf die Registerkarte Administration 2 Klicken Sie neben Upload a pem private key and signed certificate auf Browse 3 Gehen Sie zum Clientzertifikat und klicken Sie auf ffnen Bestimmen der Attribute in Ihrem LDAP Verzeichnis Wenn Sie bei der Bestimmung Ihrer LDAP Verzeichnisattribute Hilfe ben tigen k nnen Sie mit der kostenlos erh ltlichen Anwendung LDAP Browser von Softerra ganz einfach nach diesen Attributen suchen Laden Sie die kostenlos erh ltliche Anwendung LDAP Browser von der Softerra LDAP Administrator Website http www ldapbro
326. tzername und das Kennwort eingegeben werden mussten Die Ursache ist dass Sie die Portalseitenauthentifizierung deaktiviert haben Aktivieren Sie im Administration Tool auf der Registerkarte Global Cluster Policies unter Advanced options die Option Enable logon page authentication Wenn diese Option deaktiviert ist wird nicht authentifizierter Netzwerkverkehr an das Webinterface gesendet Dies ist zwar eine g ltige Konfiguration Sie m ssen aber sicherstellen dass das Webinterface in der DMZ ist 270 Citrix Access Gateway Standard Edition Administratordokumentation Nach dem Anmelden werden keine Anwendungen angezeigt Benutzern die sich am Access Gateway anmelden werden die Anwendungen nicht angezeigt Das Message Center gibt an dass keine Dom ne festgelegt wurde Standardm ig bergibt das Access Gateway nur den Benutzernamen und das Kennwort an das Webinterface Um dieses Problem zu beheben konfigurieren Sie in der Access Management Console eine Standarddom ne oder eine Dom nenliste an denen sich der Benutzer anmelden kann Das Webinterface verwendet die in der Liste an erster Stelle stehende Dom ne als Standarddom ne Benutzer die sich am Access Gateway anmelden sehen zwar das Webinterface nicht aber ihre Anwendungen Das Message Center gibt an dass die Anmeldeinformationen des Benutzers ung ltig sind Die wahrscheinlichste Ursache f r diese Fehlermeldung ist dass die Benutzer sich am Access Gateway mit Nich
327. tzungstimeouts Aktivieren von IP Pooling In manchen Situationen brauchen Benutzer die sich mit dem Secure Access Plug in verbinden eine einzigartige IP Adresse f r das Access Gateway So muss z B in einer Samba Umgebung jeder Benutzer der eine Verbindung zu einem zugewiesenen Netzlaufwerk herstellt den Eindruck erwecken dass er sich von einer anderen IP Adresse aus anmeldet Wenn Sie das IP Pooling f r eine Gruppe aktivieren kann das Access Gateway jedem Client einen eindeutigen IP Adressalias zuweisen 160 Citrix Access Gateway Standard Edition Administratordokumentation Sie k nnen das Gatewayger t angeben das f r das IP Pooling verwendet werden soll Als Gatewayger t kommen sowohl das Access Gateway selbst als auch einige andere Ger te infrage Wenn Sie kein Gateway festlegen wird auf der Basis der Einstellungen auf der Registerkarte General Networking eine Access Gateway Schnittstelle verwendet wobei Folgendes gilt Wenn Sie nur die Schnittstelle 0 konfiguriert haben das Access Gateway ist innerhalb der Firewall wird die IP Adresse der Schnittstelle 0 als Gateway verwendet Wenn Sie die Schnittstellen 0 und 1 konfiguriert haben das Access Gateway ist in der DMZ wird die IP Adresse der Schnittstelle 1 als Gateway verwendet In diesem Szenario ist Schnittstelle 1 die interne Schnittstelle Die IP Poolingkonfiguration muss auf allen gleichartigen Access Gateway Ger ten im Cluster konsistent sein Wen
328. tzustellen w hlen Sie Use the multiple logon option page und klicken Sie auf OK Hinweis Das Webinterface muss Verbindungen vom Access Gateway unterst tzen um diese Konfiguration abschlie en zu k nnen Weitere Informationen ber die Konfiguration des Webinterface finden Sie in der Citrix Access Gateway Standard Edition Integrationsdokumentation f r Citrix XenApp und Citrix XenDesktop Anmelden wenn Vorauthentifizierungsrichtlinien konfiguriert sind Ist eine Vorauthentifizierungsrichtlinie auf dem Access Gateway konfiguriert wird das Citrix Prescan Plug in auf das Clientger t heruntergeladen und installiert wenn Benutzer sich ber eine Webadresse oder ber das Startmen verbinden Falls das Clientger t die Richtlinien berpr fung vor der Authentifizierung besteht werden die Benutzer mit der Anmeldeseite verbunden von wo aus sie sich mit ihren Anmeldeinformationen am Access Gateway anmelden k nnen Sollte der Vorauthentifizierungsscan fehlschlagen werden die Benutzer in einer Fehlermeldung aufgefordert sich mit dem Helpdesk oder dem Systemadministrator in Verbindung zu setzen Weitere Informationen finden Sie unter Konfigurieren von Vorauthentifizierungsrichtlinien auf Seite 135 180 Citrix Access Gateway Standard Edition Administratordokumentation Wartung des Access Gateways In diesem Kapitel werden die Wartungseinstellungen fiir das Access Gateway und die Tools mit denen sie konfiguriert werden bes
329. u Stammzertifikaten finden Sie unter Installieren von Stammzertifikaten auf dem Access Gateway auf Seite 56 So legen Sie fest dass f r interne Clientverbindungen Serverzertifikate vorhanden sein m ssen Aktivieren Sie auf der Registerkarte Global Cluster Policies unter Select security options die Option Validate secure certificates for internal connections 240 Citrix Access Gateway Standard Edition Administratordokumentation Verwenden von Platzhalterzertifikaten Das Access Gateway unterstiitzt die Uberpriifung von Platzhalterzertifikaten fiir das Access Gateway Plug in Platzhalterzertifikate sind am Sternchen in ihrem Namen erkennbar Sie k nnen eines der beiden folgenden Formate haben meinefirma com oder www meinefirma com Bei Verwendung eines Platzhalterzertifikats k nnen die Benutzer zwischen unterschiedlichen Webadressen w hlen z B http www l meinefirma com oder http www2 meinefirma com Durch die Verwendung eines Platzhalterzertifikats kann ein Zertifikat f r mehrere Websites verwendet werden Beispiele fur die Konfiguration des Netzwerkzugriffs Nachdem Sie das Access Gateway installieren und fiir den Betrieb in Ihrer Netzwerkumgebung konfiguriert haben k nnen Sie den Benutzerzugriff auf die Server Anwendungen und sonstigen Ressourcen im internen Netzwerk mit dem Administration Tool konfigurieren Das Konfigurieren des Benutzerzugriffs auf interne Netzwerkressourcen schlie t die folgenden Sch
330. ug in Klicken Sie mit der rechten Maustaste im Infobereich der Taskleiste auf das Secure Access Symbol und w hlen Sie im Kontextmen den Befehl Trennen Installieren des Access Gateway Plug ins f r Linux Das Access Gateway Plug in unterst tzt Linux Kernel 2 6 Wenn Benutzer sich mit dem Access Gateway Plug in f r Linux anmelden empfiehlt Citrix das Plug in f r externe Verbindungen zu verwenden z B ber das Internet und nicht f r Verbindungen vom internen Netzwerk Wenn die Verbindung von einem Linux Computer hergestellt wird klicken Sie auf Download um den Download zu starten und die Anweisungen f r die Installation des Access Gateway Plug in f r Linux anzuzeigen Wichtig Damit das Access Gateway Plug in f r Linux korrekt funktioniert aktivieren Sie Split Tunneling auf dem Access Gateway Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 157 Bevor Sie das Access Gateway Plug in f r Linux installieren sollte der Linux TUN TAP Treiber auf dem Clientger t installiert sein Wenn er nicht installiert ist w hlen Sie in der Kernelkonfiguration Device Drivers gt Network device support gt Universal TUN TAP device drive support Nachdem dies ausgew hlt ist kompilieren Sie den Kernel neu Au erdem muss auch das Stat Dienstprogramm auf dem Clientger t installiert sein Sie k nnen das Stat Dienstprogramm mit dem Coreutils Paket des Linux Systems installieren Au
331. ug in verwendet die Liste als Filter um festzulegen welche ausgehenden Pakete an das Access Gateway und welche Pakete anderweitig weitergeleitet werden sollen Das Access Gateway Plug in leitet nur die f r das Access Gateway bestimmten Pakete ber den sicheren Tunnel an das Access Gateway weiter Hinweis Wenn Split Tunneling nicht unterst tzt werden soll er brigt sich das Konfigurieren der zug nglichen Netzwerke 252 Citrix Access Gateway Standard Edition Administratordokumentation So konfigurieren Sie zugangliche Netzwerke 1 Offnen Sie das Administration Tool Klicken Sie auf die Registerkarte Global Cluster Policies Wahlen Sie ggf unter Access options die Option Enable split tunneling es oe iS Geben Sie im Feld Accessible networks alle internen Netzwerke ein auf die das Access Gateway zugreifen muss Trennen Sie die einzelnen Netzwerkeintr ge durch ein Leerzeichen oder einen Zeilenumbruch voneinander Bei diesem Zugriffsszenario w rde der Administrator die folgenden Eingaben machen 10 10 0 0 24 10 60 10 0 24 gt Wahlen Sie unter Advanced options die Option Enable logon page authentication Bei dieser Einstellung m ssen sich die Benutzer authentifizieren wenn sie tiber einen Webbrowser auf das Access Gateway zugreifen Zur Vereinfachung dieses Beispiels wird angenommen dass der Administrator alle anderen Kontrollk stchen auf der Registerkarte Global Cluster Policies deaktiviert Weitere Informati
332. und ihre jeweiligen verbundenen Unternehmen Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 229 Zertifikatketten Einige Organisationen delegieren die Ausstellung von Zertifikaten um das mit der r umlichen Trennung zwischen Organisationseinheiten einhergehende Problem oder das Problem das auf die Anwendung unterschiedlicher Ausstellungsrichtlinien f r verschiedene Organisationsbereiche zur ckzuf hren ist zu l sen Die Verantwortung f r die Ausstellung von Zertifikaten kann durch die Einrichtung von untergeordneten Zertifizierungsstellen delegiert werden Der X 509 Standard enth lt ein Modell mit dem sich eine Hierarchie von Zertifizierungsstellen einrichten l sst Bei diesem Modell ist die Stammzertifizierungsstelle auf der obersten Hierarchieebene und hat ein selbstsigniertes Zertifikat Die der Stammzertifizierungsstelle direkt untergeordneten Zertifizierungsstellen lassen Zertifizierungsstellenzertifikate von der Stammzertifizierungsstelle signieren Zertifizierungsstellen die in der Hierarchie unter den untergeordneten Zertifizierungsstellen sind lassen ihre Zertifizierungsstellenzertifikate von den untergeordneten Zertifizierungsstellen signieren selbst signiertes CA Zertifikat CA Zertifikat signiert von Root CA ntergeordnete Untergeordnete Untergeordnete CA CA CA CA Zertifikat signiert von US CA Untergeordnete Untergeordnete Untergeordnete CA CA CA CA Zertifikat signiert
333. ungen oder das gesamte Intranet Sie legen die Ressourcen fest Paare aus IP Adressbereichen Subnetzmasken auf die die Remotebenutzer ber die VPN Verbindung zugreifen k nnen Weitere Informationen hierzu finden Sie unter Konfigurieren von Netzwerkzugriff und Gruppenressourcen auf Seite 111 Alle IP Pakete gleich welchen Protokolls werden abgefangen und ber eine sichere Verbindung weitergeleitet Von lokalen Anwendungen auf dem Clientger t ausgehender Verkehr wird sicher durch den Tunnel zum Access Gateway geleitet der dann die Verbindungen mit dem Zielserver wiederherstellt F r die Zielserver sehen die Verbindungen so aus als stammten sie vom lokalen Access Gateway im privaten Netzwerk sodass die IP Adresse des Clientger ts verborgen wird Dieses Verfahren wird auch Reverse NAT Network Address Translation genannt Das Verbergen der IP Adressen erh ht die Sicherheit der Standorte von denen der Verkehr ausgeht Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 141 Lokal also auf dem Clientger t wird der gesamte verbindungsspezifische Verkehr wie SYN ACK PUSH ACK und FIN Pakete vom Secure Access Plug in neu erstellt damit es so aussieht als k me er vom privaten Server Funktionsweise bei Verwendung von Firewalls und Proxyservern Unter Umst nden sind Benutzer des Secure Access Plug ins hinter der Firewall einer anderen Organisation wie in der folgenden Abbildung dargest
334. urieren der LDAP Authentifizierung und Autorisierung In diesem Beispiel wird schrittweise erl utert wie ein Administrator den Zugriff auf interne Netzwerkressourcen in einer LDAP Umgebung gew hren k nnte Erstellen von Gastkonten mit der Liste Local Users In diesem Beispiel wird das Szenario f r das Konfigurieren der LDAP Authentifizierung und Autorisierung erweitert um das Konzept der lokalen Benutzer zu erl utern Konfigurieren der lokalen Autorisierung In diesem Beispiel wird das Konzept der lokalen Autorisierung erl utert indem die im Szenario f r das Erstellen von Gastkonten beschriebene Konfiguration mit der Liste Local Users geringf gig ge ndert wird 244 Citrix Access Gateway Standard Edition Administratordokumentation Konfigurieren der LDAP Authentifizierung und Autorisierung Dieses Beispiel veranschaulicht wie ein Administrator mit den Einstellungen im Administration Tool den Benutzerzugriff konfigurieren k nnte Das Unternehmen verwendet nur ein LDAP Verzeichnis als Benutzerrepository Remotebenutzer die f r die Vertriebsabteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver eine Webanwendung f r den Vertrieb und mehrere Dateiserver im internen Netzwerk haben Remotebenutzer die f r die technische Abteilung arbeiten m ssen Zugriff auf einen E Mail Server einen Webkonferenzserver und mehrere Dateiserver im internen Netzwerk haben Im internen Netzwerk s
335. ut 163 Inaktivit tstimeout 117 Initialisieren des Access Gateways 195 Installation 38 Access Gateway 33 Access Gateway Plug in 152 Access Gateway Plug in fiir Linux 156 Access Gateway Plug in mit MSI Paket 145 Administration Tool 38 182 einzelne DMZ 23 Hardware 35 Kreuzkabel 38 Lizenzen 47 Material 34 mehrere Stammzertifikate 57 Netzwerkkabel 38 Portalseite 176 Stammzertifikate 56 Zertifikate 51 53 54 Zertifikate Administration Portal 54 Internes Failover 161 Administration Tool 273 Internet Authentication Server RADIUS 90 Internet Control Message Protocol Internet Engineering Taskforce 224 Internet Sicherheitsprotokolle 224 IP Pooling 118 159 ISO X 509 Protokoll 227 K Kennwort Administrator 184 Kennwortbeschriftung 155 Kennw rter Administrator 36 184 privater Schl ssel f r Zertifikat 52 Kennwortfelder 155 Kennwortfelderbeschriftung 110 Kioskmodus 19 Knowledge Center 12 Knowledge Center Benachrichtigungen 13 Konfiguration Anwendungsrichtlinie 126 Authentifizierung ohne Autorisierung 74 Benutzergruppen 115 118 Endpunktressource 129 Endpunktrichtlinie 130 Lokale Benutzer 79 Netzwerkressource 123 Ressourcengruppen 117 Split Tunneling 115 Standardgateway 40 Vorauthentifizierungsrichtlinien 135 Konfigurationsbeispiele Anwendungsrichtlinien 258 Gruppenzugriff bereitstellen 254 LDAP Authentifizierungsbereich 252 lokale Autorisierung 266 lokale Benutzer 262 Netzwerkzugriff 243 zug ngliche Netz
336. verbindung 275 LDAP Zertifikate 89 nur Access Gateway 16 simultan 16 Webadresse verwenden 150 Webinterface 16 Verbindungsprotokolle Access Gateway Plug in 217 Verschl sselung asymmetrisch 226 ffentlicher Schl ssel 227 Verschl sselungssammlungen ausw hlen 169 Verschl sselungssammlungen Beschreibung 225 Verzeichnisattribute LDAP 89 VMWare 272 Vorauthentifizierungsrichtlinien Anmelden 179 Konfigurieren 135 Vorlagen Administration Portal 184 Download ber Portalseite 174 Portalseite 174 184 Portalseite anpassen 175 W Wartung Administration Portal 185 Administration Tool 182 Webinterface 16 118 Anmelden 178 Anwendungen nicht verf gbar 270 Bereitstellung 27 Problembehandlung 269 Zugriff ohne Anmeldeinformationen 269 Websitzungstimeout 164 Wiederherstellen der Systemkonfiguration 193 Windows Anmeldeskripte 162 Single Sign on 148 Windows NT LAN Manager siehe NTLM Authentifizierung Windows XP Access Gateway Plug in 277 WINS Problembehandlung 278 WINS Server Access Gateway Plug in Fenster 156 Einstellung 58 X XenDesktop 18 Lizenzen 19 XenDesktop Verbindungslizenz 44 X 509 Standard 229 Z Zeit Einstellung 66 Synchronisieren Zertifikate 25 224 227 512 Bit Schl sselpaare 276 Ablaufen 231 Access Gateway Advanced Edition 167 Authentifizierung 227 Client 165 Einstellung 53 Emeuerung 231 Erstellen mehrerer Stammzertifikate tiber Befehlszeile 57 Generieren fiir mehrere Ebenen 238
337. von Zugriff f r Benutzer die in keinem Verzeichnis f r die Authentifizierung aufgef hrt sind Gew hren von Zugriff f r Benutzer die in einem Verzeichnis aufgef hrt sind zu dem das Access Gateway keine Verbindung herstellt Gew hren bestimmter Zugriffsrechte auf die internen Netzwerkressourcen f r einen kleinen Benutzerkreis ohne f r diese Benutzer eine neue Gruppe im Verzeichnis erstellen zu m ssen Bei diesem Beispiel wird von Folgendem ausgegangen Silvio Branco und Lisa Marth sind Berater die nicht f r das Unternehmen arbeiten und auch nicht im Authentifizierungsverzeichnis aufgef hrt sind Silvio Branco und Lisa Marth m ssen Remotezugriff auf den Webkonferenzserver im internen Netzwerk haben damit sie an Konferenzen mit Benutzern aus den Bereichen Vertrieb und Technik teilnehmen k nnen die Angestellte der Organisation sind Der Administrator hat die weiter oben in diesem Kapitel beschriebene LDAP Authentifizierung und Autorisierung bereits konfiguriert sodass Benutzer aus den Bereichen Vertrieb und Technik auf den Webkonferenzserver zugreifen k nnen Der Webkonferenzserver hat die IP Adresse 10 10 50 60 Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 263 Hinweis In diesem Beispiel werden Silvio Branco und Lisa Marth als Gastbenutzer angesehen weil sie keine Angestellten des Unternehmens und auch nicht in einem Authentifizierungsverzeichnis aufgef hrt sind
338. wendet werden Erstes Access Gateway Access Gateway ist schl gt fehl Access nicht verf gbar Gateway Plug in muss 3 daher zweites Ger t pr fen wi P 7 Dateiserver z z i ei oc ac x x Internet Clientcomputer verwendet Access Gateway Plug in Verbindung geht an das f r Verbindung zweite Access Gateway Web oder Anwendungsserver Mehrere Access Gateway Ger te sorgen f r Failover Wenn ein Access Gateway f r Failover konfiguriert ist liefert das Access Gateway eine Failoverliste an das Access Gateway Plug in W hrend der Erstverbindung vom Access Gateway Plug in stellt das Access Gateway dem Clientger t die Failoverliste bereit Sobald das Clientger t die Verbindung zum prim ren Access Gateway verliert wird die Liste der Failoverger te durchgegangen Wenn das prim re Access Gateway ausf llt versucht das Clientger t 20 Sekunden lang die Verbindung wiederherzustellen Wenn diese Versuche fehlschlagen wird die Verbindung anhand der Angaben in der Failoverliste hergestellt Das Clientger t f hrt eine DNS Suche nach dem ersten Failoverger t durch und versucht eine Verbindung mit diesem Ger t herzustellen Wenn das erste Failover Access Gateway nicht verf gbar ist versucht es das Clientger t mit dem n chsten Failoverger t Gelingt es dem Clientger t eine Verbindung zu einem Failover Access Gateway herzustellen wird das Clientger t aufgefordert sich anzumelden Sie k nnen bis zu drei A
339. werden k nnte So generieren Sie vertrauensw rdige Stammzertifikate f r mehrere Ebenen 1 ffnen Sie den Internet Explorer und ffnen Sie ber das Access Gateway eine Webadresse Geben Sie z B eine Adresse wie die folgende ein https IP Adresse httpPort www meineseite com wobei gilt IP Adresse ist die IP Adresse des Access Gateways httpPort ist die Access Gateway Portnummer Doppelklicken Sie auf das Schlosssymbol in der rechten unteren Ecke des Browsers Wechseln Sie zur Registerkarte Zertifizierungspfad Doppelklicken Sie auf die erste Pfadebene um die Zertifikatsinformationen f r die erste Ebene aufzurufen und klicken Sie auf die Registerkarte Details Klicken Sie unten auf die Schaltfl che In Datei kopieren Klicken Sie auf der ersten Seite des Zertifikatsexport Assistenten auf Weiter Klicken Sie auf Base 64 codiert und anschlie end auf Weiter Geben Sie einen Dateinamen an Beispiel G tmp servercert cer berpr fen Sie die Informationen und notieren Sie sich den vollst ndigen Dateinamen Klicken Sie auf Fertig stellen Klicken Sie auf OK um das Fenster Zertifikat f r die erste Ebene zu schlie en Wiederholen Sie die Schritte 4 bis 10 f r alle Ebenen au er der letzten Ebene Anhang B Sichern von Verbindungen mit digitalen Zertifikaten 239 11 Speichern Sie alle Zertifikate in einer Datei und stellen Sie sicher dass s mtliche Zwischenzertifikate in der Zertifikatdatei enthalte
340. werke 251 Konfigurieren f r Gruppen 130 Kreuzkabel 34 38 Kryptografie 225 asymmetrische Verschl sselung 226 geheimer Schl ssel 225 ffentlicher Schl ssel 225 symmetrischer Schl ssel 225 Kryptographie Konzepte 224 Kulanzzeitraum Lizenzen 50 Index 283 L Laufwerkszuordnung Zugriff einschr nken 276 LDAP Authentifizierung 26 81 139 Gruppenmitgliedschaften 86 Konfigurationsbeispiele 244 252 Konfigurieren 83 Ports 81 Verzeichnisattribute 89 Zertifikate 89 LDAP Autorisierung 81 86 Gruppenattribute 87 Konfigurationsbeispiele 244 Konfigurieren 87 LDAP Browser 89 Linkmodus serielle Konsole 36 Linux Unterst tzung Client 156 Befehlszeilenoptionen 157 Client entfernen 157 Neustart 157 Status pr fen 157 Lizenzen Abrufen 46 File does not match Fehlermeldung 271 Informationen aktualisieren 49 Installation 43 47 Kulanzzeitraum 50 mehrere Ger te 48 Ports 49 Statistik 45 Testen 50 Update 49 Lizenzierung Firewallregeln 49 XenDesktop 19 Lizenzprotokolle 49 Lizenzserver 43 48 Lizenztypen 44 Load Balancer Einstellen als Standardgateway 210 Ger te bereitstellen mit 206 Installations und Konfigurationsprobleme 207 Load Balancing 28 Lokale Authentifizierung 78 139 Lokale Autorisierung Konfigurationsbeispiele 266 Lokale Benutzer 115 Konfigurationsbeispiel 262 Konfigurieren 79 mehrere Benutzergruppen 118 Lokale Benutzergruppen 116 Material Access Gateway Installation 34 Maximum Transmission Unit 40
341. wser com herunter Die Anwendung ist auch mit deutscher Benutzeroberfl che erh ltlich Legen Sie nach der Installation des Browsers folgende Attribute fest Hostname oder IP Adresse Ihres LDAP Servers Port Ihres LDAP Servers Der Standardwert ist 389 Das Feld Base DN kann leer gelassen werden Anhand der von LDAP Browser bereitgestellten Informationen k nnen Sie den Basis DN bestimmen der auf der Registerkarte Authentication ben tigt wird 90 Citrix Access Gateway Standard Edition Administratordokumentation Mit dem Kontrollk stchen Anonymous Bind wird festgelegt ob der LDAP Server die Anmeldeinformationen der Benutzer ben tigt um eine Verbindung zum Browser herzustellen Wenn der LDAP Server die Anmeldeinformationen ben tigt lassen Sie das Kontrollk stchen deaktiviert Wenn alle Einstellungen vorgenommen wurden zeigt LDAP Browser im linken Bereich den Profilnamen an und stellt eine Verbindung zum LDAP Server her Konfigurieren von RADIUS Authentifizierung und Autorisierung Sie k nnen das Access Gateway f r die Authentifizierung des Benutzerzugriffs mit einem oder mehreren RADIUS Server n konfigurieren F r jeden f r die Authentifizierung verwendeten RADIUS Bereich k nnen Sie einen prim ren und einen sekund ren RADIUS Server konfigurieren Wenn der prim re RADIUS Server nicht verf gbar ist versucht das Access Gateway die Authentifizierung f r diesen Bereich mit dem sekund ren RADIUS S
342. y Das Access Gateway wird in der DMZ und das Webinterface im sicheren Netzwerk bereitgestellt Wenn das Webinterface parallel zum Access Gateway verwendet wird oder das Ger t zur Verwendung von Citrix XenApp Plug ins konfiguriert ist und das Webinterface Verbindungen zu ver ffentlichten Anwendungen in einer Serverfarm herstellt besteht die M glichkeit die Autorisierung auf dem Access Gateway zu konfigurieren Konfigurieren der Authentifizierung auf dem Access Gateway Standardm ig authentifiziert das Access Gateway die Benutzer anhand einer lokal im Access Gateway gespeicherten Benutzerliste Sie k nnen das Access Gateway f r die Verwendung von LDAP RADIUS RSA SecurID Secure Computing SafeWord Gemalto Protiva oder NTLM Windows NT 4 0 Authentifizierungsservern konfigurieren Das Access Gateway unterst tzt die bereichsbasierte Authentifizierung sodass auch Sites mit mehr als einem LDAP oder RADIUS Server oder mit einer Kombination von Authentifizierungsservern unterst tzt werden Kapitel 6 Konfigurieren der Authentifizierung und Autorisierung 73 RADIUS Server LDAP Server d Bereich Campus 1 Access Gateway RSA SecurlD Bereich Kommunikation zwischen Access Gateway und Authentifizierungsservern Ist ein Benutzer nicht auf dem Authentifizierungsserver oder schl gt die Authentifizierung auf diesem Server fehl versucht das Access Gateway den Benutzer anhand der lokalen Benutzerliste zu
343. y Manager 2 Klicken Sie mit der rechten Maustaste im rechten Bereich auf die Endpunktressource die entfernt werden soll und klicken Sie dann auf Remove Erstellen einer Endpunktrichtlinie f r eine Gruppe Sie k nnen einen booleschen Ausdruck erstellen indem Sie Endpunktressourcen auf den End Point Policy Expression Generator ziehen und dort ablegen Der Generator erstellt den Ausdruck automatisch wenn Sie die Ressourcen per Drag amp Drop in den Generator ziehen Ausdr cke k nnen jederzeit bearbeitet werden Geben Sie zum Konfigurieren einer Endpunktrichtlinie f r eine Gruppe einen Ausdruck an der die Endpunktressourcen enth lt die auf die Gruppe angewendet werden sollen Angenommen Sie erstellen die folgenden Endpunktrichtlinien UntRessRegEintrag AntiVirusProzess1 AntiVirusProzess2 Kapitel 7 Konfigurieren von Netzwerkzugriff und Gruppenressourcen 131 Ihr Endpunktrichtlinienausdruck k nnte festlegen dass eine Registrierungspr fsumme verifizieren muss dass die Ressource die versucht eine Verbindung herzustellen zum Unternehmen geh rt und dass auf der Ressource einer der Antivirusprozesse ausgef hrt werden muss Ein solcher boolescher Ausdruck w rde wie folgt aussehen UntRessRegEintrag amp AntiVirusProzessil AntiVirusProzess2 G ltige Operatoren f r Endpunktrichtlinienausdr cke dient zum Verschachteln von Ausdr cken um deren Auswertung zu steuern amp logisches UND lo
344. y Standardgateway festgelegt ist K nnen Sie eine statische Route zur angeforderten Netzwerkadresse erstellen Die folgende Abbildung enth lt eine grafische Darstellung dieser Situation 10 0 16 20 N 192 168 0 20 Interface 0 Interface 1 Access 192 168 0 0 Gateway Gateway L 192 168 0 1 L Standard gateway 10 0 16 1 Anwendungs server 129 6 0 20 Netzwerktopologie mit einer statischen Route Kapitel 5 Konfigurieren des Access Gateways fiir die Netzwerkumgebung 65 Die Abbildung zeigt die folgenden Verbindungen Der Adapter f r Interface 0 10 0 16 20 f hrt zum Standardgateway 10 0 16 1 das mit dem brigen Teil des Netzwerks 10 0 0 0 verbunden ist Der Adapter f r Interface 1 192 168 0 20 ist f r die Kommunikation mit dem Netzwerk 192 168 0 0 und dem zugeh rigen Gateway 192 168 0 1 eingerichtet ber dieses Gateway kann das Interface 1 mit dem Netzwerk 129 6 0 20 und dem Server an der IP Adresse 129 6 0 20 kommunizieren Zum Einrichten der statischen Route m ssen Sie den Pfad zwischen Interface 1 und der IP Adresse 129 6 0 20 erstellen So richten Sie die statische Beispielroute ein 1 ffnen Sie auf der Registerkarte Access Gateway Cluster das Fenster f r das Ger t 2 Klicken Sie auf die Registerkarte Routes 3 Wahlen Sie ggf unter Select routing type die Option Static routing 4 Legen Sie im Feld Destination LAN IP address als IP Adresse des Ziel LANs 129 6 0 0 fest 5
345. ylesheet und Ihrem eigenen HTML Fu zeilentext anpassen Aktivieren der Anmeldeseitenauthentifizierung Standardm ig m ssen Benutzer sich an der Anmeldeseite anmelden und noch einmal am Secure Access Plug in oder am Webinterface Mit den folgenden beiden Methoden erreichen Sie dass die Anmeldung an der Anmeldeseite entf llt Sie k nnen eine globale Richtlinie einrichten mit der die Authentifizierung f r die Anmeldeseite deaktiviert wird und die angibt welche Anmeldeseite f r alle Benutzer angezeigt wird Diese globale Richtlinie setzt alle Anmeldeseitenfestlegungen f r Gruppen au er Kraft So aktivieren Sie die Anmeldeseitenauthentifizierung 1 Klicken Sie auf die Registerkarte Global Cluster Policies 2 Wahlen Sie unter Advanced options die Option Enable logon page authentication und klicken Sie auf Submit Wenn das Kontrollk stchen Enable logon page authentication nicht aktiviert ist melden sich Benutzer nicht an sondern werden direkt zur benutzerdefinierten Portalseite weitergeleitet Anpassen der Anmeldeseite Sie passen die Anmeldeseite an indem Sie eigene Bilder hochladen Stylesheets und Text verwenden Nach dem Upload wird den Benutzern die angepasste Anmeldeseite anstelle der Standardseite angezeigt So passen Sie die Anmeldeseite auf dem Access Gateway an 1 Klicken Sie auf die Registerkarte Portal Page Configuration 2 Wahlen Sie auf der Registerkarte Logon Page in der Dropdownliste Logon page type d
346. zeilenschalter f r das MSIEXEC Dienstprogramm um das Paket anzuk ndigen Nur der angek ndigte Dateipfad gilt f r Windows Installer als vertrauensw rdig Wenn Benutzer CAGSE MSI von einer CD oder einem lokalen Pfad installieren der sich von dem angek ndigten Pfad unterscheidet schl gt die Installation fehl Kapitel 8 Konfigurieren von Benutzerverbindungen f r das Citrix Access Gateway Plug in 147 So extrahieren Sie die MSI und MST Dateien und erstellen ein administratives Image 1 W hlen Sie im Administration Tool auf der Registerkarte Global Cluster Policies unter Access options die Option Do not upgrade earlier versions of the Access Gateway Plugin 2 Geben Sie an der Eingabeaufforderung Folgendes ein CitrixAGP extract Mit diesem Befehl werden die Dateien in der Freigabe extrahiert die Sie angegeben haben Geben Sie CitrixAGP ein um das Access Gateway Plug in zu extrahieren und zu installieren 3 Um ein konfiguriertes administratives Image zu erstellen geben Sie an der Eingabeaufforderung Folgendes ein msiexec a CAGSE MSI 4 Wenn das Image erstellt ist k ndigen Sie das Produkt allen Benutzern des Clientger ts an Geben Sie daf r an einer Eingabeaufforderung auf dem Clientger t Folgendes ein misexec jm Pfad zu administrativem Image CAGSE MSI Dieser Befehl k ndigt das Access Gateway Plug in an installiert es aber nicht auf dem Clientger t Das Plug in scheint installiert zu sein In der Syste
347. zenario f r die LDAP Authentifizierung und Autorisierung den Zugriff auf die internen Netzwerkressourcen zu konfigurieren In diesem Schritt erstellt der Administrator Benutzergruppen auf dem Access Gateway deren Namen mit den Namen der Gruppen bereinstimmen die der Administrator im LDAP Verzeichnis gefunden oder erstellt hat In einem vorigen Arbeitsschritt hat der Administrator die LDAP Verzeichnisgruppen Vertriebsau endienst und Au endiensttechniker im LDAP Verzeichnis erstellt In diesem Schritt muss der Administrator nun die Benutzergruppen Vertriebsau endienst und Au endiensttechniker auf dem Access Gateway erstellen Anhang C Beispiele f r die Konfiguration des Netzwerkzugriffs 255 So erstellen Sie Benutzergruppen auf dem Access Gateway 1 Klicken Sie auf die Registerkarte Access Policy Manager 2 Klicken Sie mit der rechten Maustaste im linken Bereich auf User Groups und klicken Sie dann auf New Group Geben Sie im Feld Group Name einen Namen ein dessen Schreibweise Gro und Kleinschreibung genau mit dem Namen einer LDAP Verzeichnisgruppe aus dem vorigen Schritt bereinstimmt Geben Sie beispielsweise VertriebsauBendienst ein und klicken Sie dann aufOK 3 Jetzt wird das Eigenschaften Dialogfeld der Gruppe angezeigt Es enth lt mehrere Registerkarten Zur Vereinfachung dieses Beispiels akzeptieren Sie alle Standardeinstellungen f r die Gruppeneigenschaften und klicken Sie auf OK Die Grupp
348. zwerkressourcen und wenden dann die Richtlinie f r jedes Netzwerk an auf dem die TCP Einstellungen erhalten bleiben sollen Konfigurieren des Access Gateways f r die Kommunikation mit dem Citrix Repeater Plug in Wenn dies konfiguriert ist sendet das Access Gateway eine Filterliste and das Repeater Plug in mit den Einstellungen f r die Citrix Branch Repeater Optimierung So konfigurieren Sie die TCP Optimierung auf dem Access Gateway 1 Klicken Sie im Administration Tool auf die Registerkarte Global Cluster Policies 2 Wahlen Sie unter Advanced options die Option Enable application acceleration with the Accelerator Plugin und klicken Sie auf Submit 3 Doppelklicken Sie auf der Registerkarte Access Policy Manager auf der rechten Seite unter Network Resources auf eine konfigurierte Netzwerkressource oder erstellen Sie eine neue Ressource 4 Wahlen Sie Preserve TCP options und klicken Sie auf OK 5 Ziehen Sie die Netzwerkrichtlinie auf die Benutzergruppe f r die die Richtlinie gelten soll Konfigurieren von Benutzerverbindungen fur das Citrix Access Gateway Plug in In diesem Kapitel werden Benutzerverbindungen besprochen sowie die Methoden mit denen Benutzer Verbindungen zum Access Gateway und zu internen Ressourcen mit dem Citrix Access Gateway Plug in herstellen k nnen Benutzerverbindungen werden mit sicheren Verbindungen wie folgt aufgebaut ber einen Webbrowser der eine Verbindung zum Access Gateway
Download Pdf Manuals
Related Search